De par leur fonction, les banques conservent beaucoup d’informations personnelles sur leurs clients données lors de l’ouverture d’un compte, d’une demande de prêt ou de l’usage régulier des services bancaires, peuvent-elles en faire ce qu’elles souhaitent ?
Sophie Nerbonne : Les banques disposent d’un grand nombre de données personnelles et peuvent les utiliser dans le respect du secret bancaire et de la loi Informatique et Libertés. À cet égard, la CNIL a développé un nouvel outil de conformité destiné tout à la fois à assurer la sécurité juridique de leurs clients et leur permettre de développer innovation et nouvelles technologies en tenant compte des principes robustes et flexibles de la loi précitée. Le pack de conformité sur lequel travaillent la CNIL et les professionnels du secteur au travers de leurs fédérations professionnelles permet ainsi d’anticiper sur les changements attendus avec le projet de règlement européen sur la protection des données. Il en résultera également pour les responsables de traitement une simplification substantielle des formalités au profit d’une relation plus dynamique avec le régulateur.
Peuvent-elles agréger des données reçues lors d’une ouverture de service (demande de prêt par exemple) avec des données connues par ailleurs (usage normal du compte, activité du client sur les réseaux sociaux, données issues de la partie assurance de leurs activités) ?
Les banques peuvent effectuer des rapprochements entre les données collectées au moment de l’ouverture du compte et celles dont elles ont connaissance au travers du fonctionnement des comptes et des relations entretenues avec leurs clients ou prospects, quel que soit le canal utilisé (internet, téléphone…). Ceci ne signifie pas cependant qu’elles peuvent massivement aspirer les données des réseaux sociaux et il conviendra dans chaque cas de figure de déterminer les garanties appropriées. Ainsi, la CNIL s’est prononcée favorablement à la consultation des réseaux sociaux pour rechercher les bénéficiaires des contrats d’assurance vie à l’exclusion de toute prospection à des fins commerciales dans les conditions suivantes :
la consultation des réseaux sociaux est possible à condition qu’elle soit corroborée avec d’autres informations relatives au bénéficiaire ;
elle doit être limitée aux seules informations concernant l’éventuel bénéficiaire ;
la collecte doit être réalisée manuellement par un gestionnaire et ne pas conduire à une collecte massive des données présentes sur les réseaux sociaux ;
la personne concernée devra être informée par le professionnel de la finalité de recherche des bénéficiaires au moment du premier contact.
Les clients professionnels sont-ils protégés de la même façon que les clients personnels ?
La loi Informatique et libertés protège toute personne physique dès lors qu’est mis en œuvre un traitement automatisé de données à caractère personnel la concernant. Dès lors, les fichiers de clients professionnels qui identifient des personnes physiques (responsables légaux, contacts) sont dans le champ d’application de la loi. La notion de donnée personnelle est large puisqu’elle concerne toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres.
Quelles sont les informations personnelles que ne peuvent utiliser les banques ?
Il existe des spécificités relatives à la collecte des données sensibles (par exemple, la santé, les origines raciales, ethniques, les opinions politiques, etc.) Le principe est que ces données ne peuvent être collectées ou traitées à moins que la personne concernée ait donné son consentement exprès ou que la loi prévoit la levée de l’interdiction. Des restrictions d’usage existent également dans la loi pour les infractions, condamnations ou le numéro de sécurité sociale. Par ailleurs, les banques doivent s’assurer de la pertinence et du caractère non excessif des informations collectées.
