S’il est encore besoin de le rappeler, l’activité bancaire implique aujourd’hui la collecte et le traitement de nombreuses données
personnelles
[1]
, de la clientèle bien sûr, des salariés aussi.
C’est pourquoi le nouveau texte qui encadre la matière, le Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (ci-après le « RGPD »), est devenu un sujet de préoccupation central du secteur
bancaire
[2]
. À l’horizon 2018, les sanctions administratives que pourront encourir les établissements de crédit sont telles qu’il n’est plus possible d’ignorer le risque de non-conformité au droit des données personnelles : bien que le règlement précise que les sanctions devront être
proportionnées
[3]
, il indique aussi qu’elles devront être dissuasives et définit un plafond fixé à 2 000 000 d’euros ou 4 % du chiffre d’affaires annuel mondial
total
[4]
. Ceci suffit à expliquer toute l’attention portée aux décisions de condamnation prononcées aujourd’hui par la CNIL, qui révèlent dans le même temps le caractère presque symbolique des sanctions aujourd’hui encourues.
Dans une décision du
26 janvier 2017
[5]
, la CNIL a prononcé un simple avertissement contre Carrefour Banque pour avoir procédé à des inscriptions
inexactes
[6]
sur le Fichier national des incidents de remboursement des crédits aux particuliers, dit « FICP ». Dans leurs attributions liées à la police des chèques et des opérations de crédit aux particuliers, les banques doivent – on le sait – procéder à des inscriptions sur le FICP, qui recense notamment, depuis la loi Neiertz du 31 décembre 1989 relative à la prévention et au règlement des difficultés liées au surendettement des particuliers et des
familles
[7]
, les informations sur les incidents de paiement. Ce fichier revêt une importante majeure puisqu’il est consulté par les établissements de crédit avant l’octroi d’un crédit à la
consommation
[8]
et un crédit
immobilier
[9]
, de sorte que toute fausse inscription sur ce fichier peut être source d’exclusion bancaire.
À la suite d’une plainte déposée par un particulier, la CNIL a diligenté un contrôle sur place chez Carrefour Banque et a découvert à cette occasion un dysfonctionnement technique intervenu en mai 2010 dans la gestion du FICP. Près de quarante mille personnes avaient été désinscrites puis réinscrites au FICP, mais avec une date inexacte, le dysfonctionnement s’étant parfois renouvelé plusieurs fois. Dès lors, certaines personnes – plus de cinq mille – étaient encore inscrites à des dates erronées, malgré un correctif technique intervenu en novembre 2012.
La CNIL a poursuivi Carrefour Banque pour manquement à l’obligation de traiter des données exactes et mises à jour prévue l’article 6-4 de la loi du 6 janvier 1978, obligation ici appliquée aux données inscrites au FICP. Ce manquement a emporté des conséquences préjudiciables pour la clientèle, puisque des dates d’inscription inexactes dans le FICP ont persisté jusqu’au contrôle de la CNIL en août 2016, soit plus de quatre ans après le constat de l’anomalie technique. Le nombre de personnes concernées, la durée du manquement constaté et l’importance prêtée au FICP en matière de prévention du surendettement des ménages ont conduit la formation restreinte de la CNIL a prononcé un avertissement public à l’encontre de la société Carrefour Banque.
Depuis le milieu des années 2000, l’inscription au FICP est une source de condamnations régulières d’établissements de crédit, notamment pour inscriptions abusives ou radiation
tardives
[10]
. La gestion des inscriptions (radiation, mises à jour) est automatisée, de sorte le manquement à l’obligation de traiter des données exactes et mises à jour résulte en principe de situations non intentionnelles, liées à des dysfonctionnements dans le système informatique qui assure cette gestion. Mais, pour l’avenir, tout l’enjeu est là : le nouveau RGPD énonce, au titre des « Principes relatifs au traitement des données à caractère personnel », que les données doivent être « exactes et, si nécessaire, tenues à jour » et que « toutes les mesures raisonnables doivent être prises pour que les données à caractère personnel qui sont inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans tarder (exactitude) ». Le nombre considérable de personnes concernées par les traitements dans le domaine bancaire impliquera concrètement un suivi beaucoup plus rigoureux par les établissements de crédit « responsables de traitement ». Telle sera notamment la mission du délégué à la protection des données (dit « DPO ») qui devra être désigné dans toutes les banques, justement en raison du fait que leurs « activités de base […] consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes
concernées
[11]
». Le risque de sanction démultiplié, à compter du
25 mai 2018
[12]
, devrait donc inciter à une meilleure rigueur dans la gestion des données inscrites au FICP.
La chronique Nouveaux moyens de paiement, banque digitale et protection des données est assurée par Myriam Roussille et Pierre Storrer.
1
Différentes études sont consacrées aux données personnelles en matière bancaire sous l’empire du régime antérieur au RGPD (directive de 1995, loi informatique et libertés) : J. Morel-Maroger, « La protection des données personnelles des clients des banques : bilan et perspectives », RDBF n° 2, mars 2011, étude 10 ; voir aussi C. Torrés, « Informatique et libertés : La protection des données à caractère personnel dans le secteur bancaire », Revue Banque n° 730, déc. 2010. Renouvelant ce constat avec l’étude de la proposition de règlement : J. Morel-Maroger, M. Roussille, en collaboration avec P. Storrer, « Données et services bancaires », in La proposition de règlement européen relatif aux données à caractère personnel : proposition du réseau Trans Europe Experts (sous la dir. N. Martial-Braz), coll. « Trans Europe Expert » 2014, p. 395. Voir encore : P. Storrer, « De la protection européenne des données personnelles bancaires », Revue Banque n° 769, janv. 2014.
2
Voir, à cet égard : M. Roussille et P. Storrer, « Premiers regards sur l’impact du RGPD en matière bancaire », Banque et Droit n° 169, septembre-octobre 2016, p. 41 et E.Jouffin, « Les lignes de force du Règlement général sur la protection des données », Banque et Droit n° 168, juill.-août 2016, p. 8. Dossier spécial « Protection des données personnelles », E. Jouffin (dir.), hors-série Banque et Droit, mars 2017.
3
Règlement (UE) 2016/679, 27 avr. 2016, art. 84.1.
4
Idem, art. 83.4.
5
CNIL, 26 janv. 2017, n° SAN-2017-001. Sur cette décision : J. Morel-Maroger, Gaz. Pal., 13 juin 2017, n° 22, p. 83.
6
Le nombre de personnes concernées s’élevait à 38 329 personnes.
7
Loi n° 89-1010 du 31 décembre 1989.
8
C. consom., art. L. 312-16.
9
C. consom., art. L. 313-16.
10
CNIL, délib. n° 2006-174 du 28 juin 2006, RDBF sept.-oct. 2006, comm. 117, note E. Caprioli, CNIL, délib. n° 2006-245 du 23 novembre 2006, RDBF sept.-oct. 2007, comm. 195 note E. Caprioli, CNIL, délib. n° 2013-173 du 19 juin 2013, Gaz. Pal., 9 novembre 2013 note J. Morel-Maroger ; CNIL, n° 2014-299 du 7 août 2014, Gaz. Pal., 26 au 28 octobre 2014, p. 28, note J. Morel-Maroger.
11
Règlement (UE) 2016/679, art. 37.1. b). Sur les missions du DPO : B. Fauvarque-Cosson et E. Jouffin, « Du CIL au DPD : entre continuité et changements », hors-série Banque et Droit, mars 2017, p. 38.
12
Il s’agit de la date d’entrée en vigueur du RGPD : Règlement (UE) 2016/679, art. 99.2.
