L’usage de l’informatique est tellement naturel pour la gestion des crédits qu’on en a oublié que le montant du capital prêté où des intérêts constituent des données à caractère personnel et le recouvrement du crédit un traitement de telles données. La question se pose de savoir si le Règlement général de protection des données (RGPD) produit des conséquences sur la rentabilité des prêts accordés.
Depuis le 25 mai 2018, l’obligation pour les banques de rendre facilement contrôlables, par l’exercice du droit d’accès, les caractéristiques du crédit, les intérêts et les commissions, qui était prévue par la norme simplifiée NS-013 publiée en 1980 (devenue le référentiel de la Cnil en matière de crédit), découle désormais du règlement européen UE 2016/679. Cela produit des conséquences juridiques lors des procès opposant une banque à un emprunteur.
Lors d’un procès portant sur le remboursement d’un prêt, la banque doit apporter la preuve devant le tribunal de l’existence du prêt accordé. Du point de vue de l’article 4-2 du RGDP, l’exécution de cette obligation, imposée par l’article 1353 du Code civil, constitue aussi un traitement non automatisé de données à caractère personnel1. À ce titre, hiérarchie des normes oblige, lorsque l’établissement bancaire remplit cette obligation, il doit respecter spontanément l’ensemble des dispositions du RGPD applicables aux traitements de données à caractère personnel.
Les preuves déclarées irrecevables
Il existe nombre de convergences entre la jurisprudence sur l’article 9 du Code de procédure civile (CPC) et l’obligation de loyauté des traitements prévue par l’article 5 du RGPD2. L’article 9 du CPC impose à chaque partie de prouver conformément à la loi les faits nécessaires au succès de ses prétentions. Les preuves que la banque verse au soutien de ses prétentions peuvent donc être attaquées sur le plan de la légalité devant les juridictions civiles. Si les preuves de la banque sont déclarées irrecevables, alors elle sera déboutée de ses demandes.
Or l’article 12-2 du RGPD exige que les banques facilitent aux emprunteurs l’exercice des droits prévus par les articles 15 à 22 du RGPD3.
L’article 24 du RGPD exige de la banque, compte tenu de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques présentés, qu’elle soit en mesure de démontrer que le traitement des données de l’emprunteur est effectué conformément au RGPD4.
Autrement dit, les articles 12-2 et 24 du RGPD obligent la banque à prouver que les caractéristiques du crédit, les intérêts, les commissions, les assurances, etc. pour lequel elle sollicite le tribunal sont facilement contrôlables par l’exercice du droit d’accès prévu par l’article 15 du RGPD, faute de quoi l’emprunteur assigné pourra solliciter que les preuves de la banque soient déclarées irrecevables, entraînant ainsi le débouté des demandes de cette dernière, en vertu du principe d’obligation de loyauté des traitements prévu par l’article 5 du RGPD combiné à l’article 9 du CPC.
Le non-respect du RGPD par une banque lors d’un procès civil peut affecter la recevabilité d’un élément essentiel au succès de ses demandes. Nous pouvons en déduire que le non-respect du RGPD dans la gestion du crédit fait peser un risque sur la rentabilité des prêts en raison des risques de rejet des demandes de la banque par un tribunal et sur les pertes en capital et intérêts subséquentes.
