Commission nationale de l informatique et des libertés Communication présentée en séance plénière le 3 juin 2004 Communication sur l'obligation faite aux banques d'établir une convention de compte au bénéfice de leur clientèle Suites de l'examen des clauses Informatiques et Libertés de certains établissements financiers M. Philippe Nogrix Rapporteur Rédacteur(s) : Guillaume DESGENS-PASANAU 1
Sommaire I. LE CONTEXTE... 3 II. LES ENSEIGNEMENTS À TIRER DE LA LECTURE DES CLAUSES D INFORMATION... 4 A. Le défaut d information sur la finalité relative à l évaluation, la détection ou la gestion du risque... 4 B. Le secret bancaire et la communication d informations à des tiers... 5 C. Les droits d accès, de rectification et d opposition... 6 D. Le caractère obligatoire ou facultatif des questions posées... 7 III. LES SUITES À ENVISAGER... 7 2
I. Le contexte Les établissements bancaires tiennent une place privilégiée dans la mise en œuvre de fichiers de clientèle, à la fois par la quantité d informations dont ils disposent au travers de la gestion des comptes et des moyens de paiement mais également par le caractère quasi systématique des opérations de classement auxquelles ils procèdent : crédit scoring 1, segmentation comportementale 2, lutte contre la fraude la clientèle bancaire est sous étroite surveillance informatique. Il y a un an, la CNIL a fait le point sur les travaux engagés dans le cadre de l obligation faite aux banques d établir, au bénéfice de leur clientèle, une convention de compte. La loi MURCEF adoptée le 11 décembre 2001 impose en effet aux établissements financiers des dispositions d ordre public manifestant une volonté de transparence et d équilibre concernant les conditions dans lesquelles le banquier gère les compte de ses clients. Le titre II intitulé «Amélioration des relations entre les banques et leur clientèle» prévoit notamment, dans son article 13, l obligation de recourir à une convention écrite lors de l ouverture d un compte de dépôt effectué par un client auprès de son établissement de crédit, le texte renvoyant à un arrêté d application qui n a pas encore été adopté 3. En attente de l arrêté, une charte a été élaborée par la Fédération Bancaire Française (FBF) le 9 janvier 2003. Celle-ci reprend in extenso les dispositions Informatique et Libertés qui devaient figurer dans le projet d arrêté sans toutefois les assortir de sanctions : «la convention de compte de dépôt doit comporter au minimum ( ) les finalités des traitements mis en œuvre par l établissement de crédit, les destinataires des informations, le droit de s opposer à un traitement des données à des fins de prospection commerciale ainsi que les modalités 1 La CNIL a déjà eu à se prononcer à de multiples reprises sur la technique du «scoring», procédé automatisé d aide à la décision mis en œuvre par les organismes bancaires et financiers dans le cadre de leur gestion commerciale. C est ainsi que dans une délibération n 88-83 du 5 juillet 1988 portant recommandation «relative à la gestion des crédits ou des prêts consentis à des personnes physiques par les organismes de crédit», dont l élaboration avait fait l objet d une concertation avec les professionnels concernés, la CNIL a précisé que le calcul automatisé de l appréciation du risque devait faire l objet d une déclaration ordinaire comportant les informations traitées et les caractéristiques du processus d organisme du score, c est-à-dire les variables utilisées ainsi que leur pondération. 2 La segmentation comportementale permet, à partir d informations sur les comportements observés, d établir le profil socio-économique, voire psychologique, d une personne, laquelle sera ensuite classée dans un «segment». 3 A la suite de démarches engagées par les services de la Commission depuis avril 2002 et de diverses correspondances échangées avec le Conseil national du crédit et du titre et la Fédération bancaire française, un travail commun a été réalisé afin d intégrer dans l arrêté des dispositions relatives à la protection des données personnelles des clients. L article 2.2 du projet de texte disposait dans sa version définitive que : «la convention de compte précise ( ) les finalités des traitements mis en œuvre par l établissement de crédit, les destinataires des informations, le droit de s opposer à un traitement des données à des fins de prospection commerciale ainsi que les modalités d exercice du droit d accès aux informations concernant le client, conformément aux lois en vigueur». Cette rédaction présentait un niveau de garanties important au bénéfice de la clientèle bancaire. Or la publication de cet arrêté a finalement été suspendue par le ministre de l'économie, des finances et de l'industrie. Le 25 novembre 2002, il a en effet été décidé de repousser de 18 mois la publication de ce texte, le gouvernement préférant laisser aux établissements financiers une plus grande souplesse dans la mise en œuvre des conventions de compte, au grand mécontentement de l ensemble des associations de consommateurs. 3
d exercice du droit d accès aux informations concernant le client, conformément aux textes relatifs à l informatique, aux fichiers et aux libertés» (article 1.2 du projet de décret). La CNIL s est montrée soucieuse, dans ce contexte, de favoriser l information des clients sur les traitements d informations à caractère personnel qui pouvaient être mis en œuvre par les banques. Au cours de sa séance plénière du 27 mai 2003, la CNIL s est félicitée de l engagement pris par la Fédération bancaire française de proposer aux clients des banques des conventions de compte précisant le fonctionnement des comptes de dépôt. Elle a encouragé les consommateurs, dans un communiqué de presse rendu public le 3 juin 2003, à demander communication de leur convention de compte en apportant une attention particulière aux clauses réglementant l utilisation faite de leurs données personnelles. La CNIL a désiré s assurer, auprès des principaux établissements financiers, de la bonne application de cette charte. Elle s est ainsi procurée les conventions de compte proposées par certains établissements. Une analyse des clauses «Informatique et Libertés» a été réalisée sur la base d une grille de lecture prédéfinie qui s inspire des nouvelles dispositions prévues dans le projet de loi Informatique & Libertés adopté en 2 ème lecture par l Assemblée Nationale. Il convient de noter que certaines de ces clauses ont été élaborées, ou sont en cours d élaboration, en collaboration avec la CNIL, et ont permis, dans le cadre d une concertation, de rédiger les clauses relatives au traitement d informations à caractère personnel devant être insérées dans les conventions de compte. Cet effort de concertation s inscrit dans l orientation législative du projet de loi de réforme de la loi du 6 janvier 1978 qui prévoit dans son article 3 que la CNIL «informe toutes les personnes concernées et tous les responsables de traitements de leurs droits et obligations». II. Les enseignements à tirer de la lecture des clauses d information Il n y a pas, à la lecture des conventions, de clauses qui posent une règle contraire à la réglementation applicable. On relève en revanche des points sur lesquels l information réalisée auprès des clients n est pas satisfaisante, voire absente. A. Le défaut d information sur la finalité relative à l évaluation, la détection ou la gestion du risque L article 10 b) de la directive du 24 octobre 1995 dispose que : «Les États membres prévoient que le responsable du traitement ou son représentant doit fournir à la personne auprès de laquelle il collecte des données la concernant ( ) les finalités du traitement auquel les données sont destinées». Cette obligation d information figure également à l article 32 du projet de loi. 4
Au delà de la finalité liée à la gestion des comptes bancaires, il est apparu, à la lecture des dossiers de déclaration adressés aux services de la Commission, ainsi qu à l occasion de missions de vérification sur place, que deux finalités particulières sont couramment poursuivies : la finalité de prospection commerciale (réalisation de scores d appétence, démarchage commercial, etc.) et la finalité d évaluation, de détection ou de gestion du risque (crédit scoring, fichiers des clients indésirables, notation de la clientèle dans le cadre du ratio Mac Donough 4, procédures de contrôle lors de l ouverture d un compte bancaire (interrogation du FCC 5 et du FICP 6, alimentation de FICOBA 7, etc.), lutte contre le blanchiment d argent et le financement du terrorisme, etc.). Dans ce contexte, il est apparu à la CNIL que si la finalité relative à la prospection commerciale est souvent évoquée (mais de façon très succincte ou à l occasion de la question du droit d opposition), 90 % des conventions de compte ne fournissent aucune information sur la finalité relative à la gestion du risque alors même que celle-ci préside à la collecte et l analyse de très nombreuses informations concernant la clientèle. La CNIL relève à cet égard qu afin de garantir l application du principe de transparence décliné par les articles 27, 34 et suivants de la loi du 6 janvier 1978, l existence de processus de surveillance de la clientèle bancaire ne peut demeurer secrète. Eu égard à la sensibilité des traitements considérés, la Commission pourra utilement aider les organismes financiers dans la rédaction des mentions à insérer dans les documents contractuels appropriés. En 1994, au sujet de la constitution des fichiers de fraude à l obtention de crédit, la CNIL avait par exemple préconisé à une société de crédit de faire figurer la mention suivante : «toute déclaration irrégulière pourra faire l objet d un traitement spécifique». B. Le secret bancaire et la communication d informations à des tiers Dans le cadre de la communication d informations à des tiers, en particulier à des fins de prospection commerciale, et en application des règles relatives au secret bancaire, la plupart des établissements financiers intègrent dans leur convention de compte une clause de levée du secret bancaire au bénéfice de tiers plus ou moins bien désignés dans les conventions (soustraitants, partenaires ou sociétés du groupe). 4 S alignant d ores et déjà sur les recommandations du comité de Bâle II qui a renforcé les exigences en matière d adéquation des fonds propres (ratio de solvabilité Mac Donough), les organismes financiers souhaitent rendre compte de la gestion du risque en l intégrant dans leur procédure de contrôle interne. A côté des risques traditionnels le risque de marché, le risque de crédit (supposés être mesurables selon des formules mathématiques), la prise en compte du «risque opérationnel» sera désormais incluse dans le calcul de l adéquation des fonds propres. Ces nouvelles règles prudentielles incitent ainsi les organismes de crédit à prendre en compte le risque juridique, le risque de fraude, les erreurs humaines, les risques fiscaux et désormais le risque de blanchiment. Des systèmes de notation de la clientèle sont ainsi mis en œuvre afin de pouvoir apprécier l opportunité d une entrée en relation ou de l octroi d un produit ou service. 5 Fichier central des chèques. 6 Fichier des incidents de remboursement de crédits aux particuliers. 7 Fichier des comptes bancaires. 5
La CNIL a eu l occasion de s interroger à plusieurs reprises sur la portée de la faculté offerte au client d autoriser le banquier à révéler certaines des informations détenues à des tiers désignés. Il lui est apparu que, sous réserve de l appréciation des tribunaux, la souscription d une clause particulière, dite de «levée du secret bancaire» pour des conventions ayant le caractère de contrats d adhésion, ne permet pas d assurer que la personne a indubitablement donné son consentement, de façon libre et éclairée, compte tenu du faible pouvoir de négociation du particulier et de l impossibilité d exercer son droit d opposition (il convient en effet de rappeler que tout refus pour le client de lever le secret bancaire aurait pour conséquence, dans la plupart des cas, le refus d ouverture de compte). La CNIL relève qu aucune des conventions ne prévoit par exemple une case à cocher en fin de contrat qui permettrait de recueillir le consentement des personnes selon les règles posées dans la directive 95/46 du 24 octobre 1995 («le consentement est toute manifestation de volonté, libre, spécifique et informée par laquelle la personne concernée accepte que les données la concernant fassent l objet d un traitement»). Ce point est d autant plus important que pourraient se développer, demain, des pratiques nouvelles de recueil du consentement des personnes, s agissant par exemple des questions relatives à la prospection par voie électronique. On peut également observer que la question de la levée du secret bancaire n est pas évoquée dans les conditions générales de certains établissements. On peut enfin noter que lorsqu une communication au groupe est prévue, peu de conventions précisent que la liste des sociétés concernées pourra être communiquée au client sur simple demande. C. Les droits d accès, de rectification et d opposition Les modalités d exercice du droit d accès sont souvent définies précisément dans les conventions. Dans la plupart des cas, un service spécifique est clairement désigné et ses coordonnées postales sont indiquées. S agissant du droit d opposition, certaines banques n abordent pas la question, d autres ne l évoquent que s agissant des questions relatives à la prospection commerciale. On peut également remarquer que le droit d opposition ne peut, semble-t-il, jamais s exercer directement lors de la signature de la convention de compte (au moyen d une case à cocher). La CNIL recommande en conséquence que l exercice du droit d opposition puisse s effectuer de la façon la plus simple possible, par exemple au moyen d une case à cocher. La CNIL relève que l information sur le droit d opposition, si elle n est pas obligatoire en l état de la réglementation applicable, le sera très bientôt dans le cadre de l adoption du projet de loi (article 38). 6
D. Le caractère obligatoire ou facultatif des questions posées L article 27 de la loi du 6 janvier 1978 dispose que : «les personnes auprès desquelles sont recueillies des informations nominatives doivent être informées du caractère obligatoire ou facultatif des réponses ; des conséquences à leur égard d'un défaut de réponse». Cette obligation d information figure également à l article 32 du projet de loi. Dans de nombreux cas, les conventions n indiquent pas le caractère obligatoire ou facultatif des questions posées lors des opérations de collecte (ouverture du compte, octroi d un crédit, etc.). Les conséquences exactes d un défaut de réponse ne sont en conséquence pas précisées. Il existe par ailleurs une pratique consistant à indiquer dans la convention que toutes les questions posées sont obligatoires alors que le système informatique prévoit souvent des zones facultatives (c est le constat que la CNIL a pu faire lors de certaines missions de vérification sur place) : on supprime ainsi contractuellement une possibilité offerte techniquement. III. Les suites à envisager A la lecture des conventions, il apparaît que la plupart des établissements financiers assurent une information de leur clientèle sur les conditions dans lesquelles les données personnelles sont utilisées, même si les clauses pourraient dans la majorité des cas être améliorées. Si l on s en tient néanmoins à la question relative à l information sur la finalité des traitements, on peut considérer que 90 % des établissements financiers ne respectent pas les termes de la charte adoptée en janvier 2003 par la Fédération bancaire française. L obligation d information sur les finalités est d autant plus importante qu elle sera rendue obligatoire lors de l adoption du projet de loi (article 32). La CNIL constate également que les clauses ne tiennent pas toujours compte de certaines obligations d information prévue dans le projet de loi Informatique et Libertés telles que l information relative aux flux transfrontières de données ou à l exercice du droit d opposition. De façon générale, la CNIL relève un certain manque de clarté dans la rédaction utilisée : trop juridique, elle est souvent peu compréhensible vis à vis du consommateur. On peut en particulier relever que la plupart des notions juridiques ne sont ni explicitées, ni illustrées (par exemple s agissant des droit d accès, de rectification et d opposition, de la notion de tiers autorisé, etc.). Compte-tenu de ce qui précède, la CNIL souhaite se rapprocher du Comité des usagers et de la Fédération bancaire française afin de leur faire part de ses observations. * * * 7