Précédemment, nous avons vu par quel procédé la banque Ing soutirait des données et les usages qu'elle leur réservait. L’ Autorité de Contrôle Prudentiel et de Résolution couvrait ses pratiques et a tenté sans succès de m’induire en erreur sur la légalité de ces pratiques.
Boursorama, PSA Banque et RCI Banque usent de pratiques similaires et profitent du cadre de la Lutte contre le blanchiment de capitaux et le financement du terrorisme (LCB-FT) pour obtenir des informations indues tel le nombre d’enfants à la charge des clients (1).
Mais que fait donc la Commission Nationale de l’Informatique et des Libertés (Cnil) pendant ce temps ? Celle-ci même censée assurer la protection des données personnelles.
Dans une de ses récentes décisions(2), elle prononce une sanction à l’égard de l’Office public de l’habitat de Rennes pour avoir adressé un courrier aux locataires dans lequel y figure une critique sur une prochaine diminution des APL. Le fichier des locataires aurait été utilisé de manière incompatible avec ses finalités initiales.
Dans d’autres décisions, elle met en demeure cinq sociétés d'assurance dont Malakoff Mederic, Mutuelle Humanis Nationale, et Humanis Assurances. Celles-ci doivent cesser toute prospection commerciale à partir des données personnelles collectées pour les besoins de la retraite complémentaire. La pratique est décrite comme " un manquement particulièrment grave " (3).
La Cnil invite également un hôtel parisien à respecter le Code de l’entrée et du séjour des étrangers et du droit d’asile tel qu’il l’a été ici relaté (4). L’hôtel procédait à une collecte irrégulière de données auprès de la clientèle et les utilisait parallèlement à des fins non-prévues par ce Code.
Plus de 60 sanctions et avertissements sont prononcés des années 2014 à 2018 pour des manquements à la loi Informatique et Libertés.
De l’autre côté, le profilage commerciale des clients par leur banque à partir de données collectées au nom de la LCB-FT est délibérément facilité par des écritures publiques. Voyons comment...
Examinons tout d’abord la directive 2005/60/CE du Parlement européen et du Conseil du 26 octobre 2005 relative à la prévention de l'utilisation du système financier aux fins du blanchiment de capitaux et du financement du terrorisme. Elle prévoit que les banques collectent des informations sur la clientèle et mettent en place des mesures de vigilance.
Il est attendu par exemple qu’une attention particulière soit portée à l’égard des transactions inhabituellement élevées, que les données des clients soient conservées au moins 5 ans après la relation d’affaires.
Cette directive doit être transposée en Droit français. Plusieurs articles du Code monétaire et financier doivent être alors créés ou modifiés.
Lors de la transposition, la Cnil - présidée en ce temps par Alex Türk et saisie par le ministère de l’Economie - rend un avis sur un projet d’ordonnance relative à la LCB-FT (délibération 2008-581 du 18 décembre 2008).
La diffusion de cet avis ayant été restreinte, la saisine de la Commission d'accès aux documents administratifs a été nécessaire pour le consulter (5).
La Cnil y apprécie les textes en discussion portant sur les obligations de vigilance, les déclarations de soupçons, le régime de droit d’accès indirect et le service Tracfin.
Les nouveaux clients, et l’ensemble des autres clients au titre de la connaissance actualisée, feront l’objet à la fois d’un recueil d’information sur la relation d’affaires et « d’autres éléments d’information ». Ces données sont précisées ultérieurement par arrêté ministériel et concernent notamment la profession, les revenus et le patrimoine (6) .
Leur utilisation à des fins commerciales demeure cependant exclue, la Cnil demandant à être saisie pour avis de " ces projets de textes réglementaires qui devraient rappeler le caractère exclusif de la finalité de [la] LCB-FT du traitement des données ainsi collectées " (7).
En outre, la directive 2005/60/CE ne prévoit pas que ces données puissent être utilisées à d’autres fins.
Un autre avis relatif à la même ordonnance est rendu l’année suivante (délibération 2009-465 du 9 juillet 2009 (8)).
La Cnil y rappelle que ces données doivent être collectées pour des finalités légitimes. Elle demande à ce qu’il n’y ait pas de collecte systématique auprès de l’ensemble des clients et des dispositions plus spécifiques à l’égard des personnes politiquement exposées. Dans l'ensemble, son avis est une série d’observations et de rappels à la loi Informatique et Libertés.
La Cnil y réprouve sa position initiale et prévoit dorénavant un droit d’utiliser ces données à d’autres fins que la LCB-FT en introduisant 11 mots dans un texte qui en compte plus de 2 500. Les clients devront être informés de la finalité de la collecte et " des autres utilisations dont ces renseignements pourront éventuellement faire l’objet ".
La raison de ce revirement demeure inconnue.
La Cnil créée et officialise ce droit le 16 juin 2011 dans une autre délibération (Autorisation Unique AU-003) : « Ces données peuvent faire l'objet d'autres utilisations dans le cadre de la gestion de la relation bancaire sous réserve que les personnes soient informées conformément au I de l'article 32 de la loi du 6 janvier 1978 ».
Ce droit est créé dans une délibération relative à la lutte contre le blanchiment de capitaux et le financement du terrorisme et l’application des sanctions financières.
Or, il satisfait principalement des intérêts commerciaux, n’a pas de lien avec la vocation du texte dans lequel il est inscrit, ni les finalités initialement définies par le Parlement européen.
La création de ce droit permet conjointement de neutraliser l’article 226-21 du Code pénal qui sanctionne le détournement d’information de leur finalité.
Il résulte de ces décisions qu’un client doit d’exercer son droit d’opposition et, en conséquence, agir auprès de la banque pour que ses données ne servent pas de fins commerciales. En effet, les banques s’octroient le consentement du client à travers leurs conditions générales et n’ont pas été tenues de recueillir un consentement exprimé spécifiquement sur ce point.
Si les données destinées à la LCB-FT ont pu être exploitées sur d’autres plans grâce à l’intervention de la Cnil, le Parlement européen n’a pas toléré cette compromission. Dans une nouvelle directive du 20 mai 2015 relative à la LCB-FT (9), qui succède à la directive 2005/60/CE, il indique :
" Les données à caractère personnel ne sont traitées sur la base de la présente directive par des entités assujetties qu'aux fins de la prévention du blanchiment de capitaux et du financement du terrorisme, au sens de l'article 1er, et ne font pas l'objet d'un traitement ultérieur d'une manière incompatible avec lesdites finalités. Le traitement des données à caractère personnel sur la base de la présente directive pour toute autre finalité, par exemple à des fins commerciales, est interdit ".
Voilà une situation intéressante. Mais que se passe-t'il ensuite ?
À suivre.
