Le traitement des données personnelles collectées à l'occasion d'un crédit réglementé

 

 

Définition

 

Article I.9, 56° - Traitement des données :

le traitement de données à caractère personnel défini par l'article 1er, § 2, de la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel.

Le Traitement et conservation des données personnelles dans les crédits réglementés

Le cadre légal

Les prêteurs et les intermédiaires doivent recueillir des données à caractère personnel du consommateur et de la personne qui constitue une sûreté (VII.69 et VII.126) afin d'apprécier leur solvabilité (VII.77 et VII.133) et de proposer un type de crédit et un montant adapté à la situation financière et au but du crédit (VII.75 et VII.131). Les professionnels collectent ainsi un grand nombre de données à caractère personnel sur l'identité, la composition du ménage, l'origine et la nature des revenus et des dettes, les dépenses et les habitudes de vie, les projets, etc.

Le cadre général du traitement des données personnelles est assuré par le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE usuellement dénommé le règlement général sur la protection des données (ci-après, RGPD), directement applicable dans les droits des Etats membres depuis le 25 mai 2018.

Auparavant, ce cadre général résultait de la loi du 8 décembre 1992 relative à la protection de la vie dans laquelle avait été transposée la directive 95/46. Par ailleurs, des dispositions particulières avaient été adoptées dans la LCC. L'action du législateur pour encadrer le traitement de ces données dans le cadre des crédits réglementés a pris deux directions presque opposées : d'une part assurer une stricte confidentialité des données communiquées par le consommateur et d'autre part, dans un souci de lutte contre le surendettement, permettre une certaine publicité des défauts de paiement (dans un premier temps) et des engagements des consommateurs en matière de crédits réglementés (depuis 2001). La loi du 8 décembre 1992 a été abrogée par la loi du 30 juillet 2018 relative à la protection des personnes physique à l'égard des traitements de données personnelles.

Les dispositions du CDE relative au traitement des données n'ont pas été modifiées depuis l'entrée en vigueur du RGPD. Elles doivent donc être interprétées à la lumière du RGPD. Le RGPD crée à l'échelle européenne, un cadre uniforme de protection des données des personnes physiques (voir l'objectif repris au considérant 13). Dans l'ordre juridique belge, un règlement européen prévaut sur une réglementation nationale qui lui serait contraire. Le RGPD prévaut donc sur les dispositions relatives aux traitements de données intégrées dans le CDE. Si les dispositions réglementaires contraires ou incompatibles ne sont pas adaptées, elles ne peuvent plus être appliquées. Les dispositions relatives au traitement des données dans le CDE, restent donc d'application pour les dispositions additionnelles qui ne sont pas contraires au RGPD et qui ne seraient pas remplacées par des dispositions identiques du RGPD.

Genèse des évolutions de la LCC en matière de protection des données personnelles

Historique

La LCC a été adoptée en 1991, dix-huit mois avant le droit commun de la protection de la vie privée que définira la loi du 8 décembre 1992 sur la protection de la vie privée à l'égard du traitement des données à caractère personnel. Ceci a contraint le législateur à insérer dans la loi de 1991, le chapitre VI de la loi, intitulé « Du traitement des données à caractère personnel en matière de crédit à la consommation». Il s'agissait en quelque sorte d'une lex specialis sans lex generalis. Il en résultait à l'époque d'importantes difficultés pour délimiter le champ d'application de ces dispositions. Une clarification interviendra à l'occasion de l'adoption de la loi du 11 décembre 1998, transposant la Directive 95/46/CE qui modifie à la fois la loi du 8 décembre 1992 et les dispositions de la LCC en matière de traitement des données à caractère personnel.

Le traitement des données à caractère personnel en matière de crédit à la consommation était alors soumis au cadre général de la loi du 8 décembre 1992 et, pour les fichiers consultés par des tiers, aux dispositions du Chapitre VI de la LCC.

La loi du 13 juin 2010 a apporté de nouvelles modifications en supprimant le Comité de surveillance initialement prévu par l'article 72 mais qui n'avait plus guère d'utilité depuis la création de la Commission de protection de la vie privée. La modification a également porté sur l'élargissement de la Centrale des crédits aux particuliers aux personnes qui constituent une sûreté et sur certains autres aspects de l'accès des professionnels au fichier de la Centrale.

Les dispositions de la LCC ont été transposée sans changement (sinon une réorganisation pour plus de clarté) dans le CDE.

Depuis lors, le législateur communautaire a adopté le RGPD, directement applicable dans les droits des Etats membres depuis le 25 mai 2018.

Traitement des données dans les crédits réglementés

C'est la centralisation et la circulation des données qui est au cœur des préoccupations du législateur en matière de données à caractère personnel. D'une part, le CDE fait obligation au prêteur et à l'intermédiaire de recueillir toutes les données nécessaires pour apprécier l'opportunité du crédit et, d'autre part, il limite la circulation de ces données à certaines d'entre elles, en faveur de certains tiers et pour certaines finalités. Toute autre utilisation est interdite. Les données à caractère personnel doivent donc rester dans les fichiers internes des professionnels et les fichiers externes, c'est à dire ceux qui peuvent être transmis à des tiers, ne peuvent contenir que les données limitativement énumérées par la loi.

Les dispositions du régime réglementé des crédits au consommateur sont reprises dans deux sous-sections :

  • une première sous-section intitulée De la transmission des données (VII.116 à VII.119 [CC] et VII.147/32 à VII.147/35 [CH]) précise les règles relatives aux fichiers externes qui ne peuvent contenir que certaines données et qui ne peuvent être transmis qu'à certains tiers, pour certaines finalités.
  • une deuxième sous-section intitulée Du traitement des données (VII.120 à VII.122 [CC] et VII.147/36 à VII.147/38 [CH]) qui s'applique tant aux fichiers externes qu'aux fichiers internes et qui constitue un rappel des principes figurant par ailleurs dans le RGPD.

Dans le souci de lutter contre l'abus de crédit, le législateur a organisé un fichier national reprenant certaines données à caractère personnel relatives à l'emprunteur: la Centrale des Crédits à la consommation instaurée au sein de la Banque nationale, initialement créée par arrêté royal du 15 avril 1985. Il s'agissait alors d'enregistrer certains défauts de paiement relatifs aux contrats de vente, de prêt personnel et de prêt à tempérament. La loi du 10 août 2001 relative à la Centrale des Crédits aux Particuliers (CCP) a élargi les activités de la Centrale en créant son volet positif. La Centrale enregistre les données déterminées par la loi pour tous les contrats de crédits (crédits à la consommation et crédits hypothécaires), - volet positif - et pour les défauts de paiements relatifs à ces contrats - volet négatif. Les dispositions relatives à la Centrale des Crédits aux Particuliers sont aujourd'hui reprises au chapitre 3 du titre 4 du Livre VII du Code de droit économique.

Voir le commentaire sur le fonctionnement de la Centrale.

Le RGPD, le cadre général

La protection des personnes physiques au regard du traitement des données personnelles est reconnue par le législateur communautaire comme un droit fondamental. Il est repris à l'article 8, paragraphe 1, de la charte des droits fondamentaux de l'Union européenne et à l'article 16, paragraphe 1, du traité sur le fonctionnement de l'Union européenne. Devant le développement des technologies et l'accroissement spectaculaire de l'utilisation des données personnelles, le législateur communautaire a estimé nécessaire de revoir le cadre créé par la directive 95/46/CE. Le RGPD revoit assez fondamentalement les obligations des responsables du traitement et de leurs sous-traitants.

Le RGPD fait l'objet de commentaires plus détaillés sur le site de l'Autorité de protection des données qui est l'institution créée par la loi du 3 décembre 2017 (Loi portant création de l'Autorité de protection des données, M.b. du 10 janvier 2018), qui a succédé à la Commission de protection de la Vie privée : https://www.privacycommission.be/fr).

 

Les définitions

Qu'est-ce qu'une donnée à caractère personnel ?

Selon l'article 4, 1) du RGPD, il s'agit de toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée»); est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

C'est une définition très large et qui ne fait aucune distinction entre des informations confidentielles, publiques, professionnelles ou non professionnelles comme, par exemple, un identifiant, un nom, une photo, un numéro de sécurité sociale, un matricule interne, une plaque d’immatriculation, une adresse postale, une adresse e-mail, un numéro de téléphone, des données de localisation, un identifiant en ligne (adresse IP par exemple), un enregistrement vocal, …. S’il est possible par recoupement de plusieurs informations (âge, sexe, ville, diplôme, etc.) ou par l’utilisation de moyens techniques divers, de cibler une personne (« singling out »), les données sont toujours considérées comme personnelles.

Qui sont les personnes concernées ?

Le RGPD ne protège pas seulement les consommateurs au sens où ce mot est défini dans le CDE. Il tend à protéger toutes les personnes physiques dont les données font l'objet d'un traitement, quel que soit leur statut, leur activité, leur origine. C'est donc ce critère objectif qui sert à délimiter le champ d'application ratione personae. Le RGPD utilise l'expression personne concernée pour désigner toute personne physique identifiée ou identifiable dont les données font l'objet d'un traitement. Une personne concernée sera donc aussi bien la personne qui emprunte, la personne physique qui constitue une sûreté (personnelle ou réelle), l'intermédiaire de crédit ou le courtier d'assurance qui exerce ses activités en personne physique, le conjoint du consommateur-emprunteur qui n'intervient pas dans le contrat de crédit mais dont l'identité et les revenus sont enregistrés à l'occasion de la collecte des données pour l'évaluation de la solvabilité (à supposer que la donnée soit pertinente et adéquate).

Qu'est-ce qu'un traitement de données ?

Le CDE contient une définition :

Article I.9, 56° - Traitement des données :

le traitement de données à caractère personnel défini par l'article 1er, § 2, de la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel.

L'article 4, 2), du RGPD substitue à la définition de la loi du 8 décembre 1992, une définition très légèrement différente : est une traitement de données, toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction.

Les dispositions du RGPD s'appliquent que le traitement soit automatisé ou non. Un traitement est automatisé lorsqu’il est réalisé en tout ou en partie à l’aide de procédés automatisés. La notion de procédé automatisé est très large puisqu’elle vise pratiquement toutes les technologies de l’information, non seulement les banques de données traditionnelles mais également toute une série d’autres applications comme la communication de données par voie électronique, les collectes d'informations par Internet, les call centers automatisés,…

Les données personnelles qui ont été anonymisées ne sont plus soumises au RGPD. L'anonymisation est un traitement qui prend pour point de départ des données à caractère personnel identifiables et fournit comme résultat des données qui ne sont plus identifiables. Bien que le produit final ne soit pas soumis au RGPD, l'anonymisation proprement dite relève bel et bien du RGPD.

En crédit à la consommation comme en crédit hypothécaire, les règles concernent d'une part le traitement mais aussi, compte tenu du caractère très sensible des données recueillies, leur transmission à des tiers.

Qu'est-ce qu'un fichier ?

Le CDE définit le fichier à l'article I;9, 57°, par un renvoi à celle qui est contenue dans la loi du 8 décembre 1992 : tout ensemble structuré de données à caractère personnel accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique. Cette définition a été reprise inchangée à l'article 4, 6), du RGPD.

La forme du fichier importe peu. Il peut s'agir de fiches, de listing papier, de fichiers informatiques, d'annuaires ou toute autre forme constituant un ensemble structuré. Il faut que l'ensemble des données soit structuré afin qu'il soit accessible selon des critères déterminés. Ceci distingue le fichier d'un dossier : Reprenant les termes de la distinction proposée dans le projet de législation générale relatif à la protection de la vie privée, on retiendra que : « La notion de fichier doit donc s'entendre au sens le plus classique du terme. Ne constituera donc pas un «fichier» au sens de la loi une succession de dossiers rangés selon un ordre alphabétique ou numérique, que ces derniers soient automatisés ou non. On pourrait objecter à cette distinction que des données sensibles peuvent également se trouver dans des dossiers. Les problèmes posés appartiennent à une problématique plus complexe, de par la variété même des pièces que les dossiers sont amenés à contenir, avis d'une autorité, correspondances diverses, etc. (Doc. Parl. Sénat, 1989-1990, 916 - 1, p. 7). Dans cette perspective il n'est pas interdit de transmettre un dossier ou un groupe de dossiers à un assureur-crédit ou par cession ou paiement subrogatoire à un tiers (autorisé au sens de l'article VII.102 et VII.147/17 (pour les crédits à but mobiliers) en ce compris l'ensemble des données personnelles qui doivent permettre la poursuite de l'exécution du contrat de crédit.

Qu'est-ce qu'un responsable du traitement ?

Le CDE contient une définition du responsable du traitement :

Article I.9, 58° - Responsable du traitement :

le responsable du traitement défini à l'article 1er, § 4, de la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel.

La définition reprise à l'article 4,7) du RGPD s'écarte assez sensiblement de celle qui figurait dans la directive 95/46 et donc dans la loi du 8 décembre 1992. L'article 4, 7), définit le responsable du traitement comme la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l'Union ou le droit d'un État membre, le responsable du traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l'Union ou par le droit d'un État membre.

Le principe de finalité est une base essentielle de la réglementation en matière de protection de la vie privée: les finalités doivent être déterminées, explicite et légitimes et les données collectées doivent être adéquates, pertinentes et limitées au regard de la finalité poursuivie par le traitement. Le responsable du traitement est donc défini par rapport au pouvoir qu'il détient sur le choix des finalités et des moyens du traitement de données à caractère personnel.

Dans le cadre de l'activité de crédit, doivent notamment être considérés comme responsables du traitement, le prêteur, l'intermédiaire de crédit qui collecte les données du consommateur et les enregistre dans ses fichiers, l'assureur crédit et plus généralement ceux auxquels le contrat de crédit (ou la créance résultant de ce contrat) est cédé ou transmis par subrogation conformément à l'article VII.102 ou VII.147/17. L'identité et l'adresse du responsable du traitement doivent être communiquées au consommateur en cas de refus du crédit (VII.79 et VII.137). Enfin, des devoirs particuliers d'information pèsent sur le prêteur lors de la collecte de l'information ou lors du premier enregistrement d'un défaut de paiement dans un fichier externe ou dans la Centrale des Crédits.

Le RGPD allège les formalités auxquelles étaient soumis les responsables du traitement sous la directive 95/46 (il supprime ainsi l'obligation de déclaration préalable des finalités à l'autorité de protection des données) mais renforce considérablement leurs obligations dans la sécurisation des traitements et la protection de la confidentialité des données. Il étend ces obligations aux sous-traitants auxquels le responsable du traitement confie tout ou partie du traitement.

Qu'est-ce qu'un délégué à la protection des données ?

Le RGPD crée un nouvel acteur et une nouvelle compétence dans le traitement des données à caractère personnel. Le délégué à la protection des données contrôle les traitements de données au sein de son organisation. Il informe et conseille le responsable du traitement, il contrôle l'application du RGPD, il est associé à la réflexion sur toutes les questions posées au responsable du traitement en matière de protection des données et collabore avec l'autorité de contrôle. Les personnes concernées peuvent prendre contact directement avec lui pour les questions relatives au traitement de leurs données personnelles. Le responsable du traitement ne peut lui donner aucune instruction au sujet de sa mission et il est tenu au secret professionnel (article 37, 38 et 39, RGPD).

Les principes généraux applicables au traitement de données à caractère personnel

Les bases juridiques pour un traitement licite

Selon l'article 5.1, a), du RGPD pour être autorisé, le traitement de données à caractère personnel doit être licite. L'article article 6.1 du RGPD précise que le traitement estlicite s'il repose sur l'une des 6 bases juridiques qu'il énumère :

  1. La personne concernée a consenti au traitement de ses données personnelles pour une ou plusieurs finalités spécifiques (article 6.1, a, RGPD). Pour être considéré comme valablement émis, le consentement doit répondre à certaines conditions fixées par le RGPD.. Le consentement ainsi donné peut toujours être retiré à tout moment (article 7.3 RGPD).
  2. Le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci (article 6.1, b, RGPD).
  3. le traitement est nécessaire au respect d'une obligation légale à laquelle le responsable du traitement est soumis;
    Dans la mesure où les dispositions du CDE (VII.69 et VII.126) obligent les professionnels à recueillir les données à caractère personnel pour procéder à l'évaluation de la solvabilité, ces dispositions constituent la base de légitimité du traitement des données nécessaires pour les crédits réglementés.

  4. Le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne physique(article 6.1, d, RGPD).
  5. Le traitement est nécessaire à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement;
  6. Le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant.

Le traitement des données doit être licite, loyal et transparent

L'article 5.1, a), du règlement impose de traiter les données recueillies de manière licite (voir ci-dessus), loyale et transparente.

Le principe de licéité a déjà été commenté : le traitement des données à caractère personnel pour crédits réglementés est imposé par la loi soit en l'espèce, les VII.69 et VII.126 du CDE.

Le principe de loyauté oblige le prêteur à communiquer au consommateur préalablement au traitement, les finalités de celui-ci (qui doivent être déterminées, explicites et légitimes - article 5.1, b), RGPD) et ensuite, de n'effectuer qu'un traitement qui soit conforme aux finalités déclarées (sauf les exceptions prévues à l'article 89 du RGPD pour le traitement à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou à des fins statistiques, en principe après pseudonymisation des données).

La transparence est évoquée au considérant (39), RGPD : Le principe de transparence exige que toute information et communication relatives au traitement de ces données à caractère personnel soient aisément accessibles, faciles à comprendre, et formulées en des termes clairs et simples. Ce principe vaut, notamment, pour les informations communiquées aux personnes concernées sur l'identité du responsable du traitement et sur les finalités du traitement ainsi que pour les autres informations visant à assurer un traitement loyal et transparent à l'égard des personnes physiques concernées et leur droit d'obtenir la confirmation et la communication des données à caractère personnel les concernant qui font l'objet d'un traitement.

Le considérant (58) ajoute que l'information lorsqu'il y a lieu, est illustrée à l'aide d'éléments visuels. Ces informations pourraient être fournies sous forme électronique, par exemple via un site internet lorsqu'elles s'adressent au public. Ceci vaut tout particulièrement dans des situations où la multiplication des acteurs et la complexité des technologies utilisées font en sorte qu'il est difficile pour la personne concernée de savoir et de comprendre si des données à caractère personnel la concernant sont collectées, par qui et à quelle fin, comme dans le cas de la publicité en ligne.

Les règles de transparence sont reprises à l'article 12 du RGPD.

Le principe de finalité

L’article 5.1 b) énonce que les données ne peuvent être récoltées que pour des finalités déterminées, explicites et légitimes et ne pas être traitées ultérieurement d'une manière incompatible avec ces finalités. C'est par le principe de finalité que se réalise la synthèse entre la nécessaire publicité que requiert l’objectif de lutte contre le surendettement par la diffusion au sein du secteur, de données relatives aux crédits et la nécessité de préserver la vie privée de chaque consommateur. Les finalités doivent être utiles et nécessaires pour le responsable du traitement. Certaines décisions judiciaires ont été prononcées pour violation du principe de finalité.

Lorsque les données sont recueillies sur base d'une disposition légale, le RGPD (article 6.2) détermine que les règles générales peuvent être adaptées par le législateur national. Dans les crédits réglementés le principe de finalité est régi par les articles VII.69 et VII.77 pour le crédit à la consommation et VII.126 et VII.133 pour le crédit hypothécaire : les données ne peuvent être recueillies que pour l'évaluation de la solvabilité de l'emprunteur ou de la personne qui constitue une sûreté personnelle. Le marketing par exemple, n'est pas une finalité autorisée par le CDE et la communication de données à cette fin est donc interdite.

Le prêteur peut-il recueillir d'autres données (non nécessaires pour l'évaluation de la solvabilité) à l'occasion d'une demande de crédit ? La réponse est négative. Le prêteur ne peut pas recueillir des informations non nécessaires dans le questionnaire prévu aux articles VII.69 et VII.126. Rien n'interdit cependant au prêteur de solliciter le consentement préalable de la personne concernée pour solliciter d'autres information à charge pour le prêteur de respecter, pour ces données, l'ensemble des obligations découlant du traitement de données obtenues sur base du consentement, en ce compris, le droit pour la personne concernée de retirer son consentement à tout moment (article 7.3 du RGPD). Le devoir de transparence prévu à l'article 9 du RGPD impose également de distinguer très nettement (article 13, 2. e) les informations obtenues sur la base réglementaire (en précisant qu'elles conditionnent la conclusion du contrat) des autres informations dont le caractère facultatif devra être mis en évidence.

Le principe de minimisation : les données collectées doivent être adéquates, pertinentes et limitées

Le RGPD reprend en son article 5.1, c, les exigences qui figuraient dans la directive 95/46/CE (et déjà transposées dans la loi du 8 décembre 1992). Le prêteur et l'intermédiaire ne peuvent collecter que les informations adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (article 5.1, c). Cela implique que les données à caractère personnel ne peuvent être traitées que s’il existe entre ces données et la finalité légitime (l’appréciation de la situation financière et la solvabilité du consommateur) un "lien logique et nécessaire". Cette appréciation déterminera en pratique l’accord ou le refus de l’octroi du crédit. Selon l’expression de T. Leonard, "Les enregistrements sont autant de clignotants devant servir tant à protéger le consommateur contre une aggravation inacceptable de son état d’(e) (sur)endettement qu’à éviter l’octroi de crédits dont le remboursement est peu probable". («Centrales des crédits et protection de la vie privée : incertitude et insécurité juridique », D.C.C.R., 1996, p. 74).

L'article VII.126, § 1, al. 2, reprend ce principe pour les crédits hypothécaires : Ces demandes d'informations sont proportionnées et limitées à ce qui est nécessaire pour procéder à une évaluation appropriée de la solvabilité. La règle précisée à l'article 5.1, c), du RGPD a une portée générale et s'applique donc à tous les crédits réglementés, en ce compris le crédit à la consommation même si la précision ne figure pas dans l'article VII.69.

Si elles doivent être limitées, les données doivent également être suffisantes pour permettre au prêteur et à l’intermédiaire de crédit de remplir les obligations d'évaluation de la solvabilité et de conseil qui leur incombent. Dans son arrêt Consumer Finance, la Cour de justice a rappelé que la détermination des informations nécessaires, relève de la responsabilité du prêteur. Jugé ainsi que, dans l’examen d’une demande de crédit, un donneur de crédit ne pouvait se limiter à demander une seule fiche de salaire et à consulter la banque centrale de données de la Banque nationale, sans demander d’autres informations en rapport avec la situation familiale des consommateurs, leurs charges et les emprunts en cours (J.P. Vilvorde, 28 juin 2001, Ann. Crédit, 2001, p. 158).

Le traitement des données sensibles

L'article 9.1 du RGPD interdit le traitement de données à caractère personnel qui révèle l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d'identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique. Mais le traitement de ces données est néanmoins possible si la personne concernée a consenti explicitement à ce traitement (article 9.2, a). Cette exception peut toutefois être écartée par les législateurs nationaux qui peuvent prévoir que l'exception ne peut pas être levée par la personne (même disposition).

C'est ce qui est prévu pour les crédits réglementés : En aucun cas, les renseignements sollicités ne peuvent concerner la race, l'origine ethnique, la vie sexuelle, la santé, les opinions ou activités politiques, philosophiques ou religieuses ou l'appartenance syndicale ou mutualiste (VII.69, § 1, al.2, et VII.126, § 1, al.4).

Les questionnaire soumis au consommateur et à la personne qui constitue une sûreté personnelle ne peut donc en aucun cas porter sur ces données.

Principe d'exactitude : Les données doivent être exactes et si nécessaire, tenues à jour

Selon l'article 5.1, d), les données doivent être exactes et, si nécessaire, tenues à jour. La loi du 8 décembre 1992 formulait déjà ces exigences. Les régimes réglementés de crédits aux consommateurs confirment l'obligation pour les professionnels de recueillir des renseignements exacts et complets. Les dispositions légales soulignent également l'obligation du consommateur et de la personne qui constitue une sûreté personnelle, de répondre de manière exacte et complète (VII.69, § 1, et VII;126, § 1).

La mise à jour des données ne s'impose que si elles sont appelées à faire l'objet d'un traitement récurrent ou si ce n'est pas le cas, si un nouveau traitement est nécessaire .Il va de soi qu'en cas de nouveau traitement des données, par exemple à l'occasion d'une nouvelle demande de crédit, il incombe au prêteur et à l'intermédiaire de soumettre un nouveau questionnaire ou, à tout le moins, de s'assurer auprès des personnes concernées que les réponses fournies antérieurement sont toujours exactes et complètes.

Les données récoltées à l'occasion d'un crédit à la consommation doivent obligatoirement être mises à jour lorsque le Code le prévoit. C'est le cas des articles VII.77, 1er, et VII.133, § 1er, qui prévoient une consultation annuelle de la Centrale des crédits pour les contrats de crédit à durée indéterminée.

Principe de limitation de la conservation

Ce principe, repris à l'article 5.1, e) et qui figurait déjà dans la loi de 1992, oblige le responsable du traitement à ne conserver les données sous une forme permettant l'identification des personnes concernées que pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées. Elles doivent donc être effacées périodiquement (considérant n° 39 : Afin de garantir que les données ne sont pas conservées plus longtemps que nécessaire, des délais devraient être fixés par le responsable du traitement pour leur effacement ou pour un examen périodique). Pour les crédits réglementés, Le code impose de conserver les données personnelles recueillies à l’occasion de l'octroi du crédit aussi longtemps que le crédit prélevé n'a pas été remboursé (VII.69, § 2, et VII.126, § 2). Une fois le crédit remboursé, un effacement des données s'impose donc.

En ce qui concerne les défauts de paiement, la loi prévoit les durées de conservation des données enregistrées dans les fichiers internes du responsable du traitement, dans les fichiers externes et à la Centrale des Crédits aux Particuliers.

Voyez le commentaire des articles VII.120 et VII.147/36.

Droits des personnes concernées

Information lors de l'enregistrement des données

L'article 13 du RGPD impose au responsable du traitement de communiquer à la personne concernée, au moment où les données en question sont obtenues, une liste d'informations plus large que celle qui était reprise dans la loi du 8 décembre 1992. Outre la finalité du traitement, le responsable du traitement doit indiquer la base juridique du traitement (les articles VII.69 ou VII.126), les destinataires du traitement, la durée de conservation, les droits de la personne (droits d'accès, de rectification, d'effacement, de limitation du traitement, d'opposition au traitement, le droit à la portabilité, le droit de déposer une réclamation auprès de l'autorité de contrôle).

En particulier, le responsable du traitement doit fournir des informations sur la question de savoir si l'exigence de fourniture de données à caractère personnel a un caractère réglementaire ou contractuel ou si elle conditionne la conclusion d'un contrat et si la personne concernée est tenue de fournir les données à caractère personnel, ainsi que sur les conséquences éventuelles de la non-fourniture de ces données (article 13.2, f). Le prêteur devra donc préciser que les données sont recueillies sur la base des article VII.69 et VII.126 du CDE, que la communication de ces données est indispensable à la conclusion du contrat et qu'à défaut le prêteur ne pourra consentir de crédit. Pour les contrats de crédit hypothécaire, cet avertissement est explicitement prévu à l'article VII.126, § 1, al. 3. Il s'impose également en crédit à la consommation en raison de l'effet direct du RGPD.

C'est au moment où les données sont récoltées que la communication doit être faite au consommateur. Elle est donc préalable à la signature du contrat de crédit. L'ensemble de ces informations peut figurer sur le questionnaire remis au candidat emprunteur et à la personne qui constitue une sûreté personnelle, pour autant qu'un exemplaire de ce questionnaire soit laissé en leur possession. Par contre, l'enregistrement des données à la Centrale des Crédits aux Particuliers n'intervient qu'une fois le contrat de crédit signé. L'information est prévue, dans ce cas, par une mention obligatoire du contrat de crédit à la consommation (VII.78, § 2, 10° à 13°) comme du crédit hypothécaire (VII.134, § 2, 10°à 13°). Quant à l'enregistrement en cas de défaut de paiement, il est prévu par l'article VII.151 CDE.

Voyez le commentaire des articles VII.121 et VII.147/37 ou les commentaires sur la Centrale des Crédits au Particulier

Accès, correction, effacement, limitation, portabilité

Le RGPD reprend les droits d'accès (article 15, RGPD) de rectification et d'effacement (articles 16 et 17, RGPD), le droit à la limitation du traitement (article 18) et le droit à la portabilité des données (article 20, RGPD).
On consultera à cet égard le commentaire des articles VII.122 et VII.147/38.

Décision individuelle automatisée, profilage

L'article 22 du RGPD, précise que les personnes physiques ont le droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l'affectant de manière significative de façon similaire. L'administration considère que la base légale imposant la collecte des données personnelles lors de la phase précontractuelle et en particulier le devoir de conseil et le devoir d'évaluation de la solvabilité, s'opposent à l'utilisation du seul crédit scoring dans l'octroi de crédit et ne permettent pas d'utiliser les exceptions prévues par l'article 22.1, a) et c) (pour plus de commentaire voyez le crédit-scoring).

Une intervention humaine effective (et pas simplement, formelle) est toujours requise dans l'évaluation de la solvabilité et dossier de crédit doit garder la trace de cette intervention humaine dans la décision.

Devoir de vigilance et mesures techniques et organisationnelles

S'il supprime certaines règles formalistes prévue dans la directive 95/46 (et notamment la déclaration préalable des finalités à l'autorité de contrôle), le RGPD renforce les obligations des responsables du traitement et de leurs sous-traitants notamment en leur imposant notamment de mettre en œuvre des mesures techniques et organisationnelles appropriées pour s'assurer et être en mesure de démontrer que le traitement est effectué conformément au présent règlement. Ces mesures sont réexaminées et actualisées si nécessaire (article 24,1, RGPD).

Le considérant 78 relève à cet égard : Lors de l'élaboration, de la conception, de la sélection et de l'utilisation d'applications, de services et de produits qui reposent sur le traitement de données à caractère personnel ou traitent des données à caractère personnel pour remplir leurs fonctions, il convient d'inciter les fabricants de produits, les prestataires de services et les producteurs d'applications à prendre en compte le droit à la protection des données lors de l'élaboration et de la conception de tels produits, services et applications et, compte dûment tenu de l'état des connaissances, à s'assurer que les responsables du traitement et les sous- traitants sont en mesure de s'acquitter des obligations qui leur incombent en matière de protection des données.

Le RGPD précise un ensemble d'obligations à charge des responsables du traitement et de leurs sous-traitants:

  1. Mettre en œuvre des mesures techniques et organisationnelles appropriées pour s'assurer et être en mesure de démontrer que le traitement est effectué conformément au règlement (24.1, RGPD).
  2. Mettre en œuvre des politiques appropriées en matière de protection des données (24.2, RGPD).
  3. Utiliser lors de la détermination des moyens du traitement et lors du traitement lui-même, des mesures techniques appropriées telles la pseudonymisation
  4. Adhérer à un Codes de conduite (24.3, RGPD) et mettre en place des mécanismes de certification par des tiers indépendants (25.3, RGPD).
  5. Définir de manière transparente les obligations de chaque responsable du traitement en cas de traitement conjoint (26, RGPD).
  6. Sélectionner des sous-traitants qui présentent des garanties suffisantes quant à la mise en œuvre de mesure techniques et organisationnelles similaires et leur imposer par voie contractuelle des obligations quant au choix de ses partenaires (sous-traitants du sous-traitant), à l'adhésion à un code de conduite et à la mise en place d'un mécanisme de certification (28, RGPD).
  7. Mettre en place un registre des activités de traitement reprenant notamment les finalités du traitement, une description des catégories de personnes concernées et des catégories de données à caractère personnel, une description des catégories de destinataires auxquels les données sont ou seront communiquées, les délais de conservation et une description générale des mesures de sécurité techniques et organisationnelles (30 RGPD).
  8. Mettre en place des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque (32, RGPD).
  9. Notifier les violations de données personnelles sans délai à l'autorité de protection des données (33, RGPD) et les personnes concernées, si la violation est susceptible d'engendrer un risque élevé pour les droits et libertés (34, RGPD).
  10. Réaliser une analyse d'impact des opérations de traitement sur la protection des données à caractère personnel (35, RGPD)
  11. Désigner un délégué à la protection des données lorsque les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées (37, RGPD).

.

Remonter