Les finalités pour lesquelles les données à caractère personnel peuvent être transmises

Les dispositions commentées limitent les finalités pour lesquelles les prêteurs sont autorisés à transmettre certaines données à caractère personnel recueillies à l'occasion d'un crédit. Le traitement ne peut servir qu'à évaluer la situation financière et la solvabilité des consommateurs (et de la personne qui constitue une sûreté) d'une part, ou dans le cadre de l'octroi ou de la gestion des crédits ou de services de paiement susceptibles de grever le patrimoine privé d'une personne physique et dont l'exécution peut être poursuivie sur le patrimoine privé de cette personne.

Aucune autre finalité n'est autorisée par le Code qui, par ailleurs, exclut expressément que ces données puissent être utilisées à des fins de prospection commerciale.

L'adéquation des données recueillies avec les finalités autorisées par la loi - principe de minimisation

Les finalités ici envisagées sont celles du traitement pour lequel la transmission des données est autorisée (moyennant respect des autres conditions sur les données et le tiers autorisé).

Le deuxième paragraphe des dispositions commentées applique la principe de minimisation qui figure dans la lex generalis que constitue le RGPD (voir le commentaire) (soit, en l’occurrence son article 5.1, c.) : les données doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles pourront être traitées. Cette règle doit être lue en parallèle avec les articles VII.118 et VII.147/34 qui précisent quelles données peuvent être transmises. La liste des données reprise dans ces dispositions ne signifie pas qu'elles peuvent toujours toutes être transmises. Parmi ces données, ne peuvent être transmises que celles qui sont adéquates, pertinentes et limitées à ce qui est nécessaire au regard du traitement envisagé.

L'interdiction pure et simple de la transmission des données pour le marketing

Le texte légal interdit que le destinataire des données transmises les utilise à des fins de marketing. Les dispositions commentées ne prévoient en effet aucune exception à cette interdiction quelles que soient le contenu des données et indépendamment du fait que le consommateur l'autoriserait. Ainsi, utiliser de manière systématique les données de la CCP pour inciter le consommateur au regroupement de ses dettes est une utilisation interdite (voir pro justitia). Toutefois, à moins que la personne concernée s'y oppose, l'administration admet que les données limitées au nom et l'adresse puisse être transmises pour le marketing direct à la condition qu'aucun lien n'existe avec le contrat de crédit et que cela soit explicitement prévu dans l'information communiquée à la personne concernée.

Constitue ainsi une pratique interdite, le fait d'utiliser les données de la Centrale pour organiser une campagne publicitaire en ciblant certains consommateurs ou en écartant certains consommateurs.

L'information de la personne concernée

Dans les clauses du contrat de crédit, le prêteur doit assumer son obligation d'information en prévoyant des clauses différentes pour les fichiers internes - qui ne sont pas destinés à la consultation par des tiers - et les fichiers destinés à la consultation. L'article 13.1, e) du RGPD oblige le prêteur, responsable du traitement, à préciser le destinataire ou les catégories de destinataires des données à caractère personnel dans l'information qui doit être communiquée à la personne concernée lors de l'enregistrement initial de ses données. Aucune confusion ne peut être entretenue quant aux finalités des fichiers internes et des fichiers de données dont la consultation par des tiers est envisagée. Ces dernières données ne peuvent en aucun cas être directement ou indirectement utilisées pour la prospection commerciale.

Les finalités de la Centrale des Crédits aux Particuliers

La CCP est un fichier dont la finalité est définie par la loi. La transmission des données concernant les crédits réglementés est une obligation qui découle du chapitre 3 du Titre 4 du Livre VII du CDE. C'est un fichier destiné à la consultation par les prêteurs et qui a pour finalité d'offrir des informations pour apprécier la situation financière et la solvabilité du consommateur. L'usage limité des données résultant de la CCP est précisé à l'article VII.153, § 2 : Les renseignements communiqués par la Banque ne peuvent être utilisés que dans le cadre de l'octroi ou de la gestion de crédits ou de moyens de paiement, susceptibles de grever le patrimoine privé d'une personne physique et dont l'exécution peut être poursuivie sur le patrimoine privé de cette personne. Ces renseignements ne peuvent être utilisés à des fins de prospection commerciale.

Exemples - avis de l'administration

• Les finalités doivent être mentionnées de manière claire et précise : ainsi et après avis de la Commission de Protection de la Vie Privée, l'administration a considéré que la référence "marketing et/ou prospection commerciale" est très vague, et peut viser en pratique bon nombre de situations et services internes ou externes tant au sein, qu'en dehors de l'établissement de crédit. Le terme « marketing» doit au moins être lié à des services décrits plus clairement et à un responsable concret interne ou externe. (Par exemple: «marketing» pour octroi de crédit par le dispensateur de crédit »).

Jurisprudence

Ont constaté une violation du principe de finalité:

• Comm. Anvers (prés.), 7 juillet 1994, D.C.C.R., 1994-1995, p. 77 et note Th. LEONARD, « La banque, le courtier et la vie privée : une première décision jurisprudentielle », confirmé par Anvers, 3 mai 1999, A.J.T., 1999, p. 437 et note C. DE VOS, « Het gebruik door de bank van informatie verkregen in het kader van haar bankiersactiviteit getoest aan de Privacywetgeving » : une banque détectait dans les virements qu’elle recevait de ses clients, les paiements effectués à des entreprises d’assurance en vue de leur proposer ses propres produits d’assurance. Le juge a estimé qu’il y avait là un détournement de finalité et a condamné la banque. Cette décision a été confirmée par la cour d’appel d’Anvers qui a en outre précisé que la banque avait en outre violé son devoir de discrétion.
• Comm. Hasselt (prés.), 13 octobre 1995, Prat. Comm. & Concurrence, Ann. 1995, p. 423. En vertu de cette décision, lorsque le préposé de la division voyages d’une banque demande des informations concernant le crédit d’un client à la banque, et que cette dernière consulte ses fichiers qui contiennent des informations personnelles, il s’agit d’un traitement au sens de la loi du 8 décembre 1992. Il convient dès lors de vérifier si le principe de finalité est respecté.
• Bruxelles, 15 février 2005, cité par J. ROGGE, C.-A. VAN OLDENEEL, « Protection de la vie privée et bancassurfinance », in Bancassurfinance, 2005, p. 405. Cette décision condamne une banque pour avoir utilisé les données relatives aux paiements effectués par des clients dans le but de contrôler les activités de certains de ses agents bancaires. La banque avait découvert en analysant ces données que certains de ses agents commercialisaient des produits d’autres institutions financières.