VII.119 - VII.147/35 : Tiers autorisés
Les dispositions
Le texte des dispositions est identique.
VII.119
VII.147/35
La notion de tiers
La notion de tiers est définie à l'article 4.10 du RGPD. Il s'agit d'une personne physique ou morale, une autorité publique, un service ou un organisme autre que la personne concernée, le responsable du traitement, le sous-traitant et les personnes qui, placées sous l'autorité directe du responsable du traitement ou du sous-traitant, sont autorisées à traiter les données à caractère personnel.
Dans quelle mesure les données des fichiers peuvent-elles être transmises à des tiers (RGPD) ?
Le RGPD ne contient aucune interdiction de principe quant à la transmission de données. La transmission de ces données devra néanmoins s'effectuer dans le respect du principe de finalité et sous réserves des règles applicable en cas de transfert hors UE. Le principe impose que, dans l'avertissement adressé à la personne concernée lors de l'enregistrement initial, soient précisés les destinataires ou les catégories de destinataires des données à caractère personnel, s'ils existent(articles 13.1, e) et 14.1, e), RGPD). Par destinataire, le RGPD désigne la personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui reçoit communication de données à caractère personnel, qu'il s'agisse ou non d'un tiers (4, 9), du RGPD),
Personnes à qui les données peuvent être communiquées (les restrictions du CDE)
Les articles VII.119 et VII.147/35 limitent strictement l'accès des fichiers externes à certains tiers. Ces personnes sont les seules à pouvoir accéder aux données personnelles recueillies à l'occasion d'opérations de crédit réglementées. Un arrêt du 27 juin 2007 de la Cour d'appel de Bruxelles, statuant au provisoire dans le cadre d'une procédure tendant à suspendre une mesure de radiation d'un prêteur, a estimé que c'est à bon droit que le Ministre avait sanctionné un prêteur qui avait transmis les informations de la Centrale à une société sœur (autre prêteur qui ne bénéficiait pas encore de l'agrément comme prêteur) (Bruxelles, 27 juin 2007, inédit., rép. n° 2007/5176).
En vertu de l’article 6 de l’arrêté royal du 20 novembre 1992, aucun mandat pour obtenir la communication des données ne peut être octroyé à une personne autre que celles visées à l’article 69 §4 [lire: VII.119 et VII.147/35].
En dehors du prêteur lui-même et du consommateur, les personnes autorisées à accéder aux fichiers sont :
- les prêteurs agréés ou enregistrés;
- les personnes qui sont autorisées à effectuer des opérations d'assurance-crédit en application de la loi du 13 mars 2016 relative au statut et au contrôle des entreprises d'assurance ou de réassurance;
- la FSMA et la Banque dans le cadre de leurs missions;
- les prestataires de services de paiement, dans la mesure où ces personnes communiquent, sur base de règles de réciprocité, leurs données relatives aux services de paiement;
- les associations de personnes ou d'institutions visées aux 1°, 2°, et 4°, du présent alinéa, agréées à cet effet par le ministre ou son délégué sous les conditions suivantes : (a) être dotées de la personnalité civile; (b) être formées à des fins excluant tout but de lucre et n'être constituées que dans le but de la protection des intérêts professionnels de ses membres; (c) être composées de membres n'ayant pas encouru l'une des sanctions administratives ou pénales;
- l'avocat, l'officier ministériel ou le mandataire de justice, dans l'exercice de son mandat ou de sa fonction, et dans le cadre de l'exécution d'un contrat de crédit;
- le médiateur de dettes dans l'exercice de sa mission dans le cadre d'un règlement collectif de dettes, visé aux articles 1675/2 à 1675/19 du Code judiciaire;
- les agents du SPF Economie compétents pour agir dans le cadre du livre XV;
- les personnes qui exercent une activité de recouvrement amiable de dettes du consommateur et qui, à cet effet, conformément à l'article 4, § 1er, de la loi du 20 décembre 2002 relative au recouvrement amiable des dettes du consommateur, sont inscrites auprès du SPF Economie;
- la Commission pour la Protection de la Vie privée (devenue l'Autorité de la protection des données) dans le cadre de sa mission;
- les organismes de mobilisation au sens de l'article 2 de la loi du 3 août 2012 relative à des mesures diverses pour faciliter la mobilisation de créances dans le secteur financier.
Les intermédiaires de crédit
Les sociétés faisant partie d'un même groupe constituent-elles des tiers les unes par rapport aux autres ?
Dès lors que les données sont destinées à être consultées par des tiers, il y a lieu à application des articles VII.116 et VII.147/32 et suivants. Un traitement de données effectué au sein d’un groupe de sociétés ne sera dès lors admissible que s'il porte sur les données limitativement énumérées (VII.118 et VII.147/34), que la communication soit réservée aux sociétés du groupe qui rentrent dans les définitions des articles VII.119 et VII.147/35) et que la transmission respecte les finalités autorisées.
Pour les autres données, celles qui n'ont pas été recueillies à l'occasion d'un crédit à la consommation, il est possible d'organiser un échange d'information conformément au RGPD. Cette finalité doit être précisée dans les clauses d’information Vie privée.
Exemple - jurisprudence et avis de l'administration
- Un litige a opposé l'administration à deux prêteurs appartenant au même groupe et auxquels plusieurs infractions étaient reprochées. Parmi ces infractions figurait le fait pour le prêteur A d'avoir consulté la Centrale des Crédits et d'avoir transmis les résultats de cette consultation au prêteur B qui ne disposait pas encore de l'agrément requis. Suite à la sanction infligée par le Ministre de l'Economie un recours en suspension a été introduit devant le Président du Tribunal de Commerce alors compétent (selon l'article 108 alors en vigueur mais aujourd'hui abrogé). Le Président du Tribunal de Commerce a fait droit à cette demande en suspension, décision réformée par un arrêt du 26 juin 2007 de la première chambre de la Cour d'appel de Bruxelles. Dans ses attendus, la Cour observe : Het is niet betwist dat B*** tussen 1 januari en 15 maart 2001 opdracht heeft gegeven aan A*** om de centrale gegevens te raadplegen en evenmin dat B*** tot die laatste datum geen erkenning had. Uit artikel 6, § 3 van het koninklijk besluit van 20 november 1992 betreffende de verwerking van de persoonsgegevens inzake consumentenkrediet kan niet worden afgeleid dat een niet erkende rechtspersoon zo een volmacht kan verlenen aan een erkende rechtspersoon. Het naar het oordeel van B*** "uitblijven van haar erkenning" doet niets af aan de gepleegde inbreuk. Hetzelfde geldt voor de stelling van B*** dat deze handelswijze geen nadelen aan de consument zou hebben meegebracht. (traduction libre : Il n'est pas contesté que B *** a demandé à A *** entre le 1er janvier et le 15 mars 2001 de consulter les données de la centrale, ni que B *** n'avait aucune reconnaissance avant la dernière date. Il ne saurait être déduit de l'article 6, § 3 de l'arrêté royal du 20 novembre 1992 relatif au traitement des données à caractère personnel relatives au crédit à la consommation qu'une entité juridique non autorisée peut donner pouvoir à une personne morale reconnue. "l'abstention à solliciter une reconnaissance" selon l'opinion de B *** ne porte pas atteinte à l'infraction commise. Il en va de même pour la déclaration de B *** selon laquelle cette pratique n'aurait entraîné aucun désavantage pour le consommateur).
Avis de l'administration
- La communication d’un défaut de paiement concernant un consommateur par le prêteur à l’intermédiaire est contraire à l'article 69 § 4 LCC.
- L’article 69 § 4 LCC interdit de communiquer à des tiers non autorisés, les données émanant des maîtres des fichiers extérieurs. Cette interdiction ne vise pas les données émanant des fichiers internes du prêteur sous réserve de la loi du 8 décembre 1992.