www.belgium.be logo BE

    CODE ANNOTE DES CREDITS AUX CONSOMMATEURS

    VII.121 - VII.147/37 : Information du consommateur lors de l'enregistrement

     

     

    Le RGPD, norme supérieure au CDE, conséquences.

    Les articles VII.121 et VII.147/37 ont été insérés dans le CDE avant l'entrée en vigueur du RGPD, directement applicable dans les droits des Etats membres depuis le 25 mai 2018. Ce texte est une norme supérieure au droit national. Le CDE ne peut être appliqué que dans la mesure où il n'est pas contraire au RGPD. Or, le RGPD contient des dispositions plus détaillées que le CDE en matière d'information du consommateur lors de l'enregistrement initial des données. C'est donc le RGPD qui fournit la réglementation applicable en matière d'information des personnes concernées et les articles VII.121 et VII.147/34 doivent être considérés comme remplacés par les dispositions du RGPD (et notamment les articles 13 et 14 en ce qui concerne l'enregistrement initial).

     

    Le régime du RGPD

     

    Principe

    "Le principe de traitement loyal et transparent exige que la personne concernée soit informée de l'existence de l'opération de traitement et de ses finalités. Le responsable du traitement devrait fournir à la personne concernée toute autre information nécessaire pour garantir un traitement équitable et transparent, compte tenu des circonstances particulières et du contexte dans lesquels les données à caractère personnel sont traitées. En outre, la personne concernée devrait être informée de l'existence d'un profilage et des conséquences de celui-ci. Lorsque les données à caractère personnel sont collectées auprès de la personne concernée, il importe que celle-ci sache également si elle est obligée de fournir ces données à caractère personnel et soit informée des conséquences auxquelles elle s'expose si elle ne les fournit pas" (considérant n°60 du RGPD).

     

    L'information de la personne auprès de laquelle les données sont collectées

     

    Informations à fournir dans tous les cas

    L'article 13 du RGPD impose au responsable du traitement de communiquer à la personne concernée, au moment où les données en question sont obtenues, une liste d'informations plus large que celle qui était reprise dans la loi du 8 décembre 1992 et dans le CDE. Il s'agit de :

    1. l'identité et les coordonnées du responsable du traitement et, le cas échéant, du représentant du responsable du traitement ;
      A cet égard, les articles VII.121 et VII.147/37 précisent que lorsque le responsable du traitement n'est pas établi sur le territoire de l'Union, il doit désigner un représentant responsable sur le territoire belge. Cette question est désormais réglée par l'article 27  du RGPD qui fait obligation au responsable du traitement établi en dehors de l'Union de désigner un représentant dans un des Etats membres dans lesquels se trouvent les personnes physiques dont les données à caractère personnel font l'objet d'un traitement (voir le texte complet de la disposition). L'exigence de disposer d'un représentant en Belgique paraît donc contraire au texte du RGPD et doit donc être considérée comme inapplicable, depuis le 25 mai 2018.
    2. les finalités du traitement auquel sont destinées les données à caractère personnel ainsi que la base juridique du traitement ;
      L'indication de la base juridique du traitement est une exigence nouvelle qui ne figurait pas dans le régime antérieur. Cette base juridique est à trouver dans l'une des 6 bases juridiques énumérées à l'article 6.1 du RGPD. L'indication de la base du traitement est une information importante pour la personne concernée puisqu'elle détermine l'étendue des droits de la personne et la nature des recours qui peuvent être exercés. Le traitement des donnée personnelles collectées à l'occasion d'un crédit est basé sur une obligation légale (hypothèse prévue à l'article 6.1, c) du RGPD).
    3. lorsque le traitement est fondé sur l'article 6, paragraphe 1, point f), les intérêts légitimes poursuivis par le responsable du traitement ou par un tiers;
    4. les destinataires ou les catégories de destinataires des données à caractère personnel, s'ils existent; et
    5. le cas échéant, le fait que le responsable du traitement a l'intention d'effectuer un transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale, et l'existence ou l'absence d'une décision d'adéquation rendue par la Commission ou, dans le cas des transferts visés à l'article 46 ou 47, ou à l'article 49, paragraphe 1, deuxième alinéa, la référence aux garanties appropriées ou adaptées et les moyens d'en obtenir une copie ou l'endroit où elles ont été mises à disposition.
      Il est rappelé que les dispositions du CDE interdisent le transfert des données vers des tiers non autorisés par l'article VII.119 (VII147/35

     Le droit d'opposition doit être signalé à la personne concernée au plus tard au moment de la première communication. Il doit être explicitement porté à l'attention de la personne concernée et être présenté clairement et séparément de toute autre information (article 21.4 RGPD).

     

     

     Les informations complémentaires

    Le RGPD prévoit que le responsable du traitement doit fournir des informations complémentaires pour garantir un traitement équitable et transparent, compte tenu des circonstances particulières et du contexte dans lesquels les données à caractère personnel sont traitées considérant 60 du RGPD).

    Ces informations complémentaires concernent :

    1. la durée de conservation des données à caractère personnel ou, lorsque ce n'est pas possible, les critères utilisés pour déterminer cette durée;
      La durée des conservation des données à caractère personnel collectées à l'occasion d'un crédit réglementé est réglée par la loi (voyez le commentaire des articles VII.120 et VII.147/33).
    2. l'existence du droit de demander au responsable du traitement l'accès aux données à caractère personnel, la rectification ou l'effacement de celles-ci, ou une limitation du traitement relatif à la personne concernée, ou du droit de s'opposer au traitement et du droit à la portabilité des données;
    3. lorsque le traitement est fondé sur l'article 6, paragraphe 1, point a), ou sur l'article 9, paragraphe 2, point a), l'existence du droit de retirer son consentement à tout moment, sans porter atteinte à la licéité du traitement fondé sur le consentement effectué avant le retrait de celui-ci;
    4. le droit d'introduire une réclamation auprès d'une autorité de contrôle;
    5. des informations sur la question de savoir si l'exigence de fourniture de données à caractère personnel a un caractère réglementaire ou contractuel ou si elle conditionne la conclusion d'un contrat et si la personne concernée est tenue de fournir les données à caractère personnel, ainsi que sur les conséquences éventuelles de la non-fourniture de ces données;
      Il est donc important qu'une distinction nette soit faite entre les informations recueillies sur base des articles VII.69 et VII.126 que la personne concernée ne peut refuser de fournir sous peine de se voir refuser le crédit et d'autres informations le prêteur peut solliciter sur d'autres bases juridiques et qui n'entrainent pas les mêmes conséquence en cas de refus.
    6. l'existence d'une prise de décision automatisée, y compris un profilage, visée à l'article 22, paragraphes 1 et 4, et, au moins en pareils cas, des informations utiles concernant la logique sous-jacente, ainsi que l'importance et les conséquences prévues de ce traitement pour la personne concernée.
      Voyez les commentaires sur le crédit-scoring

     

    A quel moment et sous quelle forme l'information doit-elle être communiquée ?

    Selon l'article 12.1, l'information doit être fournie à la personne concernée au moment où les données en question sont obtenues. Dans les crédits réglementés ce moment est celui où les personnes concernées (consommateur ou tiers qui consent une sûreté personnelle) répondent au questionnaire que le prêteur ou l'intermédiaire doivent leur soumettre. Les informations sont fournies à la personne concernée par écrit ou par d'autres moyens y compris, lorsque c'est approprié, par voie électronique (12.1, RGPD). L'ensemble de ces informations peut figurer, sous forme d'avertissement, sur le questionnaire remis au candidat emprunteur et à la personne qui constitue une sûreté personnelle, pour autant qu'un exemplaire de ce questionnaire soit laissé en leur possession. Dans la mesure où le prescrit légal oblige le responsable du traitement à informer le consommateur au moment de l’enregistrement du défaut de paiement, l'administration considère qu'une mention à priori dans le contrat signalant qu'il sera procédé à un enregistrement en cas de retard ne peut être considérée comme satisfaisant au devoir d'information et ne peut dispenser de la notification au moment de l'enregistrement.

     

    L'exigence de transparence - lisibilité et accessibilité de l'information

    Le RGPD souligne en son article 12.1, que l'information doit être fournie à la personne concernée d'une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples, en particulier pour toute information destinée spécifiquement à un enfant. Le responsable doit faciliter l'exercice des droits reconnus à la personne concernée (12.2, RGPD).

     

     

    L'information lorsque les données ne sont pas collectées auprès de la personne concernée

    Les informations à fournir

    L'article 14 du RGPD stipule l'obligation du responsable du traitement d'informer également la personne concernée lorsque ses données à caractère personnel ne sont pas recueillies auprès d'elle. Elles peuvent être recueillies auprès d'un tiers ou simplement collectées à l'occasion d'un autre traitement sans aucune intervention d'une autre personne. Le devoir d'information est similaire à celui qui est prévu par l'article 13 du RGPD lorsque c'est la personne elle-même qui fournit les données. Le législateur communautaire y a ajouté l'obligation de préciser les catégories de données concernées (14.1, d), RGPD - ce qui n'est évidemment pas nécessaire lorsque c'est la personne elle-même qui fournit les données) ainsi que l'identification de la source d'où proviennent les données à caractère personnel et, le cas échéant, une mention indiquant qu'elles sont issues ou non de sources accessibles au public (14.2, g), RGPD).

    Il est fréquent que lors d'une demande de crédit, des données à caractère personnel soient fournies par le demandeur de crédit, sur d'autres personnes physiques qui n'interviendront pas dans l'opération de crédit : il peut s'agir par exemple de fournir une composition de ménage; ou de préciser les revenus d'un conjoint ou un cohabitant ou d'indiquer des dettes ou des créances (par exemple alimentaires ou locatives) à l'égard d'une autre personne etc. Lorsqu'il enregistre les données personnelles de personnes physiques qui ne sont pas les demandeurs de crédit, le prêteur et l'intermédiaire de crédit ont donc l'obligation fournir à cette personne les informations reprises à l'article 14 RGPD. Il faut rappeler cependant que les informations ne doivent être collectées que dans la mesure où elles sont nécessaires et pertinentes. Les données de l'identité d'un créancier n'est pas toujours une information nécessaire et pertinente.

    A quel moment et sous quelle forme l'information doit-elle être communiquée ?

    L'article 14.3, du RGPD précise que l'information doit être fournie à la personne concernée dans un délai raisonnable après avoir été collectée sans que cela puisse dépasser un mois. Si ces données sont utilisées pour communiquer avec la personne ou transmises à un tiers, l'information doit être communiquée au plus tard lors de cette communication ou transmission.

     

    Les exceptions

    Le RGPD prévoit en son article 14.5 que l'obligation d'information ne s'applique pas dans les hypothèses suivantes

    1. la personne concernée dispose déjà de ces informations;
    2. la fourniture de telles informations se révèle impossible ou exigerait des efforts disproportionnés, en particulier pour le traitement à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques;
    3. l'obtention ou la communication des informations sont expressément prévues par le droit de l'Union ou le droit de l'État membre auquel le responsable du traitement est soumis et qui prévoit des mesures appropriées visant à protéger les intérêts légitimes de la personne concernée; ou
    4. les données à caractère personnel doivent rester confidentielles en vertu d'une obligation de secret professionnel réglementée par le droit de l'Union ou le droit des États membre, y compris une obligation légale de secret professionnel.

     

    L'information pour l'enregistrement des données à la Centrale des Crédits aux Particuliers

    L'enregistrement des données dans la CCP,  lors de la conclusion du contrat de crédit, est portée à la connaissance de la personne concernée par une mention obligatoire dans le contrat de crédit (articles VII.78, § 2, 10° à 13°, et VII.134, § 2, 10° à 13°). Cette information ne concerne cependant que l'emprunteur. Une information spécifique devra donc est donnée à la personne qui constitue une sûreté personnelle. Lors de l'enregistrement d'un défaut de paiement, l'information sera donnée par la Banque nationale de Belgique qui communiquera à la personne concernée (article VII.151, CDE) : 

    1. la référence du contrat concerné;
    2. les finalités du traitement dans la Centrale;
    3. le nom et l'adresse de la personne qui a communiqué les données;
    4. l'existence d'un droit d'accès, de rectification et de suppression des données ainsi que les délais de conservation de ces dernières;
    5. les coordonnées de l'administration de surveillance compétente auprès du SPF Economie et de la Commission de Protection de la Vie Privée, devenue l’Autorité de la Protection des Données.

    Voyez le commentaire relatif à la Centrale des Crédits aux Particuliers

     

    Les autres obligations d'information du responsable du traitement

    Le RGPD ne prévoit pas seulement le devoir d'information lors de l'enregistrement initial des données à caractère personnel. Il stipule également que le responsable du traitement doit informer la personne concernée lors de la rectification ou lors de l'effacement des données (article 19, RGPD), lorsqu'il met fin à la limitation de traitement des données (article 18.3, RGPD) et lorsque le responsable constate une violation de ses données personnelles (article 34, RGPD).

    Par ailleurs, les articles VII.79 et VII.137, CDE, précisent qu'en cas de refus du crédit, le prêteur doit communiquer au consommateur sans délai et sans frais, le résultat de la consultation ainsi que l'identité ainsi que l'adresse du responsable du traitement des fichiers qu'il a consultés y compris le cas échéant, l'identité ainsi que l'adresse de l'assureur de crédit consulté, et auquel le consommateur peut s'adresser. Le prêteur doit en outre préciser si le refus est fondé sur un traitement automatisé des données

    Voyez le commentaire des articles VII.79 et VII.137

    Voyez le commentaire des article VII.122 et VII.147/38