Données personnelles et banques
Le 20 mai 2010, la CNIL a publié un article sur son site officiel concernant l’étendue de la collecte d’informations liées à la connaissance des clients et de la relation d’affaires des banques. Elle annonçait également la modification du document type valant autorisation unique de certains traitements de données à caractère personnel mis en œuvre par les organismes financiers au titre de la lutte contre le blanchiment de capitaux et le financement du terrorisme.
Conformément aux articles L. 561-2 et suivants du code monétaire et financier, les organismes financiers doivent contribuer à la lutte contre le blanchiment des capitaux et le financement du terrorisme. Pour ce faire, les banques sont tenues à une "obligation de vigilance" à l'égard de leur clientèle. Cette obligation légale doit se concilier avec celles relevant du respect à la vie privée et de la protection des données personnelles. Concrètement comment contribuer à détecter et à surveiller certaines transactions financières sans heurter les principes défendus par la CNIL. La commission résume ces principes de la façon suivante « l'informatique doit respecter l'identité humaine, les droits de l'homme, la vie privée et les libertés ». La portée de la collecte opérée par les banques qui peut conduire à exclure un client du bénéfice d'un contrat, par exemple, justifie le recours au procédé de l'autorisation de la CNIL.
Le nombre de plaintes émanant d'usagers des banques augmente. C'est l'occasion de rappeler un certain nombre de principes qui s'appliquent que les informations soient collectées oralement ou par le biais d'un questionnaire automatisé.
La nature des données collectées. Avant d'entrer en relation d'affaires avec ses clients, la banque doit vérifier les éléments d'identification sur présentation de tout document probant. C'est donc à juste titre que les banques peuvent demander une pièce d'identité et ceci même dans le cadre d'une relation occasionnelle (C. monét. et fin., art. L. 561-5, I).
Les banques ont également la possibilité de recueillir toute donnée relative à l'objet et à la nature de la relation d'affaires, tout « élément pertinent ». Ce sera le cas des renseignements relatifs à la situation professionnelle, économique, financière de leurs clients. A ce titre, la banque aura le droit de demander un justificatif de domicile ou de siège social, les statuts, les mandats et pouvoirs ainsi que tout élément permettant d'apprécier la situation financière d'une personne morale.
Les organismes financiers doivent aussi manifester une « constante vigilance » et pratiquer un "examen attentif" selon les termes de la loi, quant à l'opération effectuée et à sa cohérence avec la connaissance actualisée du client. L'étendue du contrôle est pour le moins très vaste malgré l'arrêté du 2 septembre 2009 définissant les éléments d'informations collectables. Ainsi, les banques peuvent interroger leurs clients sur le montant, la nature ou la justification d'une opération particulière, ainsi que sur la provenance et la destination des fonds et le fonctionnement envisagé d'un compte.
Cependant le texte prévoit une dérogation lorsque le risque de blanchiment paraît faible. Il pourra alors être procédé uniquement à la vérification de l'identité du client.
La finalité du traitement des données. Il est indispensable de porter à la connaissance des clients la finalité de cette collecte (blanchiment et le financement du terrorisme). En effet, le risque est non négligeable de voir ces données utilisées à des fins marketing ou commerciale sans que les clients y aient consenti. Et ceci d'autant plus que les informations seront intégrées aux traitements automatisés de l'organisme financier. Dès lors, ce traitement doit être autorisé et les clients doivent être en mesure de s'y opposer.
Les droits des clients. Les questionnaires doivent donc préciser les modalités des droit d'accès et de rectification des clients.
Autorisation de la CNIL. Le responsable du traitement doit requérir l'autorisation de la CNIL pour mettre en oeuvre ce traitement de données. Pour ce faire, il adressera à la CNIL un engagement de conformité à l'Autorisation Unique AU-003. La procédure est simplifiée. Compte tenu du nombre des plaintes qui lui ont été adressées, la CNIL travaille à la mise à jour de cette autorisation unique.
A ce jour, outre les informations listées ci-dessus et la finalité, l'autorisation rappelle que les données sont conservées 5 ans à compter de l'année d'exécution de l'opération y compris en cas de clôture du compte ou de cessation des relations. La banque s'engage à prendre toutes les précautions pour préserver la sécurité et la confidentialité des données traitées et notamment pour empêcher qu'elles soient endommagées ou déformées et que des tiers non autorisés puissent en prendre connaissance. Des accès individuels doivent être prévus. Ils se réalisent par un identifiant et un mot de passe individuels, régulièrement renouvelés ou par tout autre moyen d'identification.
Rappelons que les prestataires informatiques ne sont pas les responsables des traitements mis en oeuvre par les banques et qu'à ce titre, ils n'ont pas à effectuer les démarches auprès de la CNIL qui incombent aux seuls établissements financiers.