Introduction:
La Commission Nationale l'Informatique et des Liberté (CNIL) a été crée en 1978, dans le cadre de la loi sur les fichiers automatisés de traitement des données personnelles. La CNIL est l'autorité chargée de veiller à la protection des données personnelles, avec un pouvoir de contrôle et de sanction. Elle est chargée de veiller à ce que l'informatique soit aux services du citoyen et qu'elle ne porte pas atteinte ni à l'identité humaine, ni aux droites de l'homme, ni à la vie privée, ni aux libertés individuelles ou publics. Nous pouvons nous poser la question suivante, quelles sont les missions de la CNIL et en quoi les établissements bancaires sont impactés par ses missions ?
Pour y répondre nous verrons dans une première partie les missions de la CNIL et dans une seconde partie, nous analyserons les impacts sur les établissements bancaires.
I- Les missions de la CNIL
3 missions d'informations:
- Informer les personnes sur leurs droits et leurs obligations
- Réguler en autorisant les traitements de fichiers sensibles en amont
- Protéger les citoyens dans l’exercice de leurs droits
3 missions de contrôle et sanction:
- Contrôler l’application de la Loi
- Sanctionner financièrement les responsables de traitements de données
- Anticiper les développements technologiques et leurs conséquences
A- Missions d'information des acteurs concernés
La CNIL est investie d’une mission générale d’information des personnes sur leurs droits et leurs obligations.
Elle aide les citoyens dans l'exercice de leurs droits.
Elle établit chaque année un rapport public rendant compte de l'exécution de sa mission.
Elle régule et recense les fichiers, autorise les traitements les plus sensibles avant leur mise en place.
Elle est consultée pour avis, avant toute transmission au parlement d'un projet de loi relatif à la protection des données personnelles.
Elle établit des normes simplifiées, afin que les traitements les plus courants fassent l'objet de formalités allégées.
Elle agit également par voie de recommandations.
Elle aide les citoyens dans l'exercice de leurs droits, soient informés les données contenues dans les traitements les concernant et qu'ils puissent y accéder facilement.
Pour le compte des citoyens qui le souhaitent, elle exerce l'accès aux fichiers intéressant la sûreté de l'Etat, la défense et la sécurité publique.
Elle reçoit et instruit les plaintes des personnes qui rencontrent des difficultés à exercer leurs droits.
B- Veiller au traitement de données à caractère personnel
La CNIL doit vérifiée que la loi est respectée en contrôlant les traitements informatiques.
Elle peut de sa propre initiative se rendre dans tout local professionnel et vérifier sur place et sur pièce, les fichiers.
La Commission use de ses pouvoirs d’investigation pour instruire les plaintes et disposer d'une meilleure connaissance de certains fichiers.
Elle surveille par ailleurs la sécurité des systèmes d'information en s'assurant que toutes les précautions sont prises pour empêcher que les données ne soient déformées ou communiquées à des personnes non autorisées.
Lorsqu'elle constate un manquement à la loi, la CNIL peut, après avoir mis en demeure les intéressés de mettre fin à ce manquement, prononcer diverses sanctions : l’avertissement, les sanctions pécuniaires, l’injonction de cesser le traitement. Enfin, le Président peut demander en référé à la juridiction compétente d'ordonner toute mesure de sécurité nécessaire. Il peut saisir également le Procureur de la République des violations de la loi dont il a connaissance.
Elle doit s'attacher à comprendre et anticiper les développements des technologies de l'information afin d'être en mesure d'apprécier les conséquences qui en résultent pour l'exercice des droits et libertés.
Les 6 missions de la CNIL s'applique à toutes les entreprises utilisant des données clients et à caractère personnel. Les banques ont accès aux données clients et sont amenées à étoffer leurs fichiers clients. Pour cause, une réglementation qui impose aux banques de connaître d'avantage leurs clients ; KYC "Know Your Customer" ; de plus, dans l'air de la digitalisation, les banques ont informatisé 100% de leurs données clientèles.
La question que nous pouvons nous poser est la suivante ; qu'elles sont les impacts de ces missions sur les banques ?
II- L'impacts des missions de la CNIL sur les banques
A- Les obligations déclaratives ou d'autorisation
- Les obligations déclaratives
2 normes simplifiées de déclaration de traitement pour les Banques : la norme 12 (tenue des comptes de la clientèle) et la norme 13 (gestion des crédits ou des prêts consentis). Pour bénéficier de ces normes simplifiées, quelques conditions : garantie de données objectives contrôlables par les intéressés, logiciels utilisés facilement contrôlables, pas de commercialisation de ces fichiers.
- Les demandes d’autorisation
La CNIL a adopté 2 « autorisations uniques » permettant aux banques de vérifier que leurs fichiers répondent aux normes. - en matière de crédit scoring : tout refus doit être suivi d’une information du demandeur. Informations autorisés pour le scoring : âge, sexe, nationalité, situation familiale, régime matrimonial, département de résidence, type d’ahabitat, situation de logement, CSP, situation professionnelle, ancienneté, téléphone, email, nature du lien entre co-emprunteurs. - pour bénéficier de l’autorisation unique en matière de lutte anti-blanchiment : se limiter au traitement de l’information d’une part nécessaire à l’ouverture d’un compte, et d’autre part définies par la réglementation anti-blanchiment. - pour les autres fichiers soumis à autorisation préalable : la CNIL ne s’est pas clairement positionné sur la question de « fichiers indésirables » : la lutte contre les débiteurs de mauvaise foi et les fraudeurs est jugée utile, à l’inverse, sur les débiteurs en téléphonie, la CNIL appelle à un droit à l’oubli en cas de régularisation.
B- La conduite à tenir dans l'alimentation des données sur les clients
- Le cas particulier du FICP :
La CNIL a constaté que les avertissements prononcés à l'encontre des établissements de crédit sont, pour la plupart, consacrés à la gestion du FICP. Elle constate l'existence de retards, dans la déclaration de l'incident et dans la description des débiteurs ayant pourtant régularisé leur situation. Retarder l'inscription d'un incident, c'est faciliter pour un débiteur la conclusion de nouveaux contrats de prêts, spirale du surendettement. A l'inverse, tarder à le désinscrire un débiteur qui a régularisé, c'est s'exposer à devoir répondre en justice d'un refus de crédit.
- Les principes généraux distinguent 3 niveaux d’information à recueillir auprès du client :
• L’information indispensable et non dangereux si respect secret professionnel (état civil, domicile, régime matrimonial)
• L’information facultative (données à caractère personnel) si elles restent objectives et factuelles dans la limite de ce qui est nécessaire à la décision de faire ou de ne pas faire l'opération envisagée.
• L’information à proscrire sur les « données sensibles »
Conclusion :
La digitalisation de l'activité bancaire et financière impact fortement la protection des données clientèles. L'activité bancaire et financière, est soumise à des obligations déclaratives et d'autorisation. De par leur activité d’enrichissement et de traitement de fichiers client, les banques sont concernées par la problématique de la protection des données personnelles dont la CNIL est l’autorité compétente. La Loi leur impose le respect de certains principes au risque de sanction. Mais cette obligation n’est-elle pas en contradiction avec le principe du secret professionnel bancaire qui régit la profession ?
Accueil 
Rechercher 
S'enregistrer 
Connexion 
Lun 16 Jan - 10:55