Quelles sont les mesures applicables à ses données personnelles en cas de changement de banque ?
Les Français ont pris conscience de l’aspect délicat de leurs données personnelles depuis l’application du RGPD. Ainsi, ils s’inquiètent désormais du traitement et de la gestion de leurs données bancaires en raison de leur nature hautement sensible. Ces informations détenues par les banques deviennent d’ailleurs problématiques lorsque le client souhaite confier son argent à un autre établissement.
Le Règlement général sur la protection des données (RGPD) est entré en vigueur le 25 mai 2018. Son principal objectif est d’harmoniser les législations européennes concernant la protection des données personnelles.
En France, cette réglementation était plus que nécessaire, car les derniers textes traitant du sujet ont été rédigés bien avant la création des GAFA (Google, Apple, Facebook et Amazon).
Le RGPD a surtout été pensé pour empêcher les abus des géants du numérique, notamment dans la monétisation des données personnelles des utilisateurs à leur insu. Toutefois, il s’applique également à toute structure traitant ce type d’informations, y compris les banques. D’autant que ces dernières détiennent des données particulièrement sensibles.
Je compare les offres bancaires
Situation des banques françaises par rapport au RGPD
Après l’entrée en vigueur du RGPD, la majorité des banques françaises ont suivi les instructions de la CNIL (Commission nationale de l’informatique et des libertés) en désignant des délégués à la protection des données et en revoyant les termes des conditions générales. Toutefois, dans la pratique, certains établissements ont encore de nombreuses lacunes, notamment en matière de droits à l’oubli et à la portabilité.
Par exemple, pour certaines banques, les relevés de compte ne font pas partie des données personnelles. De ce fait, le client ne peut pas réclamer le droit à la portabilité de ces informations. De nombreux usagers ont ainsi dû porter plainte contre ce type de décision enfreignant le RGPD. En effet, selon Thibault Verbiest, avocat spécialisé dans le domaine :
« Sauf s’il est anonymisé, l’historique des transactions est considéré comme une donnée personnelle, et à ce titre rentre dans le champ du droit à la portabilité et à l’oubli ».
Thibault Verbiest.
D’autre part, l’application concrète et complète de cette réglementation semble encore difficile pour la plupart des acteurs du secteur. D’ailleurs, la société Talend, fournisseur de solutions de gestion de données bancaires, a récemment effectué des tests sur les demandes de portabilité dans le milieu. En fin de compte, les banques françaises ne sont pas encore prêtes.
Les observateurs s’étonnent par ailleurs du comportement des établissements bancaires face au potentiel de la réglementation sur la protection des données. À ce jour, aucune enseigne n’a décidé d’utiliser le droit à la portabilité à son avantage en tant qu’argument marketing.
Pourtant, les banques bénéficieraient d’une valeur ajoutée non négligeable en proposant aux futurs clients une grande liberté dans la gestion de leurs données personnelles. Selon le directeur marketing de Talend, Jean-Michel Franco :
« Elles ont mis en œuvre le RGPD comme une contrainte réglementaire, pas comme un avantage concurrentiel ».
Jean-Michel Franco.
Au final, elles ratent une opportunité unique en négligeant ces éléments clés du RGPD. De plus, les experts du secteur considèrent que la valorisation des données transactionnelles sera, dans un avenir proche, la base même du modèle économique des banques de détail.
Je compare les offres bancaires
Quelles données détenues par une banque sont considérées comme personnelles ?
S’il décide de changer de banque, le client peut jouir du droit à la portabilité et du droit à l’oubli de ses données personnelles, conformément aux prescriptions du RGPD. En d’autres termes, s’il le souhaite, il devrait pouvoir récupérer ses données bancaires, pour les transmettre à sa nouvelle banque, ou demander à ce qu’elles soient effacées. En effet, les banques sont soumises à cette réglementation au même titre que toutes les autres entreprises traitant les données personnelles des utilisateurs.
Toutefois, de nombreux clients hésitent encore à revendiquer leurs droits en raison d’une méconnaissance du sujet. Des professionnels du secteur profitent d’ailleurs de cette situation pour remettre en question le caractère personnel de certaines données bancaires. Ainsi, ils n’auront pas à se plier aux mesures imposées par le RGPD.
Logiquement, toute information fournie par le client et relevant de l’état civil fait d’emblée partie des données personnelles (nom, prénom, adresse, situation familiale, etc.). Le problème réside surtout au niveau des données transactionnelles. Il s’agit des informations figurant sur les relevés de compte, incluant les retraits, les virements, les prélèvements, les paiements, etc.
Certains établissements ne les considèrent pas comme des données personnelles et refusent d’appliquer les droits à la portabilité et à l’oubli. De ce fait, le client ne pourra pas demander à récupérer ces informations ou à les effacer en cas de changement de banque. Pourtant, la CNIL est formelle à ce sujet. D’après Clémence Scottez, chef du service des affaires économiques de l’autorité administrative :
« Le Comité européen de la protection des données a estimé que les informations figurant sur les relevés bancaires, produits dans le cadre de l’activité du compte, étaient des données personnelles et relevaient du droit à la portabilité ».
Clémence Scottez.
De ce fait, dans le cadre de la mise en œuvre effective du RGPD, l’organisme surveille de près les banques françaises et les plaintes liées au traitement des données bancaires.
