A l’heure où de plus en plus d’acteurs, banques et fintechs, s’intéressent à l'exploitation commerciale des données bancaires de leurs clients, nous avons demandé à Clémence Scottez, de la Commission nationale de l’informatique et des libertés (CNIL), de nous éclairer sur les usages autorisés, ceux qui ne le sont pas et sur les changements à venir dans le domaine. Interview.

Clémence Scottez, les données détenues par les banques sur leurs clients doivent-elles être considérées comme des données personnelles ?

Clémence Scottez : « Absolument. La définition de la donnée à caractère personnel est extrêmement large : il s’agit de toute donnée concernant une personne identifiable directement ou indirectement (ex : nom, numéro de téléphone, date de naissance, empreinte digitale, etc.). Les banques traitent donc d’importantes masses de données à caractère personnel : des données de paiement - votre relevé de comptes est ainsi fait de données à caractère personnel -, d’autres liées aussi à leurs obligations de connaissance du client et de lutte anti-blanchiment. Des données assez poussées, donc, sur l’origine de vos revenus, sur votre identité régalienne, etc. »

« Les banques traitent des masses de données à caractère personnel »
La CNIL est-elle particulièrement vigilante sur l’usage que font les banques de ces données ?

C.S. : « Nous accompagnons effectivement les banques dans le respect de leurs obligations de protection des données tout en tenant compte de réglementations qui leur sont propres. Des règles qui les obligent à maîtriser l’usage qui est fait de ces données, plus sans doute que d’autres acteurs. »

Aujourd’hui, les banques, qui ont historiquement peu exploité les données de leurs clients, semblent tenter de s’y mettre, pour améliorer le service rendu, mais aussi pour trouver de nouvelles sources de revenus. En ont-elles le droit ?
« Votre banquier a une obligation de confidentialité par rapport à vos données »

C.S. : « Il y a beaucoup de fantasmes en France autour de l’utilisation à des fins commerciales des données bancaires. La réglementation ne l’interdit pas. Ce qui est interdit, c’est de le faire à l’insu des personnes, sans leur consentement. C’est vrai de la loi Informatique et libertés de 1978, mais aussi du secret bancaire, qui veut que votre banquier ait une obligation de confidentialité par rapport à vos données en tant que client. »

Le secret bancaire n’interdit donc pas aux banques de transmettre vos données à des tiers, des commerçants par exemple ?

C.S. : « Si. Mais vous pouvez lever ce secret bancaire, sous forme de consentement exprès. Si par exemple les banques veulent exploiter vos dépenses pour vous proposer des services à valeur ajoutée, elles peuvent le faire à condition que vous manifestiez votre adhésion à ce service. »

Quelle forme doit prendre le recueil du consentement des clients ?
« Le consentement doit être libre, spécifique et résulter d’une action »

C.S. : « La loi informatique et libertés est très exigeante sur ce point. Un accord donné dans le cadre de conditions générales d’utilisation (CGU) ne suffit pas. Le consentement doit être spécifique. Il doit aussi être libre : l’accord lié à l’exploitation des données ne peut conditionner l’accès à un autre service. Le consentement doit enfin être le résultat d’une action positive de l’usager, et non tacite : le silence ne vaut jamais consentement. Concrètement, le consentement peut passer par une case à cocher ou par un document à signer, à condition toujours qu’il soit spécifique. »

Certains tiers non bancaires - des agrégateurs de comptes (Bankin', Linxo, etc.) notamment - accèdent déjà à certaines données bancaires. Quel est le point de vue de la CNIL sur ces pratiques ?

C.S. : « C’est du simple bon sens : en fournissant vos identifiants de compte et vos mots de passe à un tiers, vous augmentez le risque que ces données soient usurpées. C’est un peu comme confier les clés de votre maison à un tiers, même de confiance ; vous augmentez le risque qu’elles soient volées. Ce n’est donc pas une pratique à encourager. Par ailleurs, les obligations de sécurisation des données personnelles définies dans le cadre de la loi informatique et libertés valent pour tout le monde, les banques comme les agrégateurs et autres tiers. »

« En confiant vos mots de passe à un tiers, vous augmentez le risque de vol »
Que va changer, pour les banques et les fintechs, le règlement européen sur la protection des données, qui entre en vigueur en mai 2018 ?

C.S. : « Il va justement imposer une totale transparence sur les usages, notamment commerciaux, qui sont faits des données recueillies. Les acteurs devront déclarer beaucoup plus clairement qu’aujourd’hui quelle est la source des informations, combien de temps ils les conservent, pour quelle utilisation et, en cas d’absence de consentement exprès, s’ils disposent d’un intérêt légitime à exploiter ces données. Cela va rééquilibrer les relations entre les banques et les fintechs d’un côté, et les utilisateurs de l’autre, et contribuera à maintenir le niveau de confiance qu’ont actuellement les consommateurs vis-à-vis du secteur bancaire en matière de protection des données personnelles. »

Quelles sanctions encourront les banques et fintechs qui ne respecteront pas ces nouvelles règles ?

C.S. : « Le plafond des sanctions sera beaucoup plus élevé qu’actuellement : 10 millions d'euros - ou 2% du chiffre d’affaires annuel mondial si ce dernier montant est plus élevé -, par exemple pour un défaut sur la tenue d’un registre des traitements, et 20 millions d'euros - ou 4% du chiffre d’affaires annuel mondial - pour des entorses aux principes généraux de la loi. Nous nous concentrons actuellement, comme nous l’avons développé depuis plusieurs années, sur l’accompagnement des sociétés concernées par ce règlement par des actions de sensibilisation. Il y a encore une marge d’amélioration mais c’est en bonne voie. A partir du 25 mai 2018, les entreprises devront respecter la réglementation. »

Les banques pourraient-elles devenir le tiers de confiance des usagers qui souhaitent reprendre le contrôle de leurs données, et faire payer ce service ?
« La sécurité, un savoir-faire reconnu des banques »

C.S. : « La CNIL n’a pas vocation à influencer le modèle économique des acteurs. Ceci étant dit, les banques sont de longue date soumises à des réglementations extrêmement strictes, et la CNIL constate que nombre d’entre elles sont préparées, sans doute mieux que certains nouveaux entrants, à sécuriser les données. C’est un savoir-faire d’ailleurs reconnu par les usagers, qui ont en général des réticences à confier leurs données personnelles à des acteurs privés, à l’exception notable des banques. Cette confiance explique aussi une certaine frilosité des banques dans l’exploitation des données de leurs clients. »

Clémence Scottez est cheffe du service des affaires économiques de la direction de la conformité de la CNIL.

Mise à jour (9 août 2017, 9h30) - Correction concernant les sanctions prévues par le règlement européen sur la protection des données.