C'est un fait, votre banquier sait à peu près tout sur vous : où vous habitez, combien vous gagnez, où vous partez en vacances et quelles sont vos passions… Pour autant, a-t-il le droit de vous espionner, ou d'exploiter ces informations à son profit ? Les point sur le droit et les pratiques en la matière.

Juillet 2019 : l’autorité de protection des données des Pays-Bas, équivalent local de la Cnil française, fait connaître sa position sur l’usage par les banques des données personnelles qu'elles recueillent sur leurs clients. Quelques temps auparavant, la banque ING - présente en France avec sa banque en ligne - a en effet soumis à ses clients de nouvelles conditions d’utilisation, prévoyant l’usage de ces données pour leur proposer des offres commerciales personnalisées. Face au tollé, le verdict de l’autorité tombe, rapporte le blog C’est pas mon idée : « Les banques ne peuvent pas utiliser les données collectées sur les opérations de leurs clients – y compris si elles demandent et obtiennent l'accord de ces derniers – à d'autre fins que leur destination initiale, à savoir des services de paiement ou de retrait ».

Cet épisode est symptomatique des débats qui entourent les usages possibles des données personnelles. Et plus généralement autour de la surveillance exercée, via ces data, sur votre vie privée. Jusqu’où votre banquier peut-il s’y immiscer ? Quelles sont les limites à la confidentialité de vos données bancaires ? Et qu'en est-il des données externes à la banque, par exemple des traces que vous laissez sur internet ? Nous avons tenté d’y voir plus clair.

Deux corps de règles : le secret bancaire et le RGPD

Un rappel pour commencer : en matière de données personnelles, les banques sont soumises à deux corps de règle. Le premier est inscrit dans le Code monétaire et financier, et n'est pas nouveau : il s'agit du secret bancaire. Soit l'obligation d'assurer la confidentialité de vos données au sens large. Il n'y a que deux exceptions, rappelle Stephan Alamowitch, avocat, en charge du département Banque & Finance du cabinet UGGC Avocats : « Le secret bancaire n’est pas opposable au fisc et à un juge pénal ».

Le second corps de règles est plus récent : le « règlement général sur la protection des données », plus connu sous l’acronyme RGPD, est entré en vigueur en mai 2018 dans toute l'Union européenne. Il renforce le droit des individus à disposer de leurs données personnelles : droit à l’accès, à la portabilité, à l’oubli… Parmi les données détenues par votre banque couvertes par le RGPD figurent les données transactionnelles - c’est-à-dire les informations liées à vos paiements (montants, bénéficiaires, localisations, etc.). En clair, ces données n’appartiennent pas à votre banque, même si elle les recueille, les organise, les conserve et en protège la confidentialité.

Lire aussi : Banque : que change le RGPD pour vous ?

Connaître le client et surveiller ses comptes, une obligation pour les banques

Le fait que vos données transactionnelles vous appartiennent en propre ne signifie pas pour autant que votre banquier ne peut pas les surveiller. Au contraire : il n’a pas le choix. Les régulateurs du secteur financier imposent en effet aux banques de collecter certaines informations sur leurs clients. Cette nécessité - parfois désignée par son acronyme anglais, KYC, « Know your customer » - ne s'impose pas qu'à l'ouverture du compte : cela explique que votre banque vous demande, de temps à autre, de mettre à jour certaines informations, concernant par exemple vos revenus ou votre patrimoine.

Dans le cadre de la lutte contre la fraude, le blanchiment et le financement du terrorisme, les banques ont également l’obligation de signaler à Tracfin, cellule de renseignement financier du ministère de l’Economie, toute transaction suspecte. Cela justifie le contrôle, automatique et permanent, de l’ensemble des transactions, qui passent au tamis d’un système de surveillance. Un client sans revenus déclarés fait des dépôts importants et réguliers en espèces sur son compte ? L’alerte est déclenchée. « Les banques ouvrent alors une investigation, », détaille Hugues Morel, patron de 99 Advisory, un cabinet de conseil spécialisé. « Et dans ce cadre, elles vont exploiter toutes les données à leur disposition : internes - les données transactionnelles - mais aussi externes, en surveillant par exemple l’activité du client sur les réseaux sociaux ». Objectif : décider s’il est nécessaire de déclencher un signalement à Tracfin…

Ces missions, les banques ne la prennent pas à la légère. En cas de manquement, elles s’exposent en effet à une dénonciation publique et à de lourdes sanctions, comme cela a été le cas récemment pour Prepaid Financial Services, un établissement de paiement britannique exerçant aussi en France qui a écopé d’une amende d’un million d’euros.

Lire sur le sujet : Pourquoi les banques surveillent-elles vos comptes bancaires ?

Les banques peuvent-elles vendre vos données ?

Des taux historiquement bas et des réglementations de plus en plus contraignantes : le modèle économique traditionnelle de la banque de détail est sous pression. Dans ce contexte, une tentation grandit : celle de trouver des nouvelles sources de revenus, par exemple en vendant vos données transactionnelles à des fins commerciales, comme l’a tenté ING aux Pays-Bas. Les établissements de crédit sont en effet assis sur une « mine d’or », estime Alexandre Chiche, consultant data et digital au sein de l'entreprise Livingston. « Les données de paiement permettent de personnaliser la relation, d’adapter l’offre commerciale et de cibler le client à des fins publicitaires. »

Votre banquier en a-t-il le droit ? Peut-il vous pister, surveiller vos habitudes de consommation, comme le font Google ou Facebook ? En théorie, oui. « Il y a beaucoup de fantasmes en France autour de l’utilisation à des fins commerciales des données bancaires », expliquait en juillet 2017 Clémence Scottez, cheffe du service des affaires économiques de la Cnil. « La réglementation ne l’interdit pas. Ce qui est interdit, c’est de le faire à l’insu des personnes ». C'est-à-dire sans votre consentement.

Consentement nécessaire

Dans quel cas, précisément, votre banquier doit-il recueillir votre consentement avant un traitement de données ? Tout dépend de sa finalité et de sa base légale : respect d’une obligation légale ou règlementaire, caractère nécessaire pour l’exécution du contrat, intérêt légitime de la banque ou consentement de la personne concernée par la collecte des données. « Il n'a pas besoin de feu vert quand il remplit ses obligations réglementaires vis-à-vis de Tracfin », explique Catherine Chappellet, consultante IP/IT données personnelles, au cabinet UGGC Avocats. « Il est indispensable, en revanche, lorsque la finalité est la prospection de nouveaux clients ou l’offre de nouveaux services. » C'est le cas, par exemple, si votre banque veut vous proposer un programme de réductions ou de « cashback » sur votre carte bancaire, dans le cadre d'un partenariat avec un commerçant.

Concernant la forme que doit prendre ce consentement, les choses ne sont pas toujours très claires. « Nous conseillons aux banques de recueillir des consentements spécifiques pour chaque programme », détaille Stephan Alamowitch. Dans les faits toutefois, rien n'empêche votre banque de se contenter d'un consentement général sur le principe d'un ciblage publicitaire.

Charge à vous, donc, de faire preuve de vigilance, en prenant le temps de lire les conditions générales et particulières qui encadrent votre relation avec votre banquier. Et à ne pas hésiter à retirer votre consentement, le cas échéant. Certaines enseignes permettent de le faire, facilement et en temps réel, sur leur site web. Il faut, sinon, s'adresser à un conseiller, en agence ou par téléphone, ou envoyer directement un courrier au délégué à la protection des données (DPD) de votre banque.

Prêts à partager vos données ?

Dans les faits toutefois, cette « mine d’or » des données transactionnelles reste largement inexploitée en France, à l'inverse de ce qui se passe aux Etats-Unis ou dans certains pays d'Asie. Deux raisons à cela. La première : l’ancienneté des systèmes informatiques de nombreuses grandes enseignes. Dans le domaine, « elles ont de grands travaux à mener pour mettre le client au centre de la relation », estime Alexandre Chiche. La seconde : la crainte d’une perte d’image, comme celle subie par ING aux Pays-Bas. « Les banques veulent consolider leur image de tiers de confiance, le jeu n’en vaut pas la chandelle », estime Hugues Morel. Le Crédit Agricole, par exemple, a mis en place en janvier 2017 une charte, dans laquelle l’enseigne s’engage à ne pas vendre les données personnelles de ses clients.

Si les banques ont des réserves concernant la valorisation des données, ce n'est pas le cas de tout le monde. Des mastodontes - citons Apple, qui a lancé son service de paiement mobile, Apple Pay, partout dans le monde, et même une carte de crédit aux Etats-Unis - s'y intéressent de près. Mais aussi des jeunes pousses, comme la Française Paylead, une société qui se place en intermédiaire entre les banques et les commerçants pour concevoir des programmes de fidélité. « C’est le sens de l’histoire », juge Hugues Morel, de 99 Advisory. Ce que semble confirmer un récent sondage publié par la cabinet Deloitte : 67% des Français se déclarent prêts à fournir plus d’informations personnelles à leur banque principale afin qu’elle leur propose des produits et services mieux adaptés à leurs besoins. Un chiffre en hausse de 11 points en un an.

Votre banquier peut-il vous pister sur les réseaux sociaux ?

Reste le cas des données externes, c'est-à-dire des traces que vous laissez sur internet. Votre banquier peut-il vous surveiller sur Facebook ou Instagram, pour en apprendre plus sur votre vie privée ? « A notre connaissance, aucune banque ne demande à ses conseillers de surveiller systématiquement l'activité numérique de leurs clients », témoigne Stephan Alamowitch.

Ce qui n'empêche pas votre banquier, à titre individuel, de taper votre nom dans un moteur de recherche. Rien, en effet, ne l'interdit, s'agissant de données disponibles publiquement.

Le conseil vaut ainsi pour la banque comme pour le reste : partez toujours du principe que rien de ce que vous publiez sur internet n'est du registre de la vie privée !