La Banque Populaire refuse d'effacer des informations personnelles de mon dossier : situation familiale (célibataire, marié, pacsé, etc.), statut d’occupation d’un logement (locataire, propriétaire, etc.) et depuis quand, catégorie socio-professionnelle générale et détaillée, et statut INSEE. Elles seraient collectées et conservées dans le cadre de la réglementation sur la lutte contre le blanchiment des capitaux et le financement du terrorisme (LCB-FT).
Pour moi, en me basant sur les lignes directrices de l'ACPR, ce n'est pas le cas, au moins pour les trois premières (le statut INSEE et la CSP sont dérivés de la profession dont la collecte est obligatoire), mais les banques doivent procéder à une évaluation du risque LCB-FT que représente un client (futur ou actuel), et pour ce faire, elles peuvent collecter environ nawak.
Même s'il y a absence de pertinence, d'adéquation à la finalité affichée, et de nécessité des informations ? Celles énumérées ci-dessus sont insignifiantes, dépourvues de sens, et inutiles pour évaluer un risque LCB-FT (un célibataire blanchit-il plus de fric ? Un propriétaire finance-t-il plus le terrorisme ? Et réciproquement ?). La proportionnalité entre l'objectif et l'atteinte à la vie privée est également questionnable : le peu d'infos qui ne peut pas forcément être déduit des opérations sur un compte bancaire, pouf, la banque veut les collecter…
Du coup, hop, plainte à la CNIL.
ÉDIT DU 02/12/2022 : ajout de la réponse de la CNIL datée du 28/11/2022. Résumé : incompétence de la CNIL, renvoi vers l'ACPR. Ma plainte n'a pas été clôturée pour autant. FIN DE L'ÉDIT.
ÉDIT DU 29/12/2022 : ajout de la réponse de la CNIL datée du 05/12/2022 suite à mon complément interrogatif du 02/12/2022. Résumé : pas d'info utile, plainte clôturée. FIN DE L'ÉDIT.
Bonjour,
Le 21/01/2020, par LRAR, j'ai demandé à la conseillère qui m'est affectée à la Banque Populaire <CENSURE> d'effacer certaines données personnelles de mon dossier client.
Refus, un verrou informatique mettrait mon dossier en défaut même si « au vu du peu de services souscrits, elles sont effectivement inutiles ».Le 22/02/2020, par LRAR, j'ai demandé l'effacement de ces même données au DPO.
Refus, données collectées et conservées dans le cadre des obligations légales de la BP <CENSURE>.Réponse insatisfaisante du DPO : elle est basée sur des obligations légales inexistantes et elle ne m'informe pas de la raison réelle et précise pour laquelle chaque donnée litigieuse est conservée et l'utilisation qu'en fait BP <CENSURE> (en quoi elle est pertinente pour atteindre la finalité annoncée).
Je sollicite l'intervention de la CNIL pour appuyer ma demande d'effacement de certaines de mes données personnelles auprès de la BP <CENSURE>.
Vous trouverez, en pièce jointe, la version détaillée de ma plainte.
Bonne journée.
Elle contient au moins une erreur : l'échange téléphonique avec la conseillère bancaire qui m'est affectée n'a pas eu lieu le 17/12/2020 mais le 17/12/2019.
Bonjour,
Je suis client de la Banque Populaire <CENSURE> (« BP <CENSURE> » ou « BP » ci-après).
Le 21/01/2020, j’ai sollicité, par LRAR, la conseillère bancaire de mon agence qui m’est affectée pour lui demander d’effacer, de mon dossier client, ma situation familiale, mon statut d’occupation de mon logement (locataire / propriétaire, et depuis quand), ma catégorie socio-professionnelle (CSP) générale, ma CSP détaillée et mon statut INSEE. Cf. PJ1.
En l’absence de réponse et d’exécution de ma demande (ces données se visualisent dans l’espace client web de la BP), j’ai contacté ladite conseillère, par téléphone, le 18/02/2020. Elle m’a indiqué ne pas pouvoir procéder à la suppression des données personnelles sus-énumérées au motif qu’un verrou informatique mettrait en défaut mon dossier, car il s’agirait d’informations obligatoires, même si, dans mon cas, au vu du peu de services souscrits, elles sont effectivement inutiles.
Le 22/02/2020, j’ai demandé, par LRAR, l’effacement des données personnelles sus-référencées au DPO de la BP <CENSURE>. Cf PJ 2.
Le 02/03/2020, le DPO de la BP <CENSURE> m’a répondu que ces données personnelles ne peuvent pas être effacées, car elles sont collectées dans le cadre de la réglementation permettant de lutter contre le blanchiment d’argent et le financement du terrorisme, sans toutefois citer un quelconque de ces textes. Cf. PJ 3.
Le 10/03/2020, j’ai répondu au DPO de la BP <CENSURE>, par LRAR, qu’a minima, le recueil de la situation familiale et du statut d’occupation d’un logement (et depuis quand) n’est pas une obligation légale. L’Autorité de Contrôle Prudentiel et de Résolution (ACPR) confirme cela dans ses lignes directrices rédigées à la demande des organismes financiers, cf. https://acpr.banque-france.fr/contenu-de-tableau/lignes-directrices-relatives-lidentification-la-verification-de-lidentite-et-la-connaissance-de-la. Cf pages 1 et 2 de PJ 4.
En l’absence de réponse malgré la bonne réception de ma LRAR, j’ai relancé le DPO de la BP <CENSURE> le 07/12/2020. Cf page 3 de PJ 4.
Je n’ai pas reçu de nouvelle réponse du DPO de la BP <CENSURE>. À ce jour, les données personnelles sus-énumérées sont toujours affichées dans mon espace client web, ce qui démontre qu’elles n’ont pas été effacées de mon dossier client
Il découle de ce qui précède (absence d’obligation légale) que la réponse du DPO de la BP <CENSURE> est un prétexte mensonger, un paravent. Ce n’est pas la première fois que je peine à prendre connaissance de la finalité et de la base légale réelles pour lesquelles la BP <CENSURE> collecte et conserve certaines de mes données personnelles. Il s’agit d’une infraction au RGPD à part entière qui n’aide pas à avoir confiance.Le 17/12/2020, par téléphone, ma conseillère m’a informé qu’il est strictement obligatoire de lui communiquer mon niveau de revenus. Devant mon insistance, elle m’a avoué que la convention de compte incluait une autorisation de découvert, et que celle-ci impose la déclaration d’un niveau de revenus. Cela fait sens (évaluation de la solvabilité, etc.), mais je ne voulais pas de ladite convention de compte (et je l’ai signifié à la conseillère qui tentait de me la vendre), donc il était inutile de collecter mon niveau de revenus au motif d’un produit qu’elle incluait.
Durant la même conversation, elle m’a informé qu’il est obligatoire de lui communiquer le nom et l’adresse postale de mon employeur… avant de reconnaître, devant mon insistance, que c’est nécessaire uniquement pour obtenir une ristourne sur la cotisation liée à la convention de comptes… à laquelle je n’envisageais pas de souscrire, pour rappel.
Ainsi, si j’avais écouté ma conseillère sans la questionner avec insistance, je lui aurais communiqué des données personnelles dont le recueil est présenté, à tort, comme étant obligatoire, ce qui n’est pas le cas, ni légalement ni contractuellement (profil de la relation et niveau de risque).
La réponse du 02/03/2020 du DPO de la BP <CENSURE> est incomplète et ne satisfait pas aux exigences de transparence du RGPD : il ne m’indique pas, pour chaque donnée personnelle dont je demande la suppression, la raison précise (quelle disposition réglementaire) de sa collecte et de sa conservation, l’utilisation qui en est faite par BP, et les conséquences d’une demande de suppression de ma part. Or, nous avons vu ci-dessus que le refus de communiquer le nom de mon employeur, dont la collecte m’a été présenté, par ma conseillère, comme une obligation, entraîne uniquement l’absence d’application d’une ristourne, pas la fin de la relation contractuelle, ce qu’il m’appartient d’accepter ou de refuser librement. Il pourrait en être de même pour les données litigieuses, mais l’opacité est entravante.
Sur le fond, la BP <CENSURE> ne peut se prévaloir d’une quelconque obligation légale pour conserver ma situation familiale, mon statut d’occupation d’un logement (et depuis quand), et, dans une moindre mesure, ma CSP et mon statut INSEE.En effet, le Code monétaire et financier n’impose pas leur recueil par un organisme financier. De même, l’arrêté du 2 septembre 2009 pris en application du R561-12 du même code ne les énumère pas comme étant des éléments d’information susceptibles d’être recueillis par un organisme financier. Si le même arrêté prévoit le recueil des « activités professionnelles actuellement exercées », il ne prévoit pas d’en dériver le statut INSEE ni la CSP, ni la date de début de l’activité. L’arrêté du 6 janvier 2021 relatif au dispositif et au contrôle interne en matière de lutte contre le blanchiment de capitaux et le financement du terrorisme apporte aucun changement sur ces points.
La dernière version des lignes directrices de l’ACPR (https://acpr.banque-france.fr/sites/default/files/media/2022/05/11/20220404_lignes_directrices_revisees_relatives_identification_verification_connaissance.pdf) confirme cette absence d’obligation légale et réserve une collecte fine et précise de l’activité professionnelle aux personnes publiquement exposées. Je n’ignore pas que des lignes directrices sont un instrument de droit souple qui ne permet pas de définir une interdiction générale, mais l’énumération et l’analyse de la réglementation par l’ACPR est factuelle. De plus, ces lignes cadrent, définissent les objectifs à atteindre, les moyens minimaux à mettre en œuvre, les critères d’évaluation, l’état d’esprit, la logique, et la réflexion à mener, etc.
De plus, la pertinence (et donc la nécessité) des données personnelles sus-énumérées comme éléments d’information utiles pour lutter contre le blanchiment et le financement du terrorisme dans le contexte d’évaluation du profil / niveau de risque de la relation contractuelle n’est pas avérée. Un célibataire blanchit-il plus d’argent ? Une propriétaire finance-t-elle plus le terrorisme ? L’intuition met en évidence l’absence de causalité et l’insuffisance de ces données personnelles pour évaluer le risque cible. Encore une fois, dans ses lignes directrices pour évaluer le profil de risque de la relation contractuelle, l’ACPR ne reprend pas ces éléments. Ils ne sont même pas des éléments minimaux de cette évaluation, ils sont exclus de la vision à avoir de la problématique. D’après l’ACPR, une évaluation pertinente du risque se base plutôt sur la « compréhension de l’activité financière du client », sur la provenance, le montant et la destination des fonds, sur la nature de la clientèle (personne publiquement exposée ?) et des services (un compte courant est un produit financier à « risque standard »), etc.
La BP <CENSURE> ne peut se prévaloir de mon consentement puisque je lui demande l’effacement de ces données personnelles depuis plusieurs années.
Ma situation ne correspond pas à celles, référencées dans sa notice RGPD (https://www.banquepopulaire.fr/votre-banque/reglementation/protection-des-donnees-personnelles/), pour lesquelles la BP <CENSURE> fait valoir son intérêt légitime :
Ces données personnelles ne servent pas à prévenir la fraude ni à lutter contre la criminalité financière. En effet, le test en trois étapes (intérêt, nécessité, balance des droits) n’est pas validé :
- La situation familiale, le statut d’occupation d’un logement, la CSP (générale et détaillée) et le statut INSEE ne sont pas des informations pertinentes pour atteindre l’objectif affiché lorsque le client est une personne physique qui n’est pas une personne publique exposée et dont le seul service souscrit est un compte courant, c’est-à-dire un produit à « risque standard », car lesdites données ne permettent pas de « comprendre les opérations » entrantes sur ledit compte (origine), au sens de l’ACPR, ni d’apprécier la « nature de la clientèle » ;
- L’ACPR ne référence pas les données personnelles sus-énumérées comme étant des informations pertinentes dans le cadre de la lutte contre le blanchiment des capitaux et le financement du terrorisme, donc leur pertinence dans la lutte contre la fraude et la criminalité financière… Fraude-t-on plus quand on est en couple ou quand on est locataire ? ;
- La collecte est intrusive et déloyale : la banque biaise la justification qu’elle donne à son client (cf. mon témoignage ci-dessus) et utilise le fait d’être un service nécessaire au quotidien pour lui demander tout et son contraire, car la peur des conséquences d’un refus de communication rode. Les banques sont des ogres qui concentrent notre intimité alors la conservation du peu d’informations qu’elles ignorent n’est pas réjouissante et caractérise, entre autres éléments, un déséquilibre entre l’intérêt de la banque et les droits de ses clients.
- Ces données ne servent pas non plus à prévenir et gérer les incivilités à l’égard du personnel BP ni à assurer la sécurité des locaux et du SI de BP (aucun lien entre les données en question et ces finalités) ni à évaluer le niveau de risque lié à une demande de crédit (j’ai jamais formulé une telle demande durant toute ma relation contractuelle avec BP) ;
- Enfin, elles ne servent pas à mener des enquêtes de satisfaction (la présente plainte porte sur des informations consignées dans mon dossier client en dehors de toute enquête de satisfaction), ni à améliorer la relation client (en quoi ? Là encore, le test en trois étapes n’est pas validé pour le jeu de données en question, pour les mêmes raisons d’absence de pertinence et de proportionnalité), ni à prospecter ou à communiquer (la page 10 de la notice RGPD de la BP énonce que seuls les noms, prénoms, adresse, date et lieu de naissance sont concernées par ce cas et j’ai refusé, dès le début de la relation contractuelle, tout démarchage et n’en ai jamais reçu, donc si mes données personnelles sont conservées à cette fin, leur conservation est inutile).
En l’absence d’obligation légale, d’intérêt légitime, de consentement, ou d’une autre base légale recevable, BP ne saurait valablement justifier la conservation de mes données personnelles sus-énumérées et son refus de procéder à leur effacement. Il s’agit d’une collecte inutile de données personnelles, contraire au principe de minimisation du RGPD.
J’ajoute que la collecte (ou l’actualisation) des données personnelles sus-énumérées s’est déroulée suite à une perte de ma carte bancaire en 2018-2019. Ma conseillère BP m’a forcé à actualiser mon dossier avant de donner suite à certaines de mes demandes. J’ai laissé traîner de nombreux mois avant d’accepter, car j’avais besoin d’une banque et de moyens de paiement en état de marche (tout en refusant ce que j’ai pu, comme la communication du nom et de l’adresse de mon employeur ou mon niveau de revenus, cf. ci-dessus). Il apparaît néanmoins que, de ces faits, la collecte (ou l’actualisation) de mes données personnelles a été illicite et déloyale (client pris au piège).De même, en l’absence de réponse de ma part, certaines informations présentes aujourd’hui dans mon dossier client BP ont été inventées : je ne suis pas devenu <CENSURE> le <CENSURE> ; Je n’ai pas été embauché le <CENSURE>. D’autres informations ont été déduites, à tort, des opérations sur mon compte courant : si la Direction Régionale des FInances Publiques <CENSURE> vire ma rémunération, il ne s’agit pas pour autant de mon employeur (elle centralise le paiement pour les administrations de la région).
C’est aussi pour ces deux motifs (collecte forcée et données incorrectes) que je demande la suppression desdites données personnelles.
En conclusion, devant l’obstination de la BP <CENSURE>, je sollicite l’intervention de la CNIL pour appuyer ma demande d’effacement de certaines de mes données personnelles de mon dossier client BP <CENSURE> : situation familiale, statut d’occupation d’un logement (locataire / propriétaire / etc.) et depuis quand, catégorie socio-professionnelle générale et détaille, et statut INSEE).Dans le cas où l’effacement d’une donnée entraînerait la fin de ma relation contractuelle avec la BP <CENSURE>, ma demande d’effacement de ladite donnée est caduque et je demande, à la place, comme je l’ai écrit au DPO de la BP <CENSURE> en mars 2020, l’obtention de la raison précise (quelle disposition réglementaire) de sa collecte et de sa conservation, et l’utilisation qui en est faite par la BP.
Bonne journée.
[…]
Je vous informe que la CNIL n’a pas vocation à se prononcer, au cas par cas, sur le profil de la relation contractuelle établie entre un client et sa banque qui définit le degré d’exposition au risque de blanchiment ou de financement du terrorisme et, par conséquent, la nature des informations susceptibles d’être collectées auprès de ce client afin de se prémunir de ce risque.
A cet égard, il appartient aux établissements financiers d’ajuster leur obligation de vigilance en fonction de l'évaluation du risque de blanchiment de capitaux et de financement du terrorisme propre à chaque relation d'affaire, ou à chaque client.
Enfin, et pour votre parfaite information, je vous indique que l’Autorité de Contrôle Prudentiel et de Résolution (ACPR) a, parmi ses responsabilités, reçu la mission de contrôler la mise en œuvre effective des mesures de lutte contre le blanchiment des capitaux et le financement du terrorisme (articles L561-36 et suivants du Code monétaire et financier). Ainsi, les entités appartenant au secteur financier sont soumises au pouvoir de contrôle de cette autorité, mais également à son pouvoir de sanction dans le cas où elles enfreindraient une disposition législative ou réglementaire.
Par conséquent, si vous l’estimez utile, vous pouvez vous rapprocher de l’ACPR afin de recueillir toute information complémentaire, notamment sur cette règlementation.
[…]
Même début de réponse qu'en 2020. Pourtant, cette fois-ci, j'ai bien expliqué en quoi la collecte de ces données persos n'est ni adéquate à la finalité recherchée, ni nécessaire, ni proportionnée. Mais, a priori, la CNIL n'a pas compétence pour apprécier cela dans le cadre de la lutte contre le blanchiment et le financement du terrorisme.
Je copie ici ce que m'inspirait la réponse datée de 2020 de la CNIL : « C'est là où ça me dépasse… L'ACPR défini un socle minimal que les banques peuvent dépasser par extrême prudence. La CNIL dit que la réglementation LCB-FT permet à une banque de demander ce qu'elle veut. Le jour où un banquier expliquera qu'il croit voir une corrélation entre la taille du zboub et le blanchiment de fric, il pourra collecter ladite taille chez ses clients afin d'évaluer le risque dans le cadre de la LCB-FT ?! Sérieux… »
En 2020, la CNIL me renvoyait vers le médiateur de la consommation auprès de ma banque. Cette fois-ci, elle me renvoie vers l'ACPR. L'extrême prudence n'étant pas une infraction à une disposition législative ou réglementaire du Code monétaire et financier, je ne vois pas comment l'ACPR pourrait agir (ceci dit, la réponse de la CNIL m'invite à me rapprocher de l'ACPR uniquement pour me faire expliquer la réglementation) … Qui, alors ?
Puisque ma plainte n'avait pas été clôturée suite à la réponse du 28/11/2022, j'ai posé les questions que je soulève au point précédent : la réglementation LCB-FT ne fixant pas de limite supérieure à ce qui peut être collecté par une banque, comment éviter les abus ? Qui peut contrôler ? Quid du principe de minimisation du RGPD (collecter uniquement ce qui est nécessaire) ? Pourquoi n'est-il pas de la compétence de la CNIL de vérifier l'adéquation, la nécessité, et la proportionnalité d'une collecte de données persos (la base juridique de l'obligation légale n'y fait pas obstacle) ?
Bonjour,
Je vous remercie pour votre réponse.
Un point échappe à ma compréhension : malgré tout, les données personnelles collectées par une banque ne doivent-elles pas être en adéquation avec la finalité recherchée, ainsi que nécessaires et proportionnées à ladite finalité ? Sans cela, une banque peut recueillir tout et n'importe quoi au prétexte qu'elle y voit une corrélation avec la LCB-FT : port de lunettes, nombre de voitures, taille, poids, etc. Un RT ne doit-il pas collecter uniquement ce qui est nécessaire à une finalité (minimisation) ?
Qui contrôle cela ? L'ACPR rédige des lignes directrices, qui ont valeur de socle minimal conseillé. Rien interdit à une banque d'être sur-prudente, donc je doute que l'ACPR puisse agir.
Pourquoi la CNIL ne peut-elle pas évaluer la pertinence (adéquation / nécessité / proportionnalité) d'une collecte de données persos dans le cadre de la LCB-FT ? Interdiction légale ?
Bonne fin de semaine.
Ma plainte a été clôturée dans la foulée.
[…]
Le cadre juridique de ces obligations est fixé par la Directive européenne n°2005/60/CE du 26 octobre 2005, qui a été transposée en droit français le 31 janvier 2009. La plupart de celles-ci figurent dans le Code monétaire et financier au Livre V, Titre VI « Obligations relatives à la lutte contre le blanchiment des capitaux, le financement des activités terroristes et les loteries, jeux et paris prohibés », articles L561-1 et suivants.
Enfin l'objectif poursuivi par le traitement de ces données est la mise en place d'une surveillance adaptée aux risques de blanchiment de capitaux et de financement du terrorisme pendant toute la durée de la relation d’affaires. Dans ce cadre, la banque conserve les documents d’identification de son client aussi longtemps que dure la relation commerciale et pendant 5 ans à compter de la cessation de cette relation. Ceux relatifs aux opérations sont conservés 5 ans à compter de leur exécution.
[…]
Je ne suis pas plus avancé. :(