La Cnil régule les banques comme tous les autres secteurs d’activité ¹ . Au regard des conséquences financières que font peser les risques juridiques liés à l’application du RGPD sur le secteur bancaire, les autorités de contrôle compétentes ont mis en place un « club de conformité » au sein de la Commission afin de tenter d’éviter l’effondrement du système bancaire. Mais peut-il encore être sauvé sans l’intervention politique.

I- Par une doctrine très permissive, la CNIL a laissé les banques se soustraire au respect des réglementations en matière de protection des données, pourtant applicables aux contrats de prêts.

En 2022, la CNIL a fait part aux professionnels du secteur bancaire qu’elle envisageait d’actualiser sa doctrine relative aux traitements de données nécessaire à l’évaluation du risque de défaillance de paiement de crédit se rapportant directement ou indirectement à des personnes physiques.

Il s’avère que du fait des pratiques des banques, l’évaluation du risque de défaillance de paiement de crédit qui découle de l’application des normes prudentielles dites « Accord de Bâle II » entrées en vigueur en 2007 repose largement sur des traitements de données à caractère personnel.

Traiter des données à caractère personnel est soumis à des obligations juridiques, comme celle d’informer très précisément la personne concernée par les traitements de ses données de la finalité poursuivie par ceux-ci (jusqu’à 2018, la banque avait également l’obligation d’accomplir des formalités auprès de la CNIL).

Dans un arrêt récent, la cour de justice de l’Union européenne a rappelé que l’attribution d’une note à  la solvabilité d’un client, par une société fournissant des informations commerciales, fondée sur des données à caractère personnel constitue un traitement de données à caractère personnel ²

À cet arrêt récent, il faut ajouter l’obligation pour les banques de rendre facilement contrôlables, par l’exercice du droit d’accès, les caractéristiques du crédit, les intérêts et les commissions, qui était prévue par la norme simplifiée NS-013 publiée en 1988 (devenue le référentiel de la CNIL en matière de crédit).

Cependant, force est de constater que l’information en direction des personnes concernées par le traitement de leurs données a souvent été fait avec la plus grande légèreté par les banques, le contrôle par la CNIL de leurs obligations étant complétement absent.

Cette négligence de la CNIL risque de coûter cher au secteur bancaire.

II- Le non-respect du RGPD expose la banque au risque de ne pas pouvoir obtenir le remboursement des capitaux qu’elle a prêté en justice.

La Constitution ³ prévoit que le droit international conventionnel est doté d’une autorité supérieure à celle des lois, telles que la partie législative du code de procédure civile et du code de procédure civile d’exécution. Or, ces deux codes affectent les capacités d’une banque à recouvrir leurs créances par la voie judiciaire.

Selon l’article 288 du traité de fonctionnement de l’Union européenne, les règlements (comme le RGPD) ont une portée générale. Ils sont obligatoires dans tous leurs éléments et sont directement applicables dans tout État membre de l’Union ⁴ . Il en découle qu’invoquer le RGPD permet à l’emprunteur d’écarter les lois et jurisprudences qui lui seraient défavorables.

Or, les dispositions du RGPD s’appliquent à tous les traitements de données réalisés depuis son entrée en vigueur le 25 mai 2018. La date de conclusion du contrat de prêt est indifférente ; seule la date du traitement compte. Ainsi, les traitements de données réalisés après le 25 mai 2018 qui seraient afférents à un prêt contracté même plusieurs années avant cette date doivent respecter le RGPD.

Pour le groupe de travail indépendant « article 29 [ 5.Le groupe de travail « article 29 » sur la protection des données a été institué par l’article 29 de la directive 95/46/CE de 1995, qu’a remplacé le RGPD. Il s’agit d’un organe consultatif européen indépendant sur la protection des données et de la vie privée. Ses missions sont définies à l’article 30 de la directive 95/46/CE et à l’article 15 de la directive 2002/58/CE.Site internet : http://ec.europa.eu/justice/data-protection/index_fr.htm]» sur la protection des données, les notions de « licéité des traitements » ou « d’intérêt légitime » qui apparaissent dans la directive de 1995 puis dans le RGPD supposent que celui qui traite des données respecte tant la loi propre à la finalité des traitements poursuivie que la réglementation en matière de protection des données.

Par exemple, lorsqu’une banque traite des données à caractère personnel d’un consommateur à l’occasion de l’étude préalable à l’octroi d’un prêt ou lors de sa gestion, les traitements de données effectués par la banque seront licites et satisferont à un intérêt légitime uniquement si la banque respecte cumulativement les dispositions du RGPD et du code de la consommation.

Cette interprétation des notions de « licéité des traitements » ou « d’intérêt légitime » est celle que l’on retrouve dans la jurisprudence européenne (CEDH, CJUE) … mais pas dans la doctrine de la CNIL.

Cette dernière, négligente dans l’accomplissement de ses missions, n’a pas veillé à ce que les banques respectent convenablement la loi de 2004 transposant en droit français la directive européenne de 1995.

Les notions juridiques de « licéité des traitements » ou « d’intérêt légitime », qui apparaissent dans le RGPD figurent aussi dans deux articles du code procédure civile très importants ⁵ »].

Le premier de ces deux articles, l’article 31, oblige le juge à rejeter la demande de la banque sans même l’examiner dès lors qu’elle ne dispose pas d’un intérêt légitime à agir ⁶ Or, selon le RGPD, les données à caractère personnel ne doivent être traitées que dans un « intérêt légitime », c’est-à-dire dans des conditions conformes aux règles de droit applicables au traitement (dans son avis, le groupe de travail emploie aussi l’expression d’« acceptable au regard du droit » pour définir ce qu’il faut entendre par intérêt légitime).

Un traitement réalisé dans des conditions qui violeraient le RGPD oblige le juge à déclarer irrecevable la demande de remboursement de la banque, de sorte que cette dernière sera déboutée.

Le second article, l’article 9, impose aux parties à un procès civil de prouver conformément à la loi les faits qui soutiennent leurs demandes (principe de licéité de la preuve) et permet donc d’attaquer les preuves que la banque verse sur le plan de leur légalité

Il en résulte, par exemple, qu’un décompte de créance fourni par une banque doit satisfaire aux dispositions légales qui lui sont applicables (issues du code de la consommation, du code civil, etc.), mais également à celles du RGPD, qui pose en particulier l’obligation de licéité du traitement.

Si le décompte de créance produit par la banque pour prouver le montant restant à rembourser a été obtenu par un traitement illicite au regard du RGPD, il deviendra irrecevable : le juge ne pourra pas s’appuyer dessus pour examiner le bien-fondé ou non de la demande de remboursement la banque.

-oOo-

Du fait de la primauté du droit européen et de l’application directe du RGPD, les juges doivent veiller à ce que les banques respectent le RGPD dans leurs demandes en justice.

Si la banque saisit la justice pour le non-remboursement d’un prêt, l’emprunteur pourra soulever une fin de non-recevoir ⁷  ainsi que l’irrecevabilité des preuves de la banque.

Les juges ont donc le choix entre soit appliquer le droit, déclarer irrecevable l’essentiel des demandes des banques et risquer de provoquer l’effondrement du système bancaire, soit de refuser d’appliquer le droit, violer les droits des emprunteurs et espérer sauver le système bancaire.

La CNIL ne peut plus réparer les conséquences de sa doctrine catastrophique pour le passé. Mais elle le peut toujours pour l’avenir en adoptant une lecture de la réglementation en matière de protection des données conforme au RGPD et la jurisprudence européenne. Cela passe aussi par associer à ses travaux les associations de défense de consommateurs (et non plus uniquement les banques) afin de les mettre en position de mieux défendre les emprunteurs et que les intérêts de ces derniers soient mieux représentés. Mais en a-t-elle la volonté ?

Séphane Poirot