Les données personnelles, de nouvelles sources de revenus pour les banques
En juillet 2019, l’autorité de protection des données des Pays-Bas, équivalent néerlandais de la CNIL française, a indiqué que les banques ne peuvent pas utiliser les données collectées sur les opérations de leurs clients à d’autres fins que des services de paiement ou de retrait, même avec leur accord. Cette annonce fait suite aux actions menées par la banque en ligne ING qui a soumis à ses clients une modification des conditions d’utilisation. L’objectif : pouvoir utiliser les informations relatives aux transactions pour leur proposer des promotions ciblées. D’autres banques comme ABN Amro, Rabobank et Volksbank exploitaient aussi les données de paiement de leurs clients.
Les Pays-Bas ont ainsi mis un coup d’arrêt à une source de revenus prometteuse pour les banques en s’appuyant sur une lecture rigoureuse du Règlement général sur la protection des données (RGPD). Cet épisode montre les usages possibles des données personnelles.
Les règles entourant le secret bancaire
Si les banques ont accès aux données personnelles de leurs clients, elles ne peuvent pas pour autant les exploiter librement à leur profit. Deux corps de règles encadrent l’utilisation de ces données. Il y a d’abord le secret bancaire régi par le Code monétaire et financier qui impose aux établissements bancaires d’assurer la confidentialité de leurs données au sens large. Il existe toutefois quelques dérogations, certaines administrations bénéficiant légalement d’un « droit à la communication » qui leur permet d’obtenir des informations couvertes par le secret bancaire afin de mener à bien des missions considérées comme d’intérêt général. Parmi les organismes pouvant déroger au secret bancaire, il y a l’administration fiscale, les autorités de contrôle, la justice pénale et les organes de lutte contre le blanchiment d’argent et le financement du terrorisme.
Les données personnelles sont également encadrées par le RGPD entré en vigueur en mai 2018 dans toute l’Union européenne. Ce texte vise à renforcer la protection des personnes et à responsabiliser les acteurs traitant les données. Les informations liées au paiement sont couvertes par le RGPD, ce qui signifie qu’elles n’appartiennent pas à la banque même si celle-ci en protège la confidentialité.
Ainsi, si les taux historiquement bas et les règlementations contraignantes peuvent inciter les banques à trouver de nouvelles sources de revenus en exploitant les données transactionnelles de leurs clients à des fins commerciales, comme l’a fait ING aux Pays-Bas, en France, peu d’établissements recourent à cette pratique par crainte d’une perte d’image. Dans tous les cas, ils ne peuvent le faire sans l’accord de leurs clients. Il est donc conseillé de faire preuve de vigilance en lisant attentivement les conditions générales et particulières encadrant sa relation avec la banque et éventuellement, en retirant son consentement.