2017.913

 

THEME

 

Crédits hypothécaires – Exécution du contrat – Enregistrement BNB

 

AVIS

 

Présents :
Monsieur A. Van Oevelen, Président ;

Madame M.-F. Carlier, Vice-Président ;

Monsieur J. Vannerom, membre ;

Mesdames M. Mannès et N. Spruyt, membres.

 

Date : 23 mai 2017

1. VOTRE PLAINTE

 

Le demandeur s’est rendu en décembre 2015 pour procéder à l’actualisation de son identification auprès de trois institutions financières où il est titulaire de comptes. Deux d’entre elles ont simplement effectué une lecture de votre carte d‘identité et la troisième lui a demandé de signer un document d‘identification dans lequel il consent au traitement de ses données personnelles et au Règlement Général des Opérations.

 

Le demandeur estime que ce consentement dépasse l’obligation d’identification de ses données personnelles et qu’en lui faisant signer ce document, la banque s’attribue des droits exclus ou fortement réglementés par la loi.

 

Le demandeur souhaite savoir s’il est obligé d’accepter de signer ce document dans le cadre de l’obligation d’identification et si cette clause octroie des droits exclus ou fortement réglementés par la loi.

 

2. POSITION DE LA BANQUE

La banque a donné au demandeur toutes les explications tant au sujet de son obligation d‘identification que sur le traitement des données à caractère personnel protégé par la loi sur la protection de la vie privée. Le document que la banque a soumis à sa signature, reprend les données d’identification et donc –par essence- les données à caractère personnel.

 

Pour la banque, la signature du demandeur sur ce document est une condition obligatoire et non négociable pour continuer la relation, car le traitement de ses données est nécessaire pour la gestion des services dont il bénéficie. En revanche, si vous ne souhaitez pas que ces données soient utilisées à des fins de marketing, il vous est loisible de le signifier à votre agence qui fera le nécessaire. 

 

3. AVIS DES EXPERTS[1]

 

Voici le rapport du Collège d’experts : « le Collège des experts a pris connaissance du dossier et de l'avis de l'Ombudsman du 15 mai 2017. Il peut se rallier entièrement à la position développée par l'Ombudsman et y apporter quelques éléments complémentaires :

 

 La loi du 11 janvier 1993 sur la prévention du blanchiment et du financement du terrorisme impose aux banques d'identifier leurs clients, de vérifier les données d'identité collectées et de les mettre à jour. La collecte, la vérification et la mise à jour des données d'identité s'effectuent par la lecture, par la banque, de la carte d'identité électronique du client. De son côté, la loi du 8 décembre 1992 sur la protection de la vie privée précise en son article 5c que le consentement de la personne concernée à propos de la collecte et du traitement de ses données personnelles n'est pas requis lorsque l'obligation d'identification découle d'une loi.

 

Tout d'abord, sur cette base, le Collège précise très clairement que lorsque la banque a procédé à la mise à jour des données personnelles du plaignant, client de longue date, par la lecture de sa nouvelle carte d'identité, aucun consentement de celui-ci n'était requis. Le Collège à cet égard, tout comme l'Ombudsman, s'interroge sur l'opportunité pour la banque, mais aussi sur le bien-fondé dans son chef, d'émettre à ce moment un document à faire signer par le plaignant et en outre d'y ajouter la clause relative au traitement des données personnelles, généralement qualifiée de "Clause Privacy », comme si à ce moment le plaignant devait marquer son accord sur ladite clause. Au-delà du fait que cette façon de faire est source de confusion, le Collège estime que la position de la banque de soumettre le maintien de sa relation commerciale avec le plaignant à la signature du document émis lors de la lecture de la carte d'identité renouvelé serait clairement constitutive d'un abus de droit.

 

Ensuite, le Collège relève que le document présenté à la signature du plaignant fait référence au Règlement Général des Opérations de la banque, que le plaignant doit expressément accepter à cette occasion.  Si le plaignant est client de la banque depuis plus de 40 ans et a récemment mis à jour son profil d'investisseur, il est raisonnablement envisageable qu'il soit déjà soumis au Règlement général des Opérations de la banque et s'il ne l'était pas, ce n'est certainement pas à l'occasion d'une simple lecture de sa carte d'identité qu'il pourrait être amené à marquer accord sur le document consacrant l'ensemble de ses relations juridiques avec la banque, dont copie ne lui a en outre apparemment pas été remise à ce moment.  Le Collège estime que cette référence est également source de confusion et comprend que le plaignant se pose des questions sur cette clause et puisse s'inquiéter de sa portée quant à d'éventuelles modifications du Règlement Général des Opérations qui auraient pu ne pas lui être communiquées auparavant.

 

Enfin, en ce qui concerne la "Clause Privacy" elle -même, et sans admettre qu'elle a sa place dans le document proposé à la signature au plaignant, le Collège estime comme l'Ombudsman que la Commission de la Protection de la Vie Privée pourrait utilement être interrogée par écrit par le plaignant quant au respect par la banque de ses obligations légales d’information et de transparence à propos du traitement des données personnelles collectées. S'il apparaît que ladite clause précise en effet les différentes finalités du traitement des données personnelles, le droit d'accès aux données et, le cas échéant, de rectification des données incorrectes, ainsi que le droit d'opposition à l'utilisation des données à des fins de marketing, le Collège relève dans le contenu de la clause deux points qui posent un problème par rapport aux obligations légales de la banque :

 

D'abord, la clause prévoit le traitement des données personnelles du conjoint ou du partenaire du client et des membres de sa famille habitant sous le même toit. L'obligation de la banque d'identifier son client en collectant ses données personnelles ne s'étend pas à d'autres personnes, qu'elles vivent sous son toit ou non. Le Collège est d'avis qu'en l'occurrence le traitement de ces données n'est pas autorisé et que même un accord d'un client à ce propos ne serait pas valable, en raison de l'impossibilité de s'engager pour autrui. 

 

Ensuite, la clause évoque la communication de données à des entités du groupe de la banque et à des tiers prestataires de services. Le Collège estime à cet égard que la clause ne contient aucune information sur le type de données qui seront transmises, en fonction de la nature des traitements envisagés de sorte que le client n'est pas en mesure d'apprécier si les données communiquées sont bien nécessaires et pertinentes par rapport auxdits traitements.

 

Le Collège tient toutefois à souligner que sur le plan purement informatif, en dehors de la question de sa signature pour accord par le client, le document édité par la banque à l'occasion de la lecture de la carte d'identité renouvelée présente l'avantage de la présentation des données collectées, ce qui permet au client d'exercer éventuellement son droit de rectification. » 

 

4. CONCLUSION DE L’OMBUDSMAN

 

En conclusion, l’Ombudsman confirme son avis rendu le 15 mai 2017 et invite la banque à ne pas lier la signature d’un tel document à l’exécution de son obligation légale d’identification.

 

Pour ce qui concerne le contenu de la « clause  Privacy » reprise sur le document d’identification, l’Ombudsman invite le demandeur à la soumettre directement , le cas échéant, à la Commission de Protection de la Vie Privée ( Commission de la protection de la vie privée, Rue de la Presse, 35, 1000 Bruxelles,  +32 (0)2 274 48 00,  +32 (0)2 274 48 35,  commission@privacycommission.be).

 

Considérant avoir épuisé les voies de la médiation, je clôture ce dossier.