Faut-il accepter que les banques vendent nos données de paiement pour arrondir leurs fins de mois ?

Atlantico : Bien que cela soit actuellement impossible en France, plusieurs banques réfléchissent aux moyens de « monétiser » les données de paiement de leurs clients, une tendance déjà développée dans le monde anglo-saxon. Quelle est aujourd'hui la loi en la matière ? Sur quels points pourrait-elle être modifiée ?

Michel Ruimy : L’irruption de l’informatique dans la vie quotidienne a modifié la nature des problèmes soulevés par la notion de vie privée, en particulier celui d’avoir un accès non contrôlé aux informations sensibles sur la vie privée des citoyens. En effet, il ne faudrait pas qu’en présence d’un régime totalitaire, celui-ci puisse avoir accès à des indications lui permettant de mener une politique ségrégationniste. C’est pourquoi, la plupart des pays industrialisés se sont dotés de lois contre la violation de la vie privée. Leurs préoccupations concernent la capacité du fournisseur de services - les banques, les opérateurs de télécommunication par exemple - à protéger les données stockées d’un accès extérieur malveillant, l’usage qui est fait des données collectées pour une utilisation non prévu par le contrat (action marketing, location de fichiers, etc.), le partage de ces informations avec des tiers non autorisés et l’usage des données pour des buts non attendus ou non désirés par le citoyen.

La loi informatique et libertés de 1978, modifiée en 2004, qui prévoit entre autres la création de la CNIL s’inscrit dans ce cadre. De même, la loi pour l’économie numérique de 2004 transpose également des mesures de la « e-privacy » directive. Les modifications, si elles sont possibles, doivent s’inscrire dans ce cadre.

Comment sont utilisées aujourd'hui ces données de paiement ? Qui les utilisent ? comment circulent-elles au sein des banques ?

Devant faire face à une vive concurrence, la profession bancaire a ressenti le besoin de développer une démarche marketing doublement orientée vers la clientèle, à la fois comme apporteur de capitaux (marché de ressources) et débouché nécessaire à sa production (marché des emplois). Dans ce contexte, l’information est l’ingrédient essentiel. Les renseignements recueillis peuvent être structurés d’une manière pérenne dans les bases de données marketing ou être obtenues de façon occasionnelle en fonction des besoins. Pour être utilisées efficacement, les informations doivent être convenablement réparties et ne pas se contenter d’être accessibles, mais attrayantes et pertinentes. En d’autres termes, la présentation des informations et le contenant sont aussi importants que le contenu. Ainsi, la banque, grâce à la masse des données qu’elle peut recueillir, peut fournir aux départements concernés (commercial, Front-Office…) des renseignements plus circonstanciés regroupés autour des critères fondamentaux : activité, crédit, paiement, signature, profil du client….

Dans le cas où elles se verraient autorisées a le faire, les banques affirment que ce transfert de données sera strictement encadré et cautionné a un accord de l'intéressé. qu'en attendre alors que l'on sait que ce « cordon de sécurité » a déjà été outrepassé par des entreprises comme facebook ?

L’enregistrement des données bancaires est déjà un service proposé par certains sites marchands permettant au client communiquant ses coordonnées, notamment celles de sa carte bancaire, pour régler une première commande et de ne plus devoir répéter cette opération pour régler ses futurs achats. La CNIL a publié, en 2011, des recommandations relatives à l’enregistrement des données bancaires des clients dans lesquelles elle rappelle que pour enregistrer et conserver les données bancaires des clients, l’entreprise doit obligatoirement recueillir au préalable leur consentement (opt-in du citoyen). Aux Etats-Unis, les données personnelles sont protégées de manière différente : le système américain a développé une approche sectorielle distincte de l'approche « universelle » européenne. Toutefois, si cette démarche perdure, on devra s’orienter vraisemblablement, à terme, vers une loi fédérale de protection des démarches personnelles.