Boris Vallaud
Question N° 15703 au Ministère de la justice
Question soumise le 1er janvier 2019
M. Boris Vallaud attire l'attention de Mme la garde des sceaux, ministre de la justice, sur les dispositions relatives au droit à la protection des données à caractère personnel en direction des personnes en difficultés financières. Entré en vigueur le 29 mai 2019, le Règlement général sur la protection des données (RGPD), qui s'inscrit dans la continuité de la loi française informatique des libertés de 1978, encadre le traitement des données de manière égalitaire sur tout le territoire de l'Union européenne. Le règlement s'applique à toutes les structures privées, publiques et sous-traitantes effectuant de la collecte ou du traitement de données. Parallèlement, la lutte contre la vulnérabilité résultant de la situation économique apparente ou connue, nécessite des mesures correctives visant les sociétés de contentieux, les établissements bancaires, les sociétés de crédit à la consommation, quant à certaines pratiques, liées aux appels téléphoniques répétés, aux surfacturations de frais de retards de paiements ou encore aux saisies importantes sur des faibles revenus, en direction des créanciers fragiles et vulnérables. En conséquence et conformément aux objectifs fixés visant à renforcer le droit des personnes, à responsabiliser les acteurs traitant les données et à crédibiliser la régulation, il lui demande quelles sont les mesures envisagées par le Gouvernement pour assurer aux personnes en difficultés financières le droit effectif à la protection de leurs données à caractère personnel, lors des contentieux économiques, les opposants à un ou des créanciers.
Réponse émise le 9 juillet 2019
Le règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD), contient de nombreuses dispositions relatives aux droits des personnes. Ainsi et indépendamment de sa situation financière, toute personne concernée dispose notamment du droit d'information (article 12), du droit d'opposition (article 21), du droit d'accès (article 15), du droit de rectification (article 16), du droit à l'effacement (article 17), du droit à la portabilité (article 20) et du droit à la limitation du traitement (article 18). Dans le cadre de la mise en conformité de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés avec le RGPD, le législateur a prévu plusieurs dispositions permettant d'assurer l'effectivité de ces droits, y compris lors de litiges impliquant des établissements financiers. Tout d'abord, en application de l'article 48 de la loi informatique et libertés, les personnes doivent être informées d'une part, de l'existence d'un traitement de données à caractère personnel susceptible d'aboutir à une décision d'exclusion ou de suspension du bénéfice d'un contrat (par exemple un fichier recensant les impayés mis en place par un établissement bancaire) et d'autre part, des droits dont elles disposent (droit d'accès, de rectification, d'opposition…). Afin de déterminer la nature exacte des informations inscrites dans ce fichier, la personne concernée a par la suite, et conformément à l'article 49 de la même loi, la possibilité de demander à l'établissement financier de lui communiquer une copie des informations enregistrées dans ce fichier, ainsi que toute information disponible quant à leur source. Une fois ce droit d'accès exercé, et selon les éléments communiqués, la personne dispose de la possibilité d'exiger que les données à caractère personnel la concernant qui sont inexactes soient rectifiées ou complétées (article 50 de la loi informatique et libertés). Elle peut également s'opposer, pour des motifs légitimes, à son inscription dans ce fichier d'exclusion (article 56 de la même loi). L'établissement financier doit informer la personne du traitement de sa demande dans les meilleurs délais et en tout état de cause dans un délai d'un mois à compter de la réception de la demande (article 12.3 du RGPD). En cas d'absence de réponse ou de refus de faire droit à la demande, la personne dispose de la possibilité d'adresser une plainte à la Commission nationale de l'informatique et des libertés (CNIL), conformément au d du 2° du I de l'article 8 de la loi informatique et libertés, afin qu'elle intervienne à l'appui de ses démarches. La CNIL met également à disposition sur son site internet des modèles de lettre afin de permettre aux personnes d'exercer leurs droits. Ensuite, et en application de l'article 11 du décret n° 2019-536 du 29 mai 2019 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, l'accomplissement des missions de la CNIL est gratuit pour la personne concernée. Enfin, l'article 37 de la loi du 6 janvier 1978 offre la possibilité d'exercer une action de groupe devant la juridiction civile ou admnistrative lorsque plusieurs personnes physiques, dans une situation similaire, subissent un dommage ayant pour cause commune un manquement au RGPD ou à la loi informatique et libertés. L'article 38 de cette même loi, prévoit également la possibilité pour toute personne de mandater une association afin d'exercer en son nom les droits dont elle dispose, y compris devant la CNIL. Ainsi, une association de consommateurs pourrait agir aun nom d'une personne physique devant la CNIL, dans un litige qui l'opposerait à sa banque. L'ensemble de ces dispositions, ofrre un panel d'instruments variés pour que les personnes en difficultés financières puissent assurer de manière effective la protection de leurs données à caractère personnel lors de litiges les opposant à une créancier.
Aucun commentaire n'a encore été formulé sur cette question.