SÉNAT DE BELGIQUE BELGISCHE SENAAT
________________
Session 2016-2017 Zitting 2016-2017
________________
15 décembre 2016 15 december 2016
________________
Question écrite n° 6-1202 Schriftelijke vraag nr. 6-1202

de Martine Taelman (Open Vld)
van Martine Taelman (Open Vld)

au secrétaire d'État à la Lutte contre la fraude sociale, à la Protection de la vie privée et à la Mer du Nord, adjoint à la ministre des Affaires sociales et de la Santé publique
aan de staatssecretaris voor Bestrijding van de sociale fraude, Privacy en Noordzee, toegevoegd aan de minister van Sociale Zaken en Volksgezondheid
________________
Directive 2007/64/CE du Parlement européen et du Conseil du 13 novembre 2007 concernant les services de paiement dans le marché intérieur - Secret bancaire - Vente de données client à des tiers - Autorisation explicite - Vie privée - Protection - Vol d'id Richtlijn 2007/64/EG van het Europees Parlement en de Raad van 13 november 2007 betreffende betalingsdiensten in de interne markt - Bankgeheim - Verkoop van klantengegevens aan derden - Expliciete toestemming - Privacy - Bescherming - Identiteitsdiefstal 
________________
données personnelles
protection de la vie privée
secret bancaire
monnaie électronique
activité bancaire
établissement de crédit
protection des données
criminalité informatique
persoonlijke gegevens
eerbiediging van het privé-leven
bankgeheim
elektronisch betaalmiddel
bankactiviteit
kredietinstelling
gegevensbescherming
computercriminaliteit
________ ________
15/12/2016Verzending vraag
(Einde van de antwoordtermijn: 19/1/2017)
18/1/2017Antwoord
15/12/2016Verzending vraag
(Einde van de antwoordtermijn: 19/1/2017)
18/1/2017Antwoord
________ ________
Ook gesteld aan : schriftelijke vraag 6-1201 Ook gesteld aan : schriftelijke vraag 6-1201
________ ________
Question n° 6-1202 du 15 décembre 2016 : (Question posée en néerlandais) Vraag nr. 6-1202 d.d. 15 december 2016 : (Vraag gesteld in het Nederlands)

Le niveau du salaire, l'hypothèque ou une visite chez le psychologue : à partir du mois de janvier 2018, des tiers consulteront les données bancaires privées d'un titulaire de compte, à moins que celui-ci ne notifie clairement son opposition à la banque qui pourra dorénavant vendre ses données à d'autres entreprises.

D'après la nouvelle réglementation européenne (la directive 2007/64/CE du Parlement européen et du Conseil du 13 novembre 2007 concernant les services de paiement dans le marché intérieur, modifiant les directives 97/7/CE, 2002/65/CE, 2005/60/CE ainsi que 2006/48/CE et abrogeant la directive 97/5/CE, appelée directive PSD2), les banques seront bientôt obligées de vendre les données de paiement de leurs clients à des tiers si ceux-ci en font la demande et ont obtenu l'agrément nécessaire. Le client doit également donner son accord, chaque fois que des données de paiement doivent être transmises à des tiers. Ces dispositions légales sont assorties d'un certain nombre de conditions : il faut préciser à qui les données sont vendues, quelles données de paiement sont fournies et à quelles fins elles sont vendues. Un consommateur doit à chaque fois pouvoir marquer son refus.

Je suis très sceptique quant à cette mesure. Les expériences du passé nous apprennent que cette autorisation est souvent noyée parmi toute une série de conditions, et que dès lors, le client ne fait pas un choix délibéré. De plus, un titulaire de compte ne se rend pas toujours compte des secrets qu'il/elle divulgue. Les assureurs automobiles seront particulièrement intéressés de savoir que le client a acheté de l'alcool. Les assureurs vie manifesteront un intérêt particulier pour la consommation de tabac ou la prise de certains médicaments. Par ailleurs, toutes ces données peuvent conduire au vol d'identité.

Il semblerait que les banques soient, d'après la nouvelle directive DSP2, elles-mêmes tenues de vendre ces données.

Quant au caractère transversal de la question : les différents gouvernements et maillons de la chaîne de sécurité se sont accordés sur les phénomènes qui doivent être traités en priorité au cours des quatre prochaines années. Ceux-ci sont définis dans la Note-cadre de sécurité intégrale et dans le Plan national de sécurité pour la période 2016-2019 et ont fait l'objet d'un débat lors d'une Conférence interministérielle à laquelle les acteurs de la police et de la justice ont également participé. La criminalité informatique est l'une des grandes priorités établies. Cette question concerne dès lors une compétence régionale transversale, les Régions intervenant surtout dans le volet préventif.

J'aimerais dès lors obtenir une réponse aux questions suivantes :

1) Quel était le point de vue de notre gouvernement sur cette nouvelle directive, et en particulier, quant à la protection du secret bancaire et de la vie privée ? Pouvez-vous me dire, pour ces deux derniers points, qui a défendu quel point de vue et en quel lieu ?

2) Est-il exact que les banques peuvent être obligées de vendre ces données ? Pouvez-vous fournir des explications détaillées ? Pourquoi les banques peuvent-elles être obligées de vendre ces données si elles ne le veulent pas ou si leur politique consiste à protéger les données des clients ? Qui est favorable à cette décision ?

3) Pensez-vous comme moi qu'une banque ne peut mettre des données bancaires à la disposition de tiers en vue d'en tirer des revenus qu'après y avoir été explicitement autorisée par le consommateur, et dès lors pas par le biais d'une adaptation des conditions standard qui sont communiquées lors de l'ouverture d'un compte ? Pouvez-vous détailler votre réponse ? Pensez-vous également que ces dispositions doivent toujours être révocables ? Est-ce le cas ?

4) Dans quelle mesure cette initiative est-elle conciliable avec le secret bancaire ?

5) La vente ou la mise à disposition de ces données ne risque-t-elle pas de conduire à une augmentation du nombre de vols d'identité ?

6) La directive précise-t-elle de façon explicite qui est responsable du vol éventuel de données chez des tiers détenteurs des données bancaires ? Dans l'affirmative, qui est responsable ? Dans la négative, pourquoi ?

7) A-t-on explicitement demandé l'avis de la Commission de la protection de la vie privée à ce sujet ? Dans l'affirmative, que disait cet avis ? Dans la négative, pourquoi ?

 

De hoogte van je loon, je hypotheek, of een bezoek aan de psycholoog ; vanaf januari 2018 zullen derden meekijken naar de privébankgegevens. Tenzij de rekeninghouder duidelijk nee zegt tegen de bank die zijn gegevens straks aan andere bedrijven door kan verkopen.

Onder nieuwe Europese regelgeving (de richtlijn 2007/64/EG van het Europees Parlement en de Raad van 13 november 2007 betreffende betalingsdiensten in de interne markt tot wijziging van de richtlijnen 97/7/EG, 2002/65/EG, 2005/60/EG en 2006/48/EG, en tot intrekking van richtlijn 97/5/EG, de zogenaamde PSD2 richtlijn) zijn banken straks verplicht betaalgegevens van hun klanten te verkopen aan derden als die daarom vragen. Die partijen hebben daar wel een vergunning voor nodig. Ook moet de klant hier toestemming voor geven, iedere keer dat de betaalgegevens in andere handen overgaan. Dat is wettelijk vastgelegd onder een aantal voorwaarden : aan wie de gegevens worden verkocht, welk deel van de betaalgegevens worden geleverd en voor welk doel ze worden verkocht. Ook moet een consument altijd nee kunnen zeggen.

Ik ben bijzonder huiverachtig ten opzicht van deze maatregel. Ervaringen uit het verleden leren ons dat deze toestemming dikwijls bedolven zit onder een rits andere voorwaarden waardoor de klant dit niet bewust kiest. Bovendien beseft een gebruiker van een bankrekening niet welke geheimen hij / zij prijsgeeft. Autoverzekeraars zullen bijzondere interesse hebben in de aankopen van alcohol door de gebruiker. Levensverzekeraars zullen bijzondere interesse vertonen in tabaksgebruik of bepaalde medicatie die genomen wordt. Bovendien kunnen al deze gegevens leiden tot identiteitsdiefstal.

Naar verluidt zouden banken een volgens de nieuwe DSP2 richtlijn zelfs verplicht worden om deze gegevens te verkopen.

Wat betreft transversaal karakter van de vraag : de verschillende regeringen en schakels in de veiligheidsketen zijn het eens over de fenomenen die de komende vier jaar prioritair moeten worden aangepakt. Die staan gedefinieerd in de kadernota Integrale Veiligheid en het Nationaal Veiligheidsplan voor de periode 2016–2019, en werden besproken tijdens een Interministeriële Conferentie, waarop ook de politionele en justitiële spelers aanwezig waren. Eén van de vastgelegde prioriteiten is de informaticacriminaliteit. Het betreft dus een transversale gewestaangelegenheid waarbij de rol van de Gewesten vooral ligt in het preventieve luik.

Graag had ik hieromtrent dan ook een antwoord gekregen op de volgende vragen :

1) Wat was het standpunt van onze regering ten aanzien van deze nieuwe richtlijn en dan in het bijzonder over de bescherming van het bankgeheim en over de privacy ? Kunt u voor deze laatste twee punten meedelen wie waar welk standpunt heeft verdedigd ?

2) Klopt de informatie als zouden banken verplicht kunnen worden om deze gegevens te verkopen ? Kunt u zeer gedetailleerd toelichten ? Waarom worden banken verplicht om te verkopen als ze dit niet willen of hun beleid erin bestaat om klantengegevens te beschermen ? Wie is hier voorstander van ?

3) Bent u het met me eens dat het ter beschikking stellen van bankgegevens door de bank aan derden met het oog op het bekomen van inkomsten uit deze data enkel mag plaatsvinden na een expliciete toestemming van de consument en dus niet via een aanpassing van de standaardvoorwaarden die worden meegegeven bij het openen van een rekening ? Kunt u toelichten ? Bent u het er tevens mee eens dat dit steeds herroepbaar moet zijn ? Is dit ook aldus voorzien ?

4) Hoe verhoudt dit initiatief zich tot het bankgeheim ?

5) Kan de verkoop of het ter beschikking stellen van deze gegevens niet leiden tot meer identiteitsdiefstal ?

6) Bepaalt de richtlijn expliciet wie aansprakelijk is voor de eventuele diefstal van gegevens bij derden van de bankgegevens ? Zo ja, wie is aansprakelijk ? Zo neen, waarom niet ?

7) Werd het advies van de Privacycommissie hieromtrent expliciet gevraagd ? Zo ja, hoe luidt het advies ? Zo neen, waarom niet ?

 
Réponse reçue le 18 janvier 2017 : Antwoord ontvangen op 18 januari 2017 :

1) & 2) Concernant vos deux premières questions, je vous renvoie à mon collègue en charge de l’Économie, la directive 2015/2366 du 25 novembre 2015 concernant les services de paiement dans le marché intérieur (dite directive PSD2) relevant de sa compétence.

3) L’article 94 de la directive PSD2 dispose que :

« 1. (…) La communication aux personnes d’informations sur le traitement des données à caractère personnel et le traitement de ces données à caractère personnel ainsi que tout autre traitement de données à caractère personnel aux fins de la présente directive sont effectués conformément à la directive 95/46/CE et aux règles nationales transposant ladite directive, ainsi qu’au règlement (CE) no 45/2001.

2. Les prestataires de services de paiement n’ont accès à des données à caractère personnel nécessaires à l’exécution de leurs services de paiement, ne les traitent et ne les conservent qu’avec le consentement explicite de l’utilisateur de services de paiement ».

La directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données précise à l’article 2, h), que consentement de la personne concernée doit être toute manifestation de volonté, libre, spécifique et informée par laquelle la personne concernée accepte que des données à caractère personnel la concernant fassent l'objet d'un traitement.

Par ailleurs, le nouveau règlement général sur la protection des données 2016/679 du 27 avril 2016, qui remplacera la directive 95/46 en 2018, clarifie les conditions de consentement, notamment :

– le responsable du traitement doit être en mesure de démontrer que la personne concernée a donné son consentement au traitement de données à caractère personnel la concernant ;

– si le consentement de la personne concernée est donné dans le cadre d'une déclaration écrite qui concerne également d'autres questions, la demande de consentement doit être présentée sous une forme qui la distingue clairement de ces autres questions, sous une forme compréhensible et aisément accessible, et formulée en des termes clairs et simples ;

– la personne concernée a le droit de retirer son consentement à tout moment. Le retrait du consentement ne compromet pas la licéité du traitement fondé sur le consentement effectué avant ce retrait. La personne concernée en est informée avant de donner son consentement. Il est aussi simple de retirer que de donner son consentement ;

– au moment de déterminer si le consentement est donné librement, il y a lieu de tenir le plus grand compte de la question de savoir, entre autres, si l'exécution d'un contrat, y compris la fourniture d'un service, est subordonnée au consentement au traitement de données à caractère personnel qui n'est pas nécessaire à l'exécution dudit contrat.

Le nouveau règlement général sur la protection des données précise également à l’article 6, § 4, qu’un traitement à une fin autre que celle pour laquelle les données ont été collectées peut avoir lieu si la personne concernée a donné son consentement de la personne concernée ou si le droit de l'Union ou le droit belge l’autorise.

La transmission des données du client par la banque à un tiers ne peut se faire qu’à ces conditions.

4), 5), 6) & 7) Concernant ces questions, je vous renvoie à mon collègue en charge de l’Économie, la directive 2015/2366 du 25 novembre 2015 concernant les services de paiement dans le marché intérieur (dite directive PSD2) relevant de sa compétence.

1) & 2) Wat betreft uw eerste twee vragen verwijs ik u door naar mijn collega bevoegd voor Economie vermits de richtlijn 2015/2366 van 25 november 2015 betreffende betalingsdiensten in de interne markt (genaamd richtlijn PSD2) tot zijn bevoegdheid behoort.

3) Artikel 94 van de richtlijn PSD2 bepaalt het volgende :

« 1. (…) De verstrekking van informatie aan natuurlijke personen over de verwerking van persoonsgegevens en de verwerking van dergelijke gegevens en enige andere verwerking van persoonsgegevens voor de bij de onderhavige richtlijn beoogde doeleinden geschiedt overeenkomstig richtlijn 95/46/EG, de nationale regelgeving tot omzetting van richtlijn 95/46/EG en verordening (EG) nr. 45/2001.

2. Betalingsdienstaanbieders mogen alleen met de uitdrukkelijke toestemming van de betalingsdienstgebruiker toegang krijgen tot persoonsgegevens die noodzakelijk zijn voor het aanbieden van hun betalingsdiensten, deze verwerken en bewaren. »

De richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens voorziet in artikel 2, h), dat toestemming van de betrokkene, elke vrije, specifieke en op informatie berustende wilsuiting is waarmee de betrokkene aanvaardt dat hem/haar betreffende persoonsgegevens worden verwerkt.

Overigens, de nieuwe algemene verordening Gegevensbescherming 2016/679 van 27 april 2016 die de Gegevensbeschermingsrichtlijn 95/46/EG zal vervangen in 2018 verduidelijkt in artikel 7 de voorwaarden voor toestemming, met name :

– de verwerkingsverantwoordelijke moet kunnen aantonen dat de betrokkene toestemming heeft gegeven voor de verwerking van zijn persoonsgegevens ;

– indien de betrokkene toestemming geeft in het kader van een schriftelijke verklaring die ook op andere aangelegenheden betrekking heeft, wordt het verzoek om toestemming in een begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal zodanig gepresenteerd dat een duidelijk onderscheid kan worden gemaakt met de andere aangelegenheden ;

– de betrokkene heeft het recht zijn toestemming te allen tijde in te trekken. Het intrekken van de toestemming laat de rechtmatigheid van de verwerking op basis van de toestemming vóór de intrekking daarvan, onverlet. Alvorens de betrokkene zijn toestemming geeft, wordt hij daarvan in kennis gesteld. Het intrekken van de toestemming is even eenvoudig als het geven ervan ;

– bij de beoordeling van de vraag of de toestemming vrijelijk kan worden gegeven, wordt onder meer ten sterkste rekening gehouden met de vraag of voor de uitvoering van een overeenkomst, met inbegrip van een dienstenovereenkomst, toestemming vereist is voor een verwerking van persoonsgegevens die niet noodzakelijk is voor de uitvoering van die overeenkomst.

De nieuwe algemene verordening Gegevensbescherming 2016/679 bepaalt ook in artikel 6, § 4, dat een verwerking voor een ander doel dan dat waarvoor de persoonsgegevens zijn verzameld mogelijk is indien het berust op toestemming van de betrokkene of op een Unierechtelijke bepaling of een lidstaatrechtelijke bepaling.

Het doorsturen van klantengegevens door een bank aan derden kan dus slechts plaatsvinden onder deze voorwaarden.

4), 5), 6) & 7) Wat betreft deze vragen verwijs ik u door naar mijn collega bevoegd voor Economie vermits de richtlijn 2015/2366 van 25 november 2015 betreffende betalingsdiensten in de interne markt (genaamd richtlijn PSD2) tot zijn bevoegdheid behoort.