Version à imprimer bilingue Version à imprimer unilingue

Question écrite n° 6-1204

de Martine Taelman (Open Vld) du 15 décembre 2016

au secrétaire d'État à la Lutte contre la fraude sociale, à la Protection de la vie privée et à la Mer du Nord, adjoint à la ministre des Affaires sociales et de la Santé publique

Directive 2007/64/CE du Parlement européen et du Conseil du 13 novembre 2007 concernant les services de paiement dans le marché intérieur - Secret bancaire - Vente de données client à des tiers - Autorisation explicite - Cybercriminalité - Risque

monnaie électronique
activité bancaire
établissement de crédit
contrôle bancaire
données personnelles
secret bancaire
protection de la vie privée
banque centrale
Financial Services and Markets Authority
criminalité informatique

Chronologie

15/12/2016Envoi question (Fin du délai de réponse: 19/1/2017)
18/1/2017Réponse

Aussi posée à : question écrite 6-1203

Question n° 6-1204 du 15 décembre 2016 : (Question posée en néerlandais)

Le niveau du salaire, l'hypothèque ou une visite chez le psychologue : à partir du mois de janvier 2018, des tiers suivront les données bancaires privées d'un titulaire de compte, à moins que celui-ci ne notifie clairement son opposition à la banque qui pourra dorénavant vendre ses données à d'autres entreprises.

D'après la nouvelle réglementation européenne (la directive 2007/64/CE du Parlement européen et du Conseil du 13 novembre 2007 concernant les services de paiement dans le marché intérieur, modifiant les directives 97/7/CE, 2002/65/CE, 2005/60/CE ainsi que 2006/48/CE et abrogeant la directive 97/5/CE, appelée directive PSD2), les banques seront bientôt obligées de vendre les données de paiement de leurs clients à des tiers si ceux-ci en font la demande et ont obtenu l'agrément nécessaire. Le client doit également donner son accord, chaque fois que des données de paiement doivent être transmises à des tiers. Ces dispositions légales sont assorties d'un certain nombre de conditions : il faut préciser à qui les données sont vendues, quelles données de paiement sont fournies et à quelles fins elles sont vendues. Un consommateur doit à chaque fois pouvoir marquer son refus.

Je suis très sceptique quant à cette mesure. Les expériences du passé nous apprennent que cette autorisation est souvent noyée parmi toute une série d'autres, et que dès lors, le client ne fait pas un choix délibéré. De plus, un titulaire de compte ne se rend pas toujours compte des secrets qu'il/elle divulgue. Les assureurs automobiles seront particulièrement intéressés de savoir que le client a acheté de l'alcool. Les assureurs vie manifesteront un intérêt particulier pour la consommation de tabac ou la prise de certains médicaments. Par ailleurs, toutes ces données peuvent conduire au vol d'identité.

Il semblerait que les banques soient, d'après la nouvelle directive DSP2, elles-mêmes tenues de vendre ces données.

L'Autoriteit Financiële Markten (AFM-autorité néerlandaise de régulation des marchés financiers) craint que les données de paiement ne soient utilisées de manière abusive et qu'une nouvelle loi européenne ne donne lieu à une augmentation de la cybercriminalité. Du fait de cette loi, appelée PSD2, les banques seront bientôt obligées de partager les données de paiement des clients avec des tiers - pour autant que le client donne son autorisation. D'après Reinier Pollmann de l'AFM, ces données de paiement peuvent permettre aux entreprises de développer d'excellents services pour les consommateurs mais elles peuvent également avoir des conséquences extrêmement déplaisantes.

Reinier Pollmann dit également que le contrôle sur ces services est actuellement trop fragmenté. Les clients courent dès lors le risque de voir leurs données de paiement utilisées de manière abusive.

La loi vise à encourager l'innovation et à élargir la concurrence. Et c'est ce qui semble se produire, d'après l'autorité néerlandaise de contrôle: De nombreuses entreprises fintech (technologies financières) sont déjà prêtes actuellement à affronter la concurrence avec les banques et à offrir des services que seules les banques pouvaient offrir au départ. Pensez aux applications relatives aux investissements, aux cahiers de comptes ménagers en ligne, aux nouveaux modes de paiement et aux conseils hypothécaires, disponibles sans que vous ayez à encoder des données. Toutes les parties qui veulent utiliser ces données doivent d'abord demander une autorisation à la banque. Le système est organisé correctement aux Pays-Bas. Mais il s'agit d'une législation européenne et une autorisation peut donc être demandée dans n'importe quel pays européen. D'après l'autorité de contrôle, les cybercriminels préféreront le faire au départ de Chypre ou de Malte. C'est pourquoi le politique doit réfléchir à la manière de mieux organiser ce contrôle.

Quant au caractère transversal de la question : les différents gouvernements et maillons de la chaîne de sécurité se sont accordés sur les phénomènes qui doivent être traités en priorité au cours des quatre prochaines années. Ceux-ci sont définis dans la Note-cadre de sécurité intégrale et dans le Plan national de sécurité pour la période 2016-2019, et ont fait l'objet d'un débat lors d'une Conférence interministérielle à laquelle les acteurs de la police et de la justice ont également participé. La criminalité informatique est une des grandes priorités établies. Cette question concerne dès lors une compétence régionale transversale, les Régions intervenant surtout dans le volet préventif .

J'aimerais obtenir une réponse aux questions suivantes :

1) Que pensez-vous de la position de l'autorité néerlandaise de contrôle des banques selon laquelle la directive DSP2 envisagée entraîne certains risques de cybercriminalité et que le politique doit réfléchir à la manière de mieux organiser ce contrôle ?

2) Avez-vous déjà reçu un avis de la Banque nationale de Belgique (BNB), de la Commission de la protection de la vie privée ou de l'Autorité des services et marchés financiers (FSMA) sur les risques que comporte la directive DSP2 proposée en matière de cybercriminalité et de vol d'identité ?

3) Pouvez-vous préciser qui assurera l'ensemble du contrôle sur tous les « fournisseurs de services » qui achèteront les données bancaires des clients dans le but de diffuser des annonces et de mener d'autres actions commerciales ? Dans la négative, comment pouvez-vous garantir le contrôle ?

Réponse reçue le 18 janvier 2017 :

1) Concernant vos questions relative à la cybercriminalité, je vous renvoie à mon collègue, le ministre de la Sécurité et de l’Intérieur, ministre tutelle de la police et de la Computeur Crime Unit, compétent en la matière.

Pour ce qui relève de ma compétence, je viens d’adopter avec mes collègues européens le règlement européen 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) qui impose, à l’article 32, la mise en œuvre de mesures techniques et organisationnelles par le responsable du traitement et le sous-traitant afin de garantir un niveau de sécurité adapté au risque. Parmi celles-ci : la pseudonymisation et le chiffrement des données à caractère personnel, des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement, des moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique et une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement. En outre, leur mise en œuvre dépend de l'état des connaissances, les coûts de mise en œuvre et la nature, la portée, le contexte et les finalités du traitement ainsi que les risques pour les droits et libertés des personnes physiques. Le respect de ces exigences peut être démontré par l’application d’un code de conduite ou d’un mécanisme de certification approuvé. 

L’article 35 du règlement européen impose en outre que pour les traitements à risque, le responsable du traitement et le sous-traitant effectuent une analyse d’impact relative à la protection des données, décrivant les mesures de sécurité. Cette analyse d’impact doit être communiquée à la Commission de la protection de la vie privée, qui peut imposer des mesures de sécurité supplémentaire.

Enfin, les articles 33 et 34 imposent au responsable du traitement et au sous-traitant de notifier dans les septante-deux heures aux autorités de protection des données et aux personnes concernées toute violation de données à caractère personnel, en indiquant les faits et les mesures prises pour y remédier.

2) & 3) Concernant ces deux questions, je vous renvoie à mon collègue en charge de l’Économie, la directive 2015/366 du 25 novembre 2015 concernant les services de paiement dans le marché intérieur (dite directive PSD2) relevant de sa compétence. Et bien évidemment, la transposition doit s’effectuer dans le respect des règles relatives à la protection de la vie privée, ce à quoi je veillerai au sein du gouvernement.