Version à imprimer bilingue Version à imprimer unilingue

Question écrite n° 6-1201

de Martine Taelman (Open Vld) du 15 décembre 2016

au ministre des Finances, chargé de la Lutte contre la fraude fiscale

Directive 2007/64/CE du Parlement européen et du Conseil du 13 novembre 2007 concernant les services de paiement dans le marché intérieur - Secret bancaire - Vente de données client à des tiers - Autorisation explicite - Vie privée - Protection - Vol d'id

données personnelles
protection de la vie privée
secret bancaire
monnaie électronique
activité bancaire
établissement de crédit
protection des données
criminalité informatique

Chronologie

15/12/2016Envoi question (Fin du délai de réponse: 19/1/2017)
28/6/2017Rappel
23/5/2019Fin de la législature

Aussi posée à : question écrite 6-1202

Question n° 6-1201 du 15 décembre 2016 : (Question posée en néerlandais)

Le niveau du salaire, l'hypothèque ou une visite chez le psychologue : à partir du mois de janvier 2018, des tiers consulteront les données bancaires privées d'un titulaire de compte, à moins que celui-ci ne notifie clairement son opposition à la banque qui pourra dorénavant vendre ses données à d'autres entreprises.

D'après la nouvelle réglementation européenne (la directive 2007/64/CE du Parlement européen et du Conseil du 13 novembre 2007 concernant les services de paiement dans le marché intérieur, modifiant les directives 97/7/CE, 2002/65/CE, 2005/60/CE ainsi que 2006/48/CE et abrogeant la directive 97/5/CE, appelée directive PSD2), les banques seront bientôt obligées de vendre les données de paiement de leurs clients à des tiers si ceux-ci en font la demande et ont obtenu l'agrément nécessaire. Le client doit également donner son accord, chaque fois que des données de paiement doivent être transmises à des tiers. Ces dispositions légales sont assorties d'un certain nombre de conditions : il faut préciser à qui les données sont vendues, quelles données de paiement sont fournies et à quelles fins elles sont vendues. Un consommateur doit à chaque fois pouvoir marquer son refus.

Je suis très sceptique quant à cette mesure. Les expériences du passé nous apprennent que cette autorisation est souvent noyée parmi toute une série de conditions, et que dès lors, le client ne fait pas un choix délibéré. De plus, un titulaire de compte ne se rend pas toujours compte des secrets qu'il/elle divulgue. Les assureurs automobiles seront particulièrement intéressés de savoir que le client a acheté de l'alcool. Les assureurs vie manifesteront un intérêt particulier pour la consommation de tabac ou la prise de certains médicaments. Par ailleurs, toutes ces données peuvent conduire au vol d'identité.

Il semblerait que les banques soient, d'après la nouvelle directive DSP2, elles-mêmes tenues de vendre ces données.

Quant au caractère transversal de la question : les différents gouvernements et maillons de la chaîne de sécurité se sont accordés sur les phénomènes qui doivent être traités en priorité au cours des quatre prochaines années. Ceux-ci sont définis dans la Note-cadre de sécurité intégrale et dans le Plan national de sécurité pour la période 2016-2019 et ont fait l'objet d'un débat lors d'une Conférence interministérielle à laquelle les acteurs de la police et de la justice ont également participé. La criminalité informatique est l'une des grandes priorités établies. Cette question concerne dès lors une compétence régionale transversale, les Régions intervenant surtout dans le volet préventif.

J'aimerais dès lors obtenir une réponse aux questions suivantes :

1) Quel était le point de vue de notre gouvernement sur cette nouvelle directive, et en particulier, quant à la protection du secret bancaire et de la vie privée ? Pouvez-vous me dire, pour ces deux derniers points, qui a défendu quel point de vue et en quel lieu ?

2) Est-il exact que les banques peuvent être obligées de vendre ces données ? Pouvez-vous fournir des explications détaillées ? Pourquoi les banques peuvent-elles être obligées de vendre ces données si elles ne le veulent pas ou si leur politique consiste à protéger les données des clients ? Qui est favorable à cette décision ?

3) Pensez-vous comme moi qu'une banque ne peut mettre des données bancaires à la disposition de tiers en vue d'en tirer des revenus qu'après y avoir été explicitement autorisée par le consommateur, et dès lors pas par le biais d'une adaptation des conditions standard qui sont communiquées lors de l'ouverture d'un compte ? Pouvez-vous détailler votre réponse ? Pensez-vous également que ces dispositions doivent toujours être révocables ? Est-ce le cas ?

4) Dans quelle mesure cette initiative est-elle conciliable avec le secret bancaire ?

5) La vente ou la mise à disposition de ces données ne risque-t-elle pas de conduire à une augmentation du nombre de vols d'identité ?

6) La directive précise-t-elle de façon explicite qui est responsable du vol éventuel de données chez des tiers détenteurs des données bancaires ? Dans l'affirmative, qui est responsable ? Dans la négative, pourquoi ?

7) A-t-on explicitement demandé l'avis de la Commission de la protection de la vie privée à ce sujet ? Dans l'affirmative, que disait cet avis ? Dans la négative, pourquoi ?