Droit d’accès aux dossiers de la banque sous le régime de l’RGPD

(Entretien avec Bart Van den Brande, Sirius Legal, paru préalablement dans Momentum, le magazine de l’association belge des intermédiaires en services bancaires et assurances BZB-Fedafin).

Le RGPD impose des règles strictes en matière de protection des données à caractère personnel et requiert une solide organisation administrative. Si nos membres croulent sous ces nouvelles obligations, le RGPD crée également des droits. Le droit d’accès permet en effet aux agents bancaires et d’assurances de voir ce que le mandant conserve précisément à leur sujet. Nous avons posé plusieurs questions à Bart Van den Brande, avocat chez Sirius Legal. 

UN VÉRITABLE CARCAN

Les agents bancaires et d’assurances indépendants relèvent du statut d’agent commercial et sont soumis, notamment en raison de la réglementation financière stricte, à un contrat d’agence commerciale contenant des dispositions extrêmement contraignantes. Les agents bancaires ont une obligation d’exclusivité, tout comme la plupart des véritables agents d’assurances. 

Vu les procédures et les règles de comportement nombreuses et strictes que les agents doivent respecter, il n’est pas surprenant que leur mandant soit contraint par la réglementation d’effectuer des contrôles réguliers et d’assurer leur suivi de très près. Le non-respect des règles, les erreurs, les plaintes, etc. sont enregistrés de manière très précise. En cas de faute grave, la banque peut procéder à une résiliation immédiate pour motif grave, la relation avec l’agent prenant fin directement et sans la moindre indemnité pour celui-ci. 

UNE POLITIQUE QUI MANQUE DE TRANSPARENCE 

Si les agents reçoivent généralement le rapport de l’audit interne, ils ne savent pas ce que le mandant conserve à leur sujet ou à propos de leurs employés dans son dossier interne. Ils ne peuvent pas non plus accéder aux rapports internes. En outre, certains mandants refusent un crédit d’investissement à leur agent, celui-ci n’ayant aucune explication quant aux raisons communiquées. Les banques sont par ailleurs soupçonnées de se baser sur d’autres raisons non communiquées. 

Dans de très nombreux cas, le fait d’accéder aux rapports internes du mandant pourrait pourtant être utile, par exemple en cas de résiliation pour motif grave. Une telle résiliation doit en effet avoir lieu dans les 7 jours. Il pourrait ainsi ressortir des rapports internes que la banque/l’assureur était au courant de certains faits depuis bien plus longtemps et que la résiliation pour motif grave n’était donc pas justifiée.

Selon le RGPD, et avant lui la loi vie privée, toute personne dispose d’un droit d’accès aux données à caractère personnel conservées la concernant. N’importe qui peut-il donc demander à toute personne dont il pense qu’elle conserve des données à caractère personnel le concernant de lui communiquer les données qu’elle conserve ? 

Le Règlement général sur la protection des données (RGPD) et l’ancienne loi relative à la protection de la vie privée à l’égard des traitements de données à caractère personnel accordent différents droits aux citoyens dont les données sont traitées par une autorité, une organisation ou une entreprise. Ces citoyens sont appelés « personnes concernées » dans le RGPD. L’un des principes fondamentaux du RGPD est la transparence dans le traitement des données à caractère personnel. La personne concernée a le droit de savoir que des données la concernant sont traitées, par qui elles le sont, avec qui elles sont partagées, pourquoi elles sont traitées, etc. Ce droit est absolu en soi et illustre parfaitement l’objectif de départ de la législation : rendre au citoyen le contrôle de ses propres données dans une société en évolution constante, où les données sont de plus en plus considérées comme des marchandises. 

Une des façons concrètes de garantir cette transparence dans le cadre du RGPD est l’octroi d’un « droit d’accès » à la personne concernée. Si je pense qu’une entreprise, une autorité ou toute autre organisation traite mes données, je peux demander à y accéder. Et c’est au « responsable du traitement » (le « propriétaire ») des données de m’accorder cet accès et non aux « sous-traitants » avec qui il collabore éventuellement. Concrètement, cela signifie que je dois recevoir une copie de l’ensemble des données dont le responsable dispose me concernant dans les 30 jours. Ce délai peut être prolongé une fois de 15 jours en cas de situation exceptionnelle rendant impossible la collecte de l’ensemble des données en 30 jours, mais en principe, le responsable est tenu de veiller à ce que son entreprise soit organisée de façon à pouvoir collecter en 30 jours l’ensemble des données, sans exception. 

Le responsable du traitement doit- il vraiment transmettre toutes les données ou bien lui suffit-il de communiquer les catégories ou la nature des données ? 

La règle veut en effet que toutes les données soient transmises, sans exception. Le texte du règlement est très clair et ne comporte aucune exception. Conformément à l’article 15 du règlement, la personne concernée a droit à de très nombreuses informations sur l’identité du sous-traitant, les finalités du traitement, la durée de conservation, les parties avec lesquelles des données sont partagées, etc. Le règlement stipule en outre ce qui suit : « Le responsable du traitement fournit une copie des données à caractère personnel faisant l’objet d’un traitement. » 

Cela signifie que toutes les données doivent être collectées et transmises. L’Autorité de protection des données indique à juste titre sur son site web que cela implique donc que les données à caractère personnel provenant d’emails, de conversations téléphoniques enregistrées et de correspondances éventuelles avec le responsable doivent également être transmises. 

De nombreux responsables se montrent réticents quant à cette obligation. Dans de nombreux secteurs, le responsable ne traite pas uniquement les données reçues de la personne concernée elle-même ou de tiers, mais aussi de nombreuses données générées par lui-même, comme des rapports de fonctionnement, des analyses de crédit, des profils de clients, des profils de patients dans le monde médical ou des rapports de thérapeutes, d’assistants sociaux, etc. dans le secteur des soins de santé. Ces rapports contiennent souvent de très nombreuses informations confidentielles que le responsable du traitement ne souhaite pas communiquer, et encore moins avec la personne concernée. 

Le RGPD ne prévoit toutefois aucune exception pour ce type d’informations, et il n’y a donc aucune raison de les cacher. C’est d’ailleurs ce qui ressort d’une décision de la Cour de cassation italienne il y a quelques mois. La Cour de cassation italienne a récemment éclairci la portée de ce droit d’accès en vertu de l’article 15 du RGPD, auparavant repris sous l’article 7 du décret législatif 196/2008 en Italie. Une décision qui, bien qu’elle relevait encore de l’ancienne loi italienne initialement, peut être pertinente dans d’autres pays d’Europe dans le cadre du RGPD. 

Pouvez-vous expliquer ? 

Le 14 décembre 2018, la Cour de cassation a rejeté l’appel d’un employeur du secteur bancaire et a estimé que son travailleur avait le droit d’accéder aux documents d’évaluation ayant mené à des mesures disciplinaires à son encontre. La banque avait rejeté la demande pour des raisons de confidentialité. 

L’employé de banque faisait l’objet d’une procédure disciplinaire. Dans ce cadre, il souhaitait accéder aux évaluations de son employeur le concernant, sur lesquels reposait la procédure disciplinaire. La banque ayant refusé, l’homme a introduit une plainte auprès de l’Autorité de protection des données afin d’accéder aux documents utilisés pour le sanctionner. Il a invoqué son droit à la défense pour attaquer les mesures disciplinaires. 

Dans une réponse adressée à l’Autorité de protection des données italienne, la banque a expliqué avoir transmis à l’employé toutes les informations nécessaires afin d’évaluer la pertinence de la mesure prise, à savoir une lettre de plainte et une lettre de suspension, et qu’elle ne souhaitait pas lui permettre d’accéder aux rapports internes, ceux-ci contenant des données d’entreprise confidentielles « destinées à un usage strictement interne et protégées par la législation relative à la protection des données » dans le cadre de son « droit d’organiser et de gérer ses propres activités (garanti constitutionnellement par l’article 41 du Traité). » 

La banque a donc refusé de donner suite au droit d’accès imposé par l’Autorité de protection et a attaqué cette décision devant le tribunal, le litige se retrouvant finalement devant la Cour de cassation italienne.

La Cour de cassation a alors confirmé la position initiale de l’employé et de l’Autorité de protection des données italienne selon laquelle le droit d’accès en vertu de l’article 15 du RGPD concernait l’ensemble des données à caractère personnel dont la banque dispose concernant le travailleur, sans exception et sans la moindre forme de filtre ou de choix pour le responsable du traitement. La Cour a par ailleurs estimé que ce droit valait également si la personne concernée était déjà au courant de certaines informations et que celle-ci devait avoir accès à tout moment à ses données à caractère personnel. 

La Cour de cassation italienne a également souligné que les obligations relevant du droit du travail (concernant les dossiers du personnel) étaient elles aussi soumises au droit d’accès étant donné qu’il s’agit bien de données à caractère personnel.

La Cour de cassation a toutefois précisé que certaines données pouvaient être adaptées de façon à ne pas être reconnaissables si elles concernent des tiers et peuvent mettre en péril la vie privée de ces tiers (par exemple les noms d’autres membres du personnel ou de membres de la famille ayant fait des déclarations).

Cela signifie-t-il que si un agent pense qu’un mandant dispose d’un dossier le concernant, il peut demander à accéder à ce dossier ? 

Tout à fait. Comme dit précédemment, le droit d’accès est absolu en soi. La seule restriction est qu’il ne concerne que les données à caractère personnel. Les données à caractère personnel sont les données relatives à des personnes physiques. Si l’agent est une société et que le dossier ne contient que des données sur cette société et non sur les personnes physiques actives en son sein, ces données ne relèvent pas du droit d’accès (sauf par exemple pour les données de sociétés unipersonnelles pouvant être assimilées au gérant).

Le mandant peut-il filtrer des informations dans ce cas ? 

Non, pas selon moi (et conformément à l’ensemble des données à caractère l’arrêt de la Cour de cassation italienne), personnel dont la banque dispose  à moins qu’une législation spécifique ne concernant le travailleur, sans exception le permette, comme le secret médical ou et sans la moindre forme de filtre ou de professionnel. Mais une telle exception devrait être interprétée de manière très stricte. 

Cela signifie-t-il qu’un client dont le dossier de crédit a été refusé peut demander à accéder à son dossier ? 

En effet. Cela ne fait pratiquement aucun doute non plus. Les responsables doivent donc bien réfléchir à ce qu’ils notent dans les dossiers des clients et surtout à la façon dont ils le font. Chaque traitement doit se faire en gardant à l’esprit que les informations mentionnées peuvent un jour ou l’autre être transmises à la personne concernée. C’est pourquoi chez Sirius Legal, dans le cadre des processus de conformité RGPD, nous misons beaucoup sur la formation interne et la sensibilisation du personnel et sur une politique interne relative à l’utilisation des systèmes logiciels et à la conservation ou non de certaines données.

Qu’en est-il des commentaires dans les systèmes CRM et des notes sur la personnalité des personnes concernées ? Doivent-elles être communiquées elles aussi ? 

Le principe est le même : il faut garder à l’esprit que le client risque un jour d’y accéder. Cela vaut également pour les notes personnelles, le fichier Excel du gestionnaire en dehors des systèmes, les e-mails internes ou les messages Messenger (Slack, Microsoft Teams et autres), les rapports de réunions, etc. Il s’agit de données à caractère personnel qui doivent être transmises en cas de demande d’accès. 

Seules les notes manuscrites « non destinées à être contenues dans un fichier », ce qui signifie qu’elles ne sont pas conservées de manière systématique ou organisée, ne relèvent éventuellement pas du droit d’accès. 

Y a-t-il des raisons de refuser ? 

Les motifs de refus du droit d’accès prévus par le règlement sont très limités. 

Le principal motif est une demande au caractère « manifestement infondé ou excessif ». Difficile de savoir ce que cela signifie concrètement, mais l’exception doit être interprétée de manière restrictive. Il pourrait par exemple s’agir d’un client qui introduit la même demande trois ou quatre fois d’affilée en très peu de temps ou de personnes tentant de profiter du droit d’accès afin de collecter de manière abusive des informations qu’elles ne pourraient pas obtenir autrement, par exemple dans le cadre d’un litige juridique (à venir). Ce type de situation doit toutefois être interprété au cas par cas et, comme indiqué précédemment, abordé de manière restrictive et avec la plus grande prudence, étant donné qu’il s’agit d’une exception au principe fondamental du RGPD. 

Un deuxième motif de refus découle indirectement de l’obligation de confidentialité du responsable. La communication de données à caractère personnel à un tiers sans base juridique constitue en effet une fuite de données. Le responsable doit donc être certain de l’identité de la personne demandant l’accès. En cas de doute quant à l’identité de la personne, la demande doit être refusée afin de protéger l’organisation contre les fuites de données. 

Il est également possible de refuser pour des raisons de sécurité publique ou afin de détecter ou de prévenir des infractions pénales ou pour protéger les droit et les libertés de tiers. Dans les faits, ces exceptions ne valent toutefois que pour les autorités, à l’exception de ce qui suit : une copie peut être refusée (partiellement) si sa remise risque de mettre en péril la vie privée d’autres personnes qui y sont mentionnées. 

Comment revendiquer ce droit ? Que faire si le responsable du traitement ne transmet que certaines informations ? 

La personne concernée peut adresser sa demande de la manière qu’elle souhaite, par e-mail, par téléphone, oralement dans les bureaux du responsable, par courrier, via le site web, etc. Cela signifie que les demandes d’accès peuvent parvenir à différentes personnes et que l’entreprise doit veiller à ce que tous les points de communication aient connaissance du RGPD et sachent comment réagir en temps voulu en cas de demande. Ce qui nous ramène à la nécessité d’une formation interne (pratique). 

Votre vision se base sur un arrêt de la Cour de cassation italienne. Dans quelle mesure devons-nous en tenir compte en Belgique ? 

Cet arrêt ne vaut évidemment que pour l’Italie. Il s’agit de la Cour de cassation italienne qui a interprété la législation italienne. L’analyse de la Cour de cassation est toutefois parfaitement conforme à l’objet et à la philosophie du RGPD. 

Notre Autorité de protection des données confirme elle aussi sur son site web le caractère illimité du droit d’accès en ces termes : « Vous avez en principe un droit d’accès à toutes vos données à caractère personnel, ce qui peut toutefois faire beaucoup. Cela comprend en effet les données à caractère personnel issues d’e-mails, de conversations téléphoniques enregistrées et de correspondances éventuelles de l’organisation avec d’autres organisations vous concernant » et « Un aperçu complet implique que l’organisation reprenne une copie de toute donnée à caractère personnel qu’elle traite vous concernant. Même si certaines données à caractère personnel apparaissent alors plusieurs fois dans l’aperçu. Par exemple si l’organisation a indiqué votre adresse à plusieurs endroits. » 

En outre, l’UE vise une harmonisation maximale de l’interprétation du RGPD grâce au Comité Européen de la Protection des Données. Si cet arrêt n’est pas contraignant d’un point de vue purement juridique, il donne tout de même une orientation sérieuse. 

Avez-vous des questions concernant la protection des données ou l’RGPD?

N’hésitez pas à prendre contact avec Bart Van den Brande au 0486 901 931 ou par mail à l’adresse mail bart@siriuslegal.be