Que deviennent vos données bancaires quand vous changez de banque ?

RGPD, an 1. Le 25 mai 2018, le « règlement général sur la protection des données » entrait en application. Objectif : encadrer et harmoniser, à l’échelle de l’Union européenne, le traitement des données à caractère personnel. Il y avait urgence : la précédente directive sur le sujet datait de 1995. Trois ans, donc, avant la création de Google, en 1998 en Californie…

Pensé pour répondre aux nouveaux défis posés par les géants du numérique - notamment les fameuses GAFAM (Google, Apple, Facebook, Amazon et Microsoft) - le texte s’applique plus généralement à toutes les entreprises qui détiennent des données personnelles. Notamment aux banques qui doivent, comme les autres, permettre à leurs clients de faire valoir leurs droits, certains créés, d’autres consolidés par le RGPD. Deux en particulier : le droit à la portabilité et le droit à l’oubli. En résumé, la possibilité de récupérer, à la demande, ses données personnelles, le cas échéant pour les transmettre à un tiers, ou d’en demander l’effacement.

Lire sur le sujet : Banque : que change le RGPD pour vous ?

Quelles sont les données concernées ?

C’est la première question à laquelle les banques ont dû répondre pour mettre en œuvre ces droits. Il n’y a pas d’ambiguïté pour les informations fournies directement par l’usager : son état-civil, son adresse, ses situations familiale et professionnelle, etc. Il en va différemment des données dites transactionnelles, celles qui figurent sur les relevés de compte : virements, prélèvements, retraits de cash, paiements par carte, etc. S’agit-il de données personnelles ?

D’un point de vue juridique, cela ne fait pas vraiment débat. « Sauf s’il est anonymisé, l’historique des transactions est considéré comme une donnée personnelle, et à ce titre rentre dans le champ du droit à la portabilité et à l’oubli », explique Thibault Verbiest, avocat associé au sein du cabinet DS Avocats et spécialiste du sujet. Confirmation du côté de la Commission nationale de l’informatique et des libertés (CNIL), qui supervise la mise en œuvre du RGPD en France. « Le Comité européen de la protection des données a estimé que les informations figurant sur les relevés bancaires, produites dans le cadre de l’activité du compte, étaient des données personnelles et relevaient du droit à la portabilité », annonce Clémence Scottez, cheffe du service des affaires économiques de la CNIL.

Puis-je emporter mes données de paiement avec moi quand je quitte ma banque ?

A partir du moment où il s’agit de données personnelles, la réponse est oui : le droit à la portabilité s’applique aussi aux données de paiement. En ce sens, « le RGPD est de nature à renforcer la mobilité bancaire », estime Thibaut Verbiest, en complétant les dispositifs existants, notamment le mandat de mobilité lancé en février 2017. L’intérêt de s’emparer de ce droit dans le cadre d’un changement de banque est assez clair. Plus besoin, en effet, de repartir de zéro : vous conservez l’historique de vos transactions, et votre nouvelle banque acquiert sur le champ une large connaissance de vos habitudes, qu’elle peut transformer en services à valeur ajoutée : aide à la gestion budgétaire, conseils hyper-personnalisés, avantages fidélité, etc.

Quand je quitte ma banque, puis-je lui demander d’effacer mes relevés de compte, entre autres données personnelles ?

La réponse est encore oui, au titre du droit à l’oubli. Dans les faits toutefois, sa mise en œuvre se frotte à certaines limites. Les banques, en effet, ont « des obligations réglementaires de conservation des données », rappelle Clémence Scottez, de la CNIL. Pendant cinq ans, par exemple dans le cadre de la lutte contre le blanchiment. « Les banques doivent conserver les données pendant une durée raisonnable, ou imposée par la loi le cas échéant », confirme Me Thibault Verbiest.

La CNIL, toutefois, encourage certaines bonnes pratiques. « Les données doivent passer dans un état d’archivage intermédiaire », détaille Clémence Scottez. « De cette façon, elles ne sont plus consultables par les conseillers en agence, mais reste accessibles en cas de demande de Tracfin ».

Les banques françaises remplissent-elles leurs obligations ?

La plupart des banques ont joué le jeu du RGPD en adaptant leurs conditions générales et en nommant des délégués à la protection des données (DPD). Dans les faits toutefois, l’exercice des droits à la portabilité ou à l’oubli dans la banque semble très imparfait.

Premier problème : certaines enseignes refusent, contre l’évidence, de considérer les relevés de compte comme des données personnelles, limitant de fait le droit à la portabilité. « Cela suscite des plaintes d’usagers, qui sont en cours d’instruction », confirme Clémence Scottez. Autre obstacle : la mise en œuvre concrète. Talend, qui vend aux banques des solutions pour gérer les données de leurs clients, a effectué quelques tests grandeur nature sur des demandes de portabilité. Bilan : « Les banques ne sont pas prêtes », tranche Jean-Michel Franco.

Plus généralement, le directeur marketing de Talend s’étonne qu’aucune banque n’ait fait le choix d’utiliser ce droit à la portabilité de manière offensive, en proposant à des futurs clients de leur confier leurs données en échange de services à valeur ajoutée. « Elles ont mis en œuvre le RGPD comme une contrainte réglementaire, pas comme un avantage concurrentiel », constate-t-il. Ce faisant, elles ratent une opportunité : la plupart des observateurs du secteur s’accordent en effet à dire que la donnée transactionnelle, et sa valorisation, sera au cœur des futurs modèles économiques de la banque de détail.

Pour aller plus loin : nos conseils pour changer de banque