La notation de la clientèle bancaire et la protection des données

By 6 July 2013

B. La notation de la clientèle bancaire

778. La question du scoring1180. Pratique validée par le Conseil d’Etat à l’encontre d’une délibération de la CNIL1181, les établissements de crédit utilisent souvent des systèmes de notation de leurs clients (scoring) afin d’apprécier le risque lié aux opérations engagées (ouverture de compte, crédit). Précisons que cette technique constitue le domaine exclusif d’établissements spécialisés dénommés « agences de notation »1182 dont les règles ont été édictées par la loi de sécurité financière1183. Plus particulièrement, la CNIL s’est prononcée récemment1184 sur les nouveaux systèmes mis en œuvre dans le cadre du ratio de solvabilité1185 «Mac Donough»1186 et à leur conformité à la loi de 1978. L’utilité d’un tel système n’est pas à remettre en cause tant il est indispensable que les établissements de crédit disposent d’un niveau de fonds propres suffisant pour combler leurs pertes éventuelles, afin d’assurer la stabilité du système financier et de prévenir les faillites bancaires. En bref, ce nouveau ratio vise à mesurer l’ensemble des risques auxquels l’établissement de crédit est exposé (risque de crédit, risques opérationnels, etc.) au moyen de systèmes informatiques de surveillance et de notation de la clientèle1187.

779. Problématique liée aux données nominatives1188. Cette réforme a pour conséquence directe le développement de systèmes informatiques analysant l’ensemble des informations disponibles sur les consommateurs. Par suite, il est déterminé un niveau de risque applicable à chaque client de l’établissement de crédit à partir de toutes les informations dont il dispose (situation financière, professionnelle, familiale, etc.). On le voit aisément, le risque pour le consommateur investisseur est de se voir « catégorisé » en fonction de la note que l’établissement crédit lui aura attribuée. Cette évaluation, naturellement accessible au réseau commercial de l’établissement, y compris via un site Internet, servira de base pour apprécier l’opportunité d’octroi d’un produit ou d’un service financier ainsi que le risque corrélatif.

780. La protection accordée par le droit interne. Ces traitements entrent implacablement dans le champ de l’article 25 I 4° de la loi de 1978 dont le but est justement de soumettre à autorisation préalable de la CNIL « les traitements automatisés susceptibles, du fait de leur nature, de leur portée ou de leurs finalités, d’exclure des personnes du bénéfice d’un droit, d’une prestation ou d’un contrat en l’absence de toute disposition législative ou réglementaire ». En outre, les variables utilisées dans le calcul d’un score sont également susceptibles d’être vérifiées par la CNIL. Celle-ci a d’ailleurs recommandé dans une séance du 3 mars 2005 que « des procédures devraient être définies concernant l’utilisation du score accessible par le réseau commercial d’un établissement ; la transmission d’informations au sein d’un groupe, dans la perspective de calculer une note, devrait faire l’objet de procédures spécifiques ; la notation d’un client ne devrait pas être accessible en permanence sur la fiche informatique de ce client ». En pratique, on comprend facilement la troisième recommandation de la CNIL concernant la présence « en permanence » du score sur la fiche du client car il est certain que toutes les opérations bancaires ne présentent pas le même risque, de même que toutes ne nécessitent pas une analyse de situation ; a fortiori, on se heurterait alors au véritable droit au compte1189 consacré par l’article L312-1 du Code monétaire et financier. Cependant, s’agissant des « procédures » qui devraient être instituées, la commission reste plutôt vague ; il semble donc que l’essentiel est la traçabilité de cette information afin que sa communication, à défaut d’être limitée, soit contrôlée.

1180 BONNEAU T., Droit bancaire, op. cit., n°493, p.345.

1181 Sur la décision du Conseil d’Etat du 30 octobre 2001, cf. supra n° 764.

1182 V. à ce sujet, Le rapport 2004 de l’AMF sur les agences de notation du 26 janvier 2005, disponible à sur : http://www.amf-france.org/documents/general/5845_1.pdf ; DONDERO B., Le rapport de l’AMF sur les agences de notation, RDBF, mai-juin 2005, p.65.

1183 Loi n° 2003-706 du 1er août 2003 formulant deux règles à propos des agences de notation telles que énoncées respectivement aux articles L. 544-3 et L.544-4 du Code monétaire et financier.

1184 Note d’information du 3 mars 2005 sur les conséquences au regard de la loi « Informatique et Libertés » modifiée de la notation de la clientèle bancaire (ratio prudentiel « Mac Donough » – Bâle II), disponible sur : http://www.cnil.fr/fileadmin/documents/approfondir/dossier/Mac_Donough_info.pdf.

1185 Méthode statistique ayant pour objectif de calculer, pour l’ensemble des engagements financiers d’une banque, et au regard des « probabilités de défaut » de clients ou classes de clients, le niveau de fonds propres dont elle doit disposer

1186 Nouvel Accord sur le ratio international de solvabilité (Bâle II) le 26 juin 2004 remplaçant le ratio de Coke (Bâle I) mis en place en 1988.

1187 Il s’appuie sur trois piliers : une exigence minimale en fonds propres (un ratio fonds propres / risques de crédit + risque opérationnel + risques de marché, égal ou supérieur à 8%.), une surveillance individuelle par le régulateur national, et des règles en matière d’information publiée.

1188 CARON L., « informatique et liberté et le crédit scoring », Banque et droit n°83, mai-juin 2002. 19 ; BARRET-BARNAY M.-C., les différents systèmes d’enregistrement des crédits dans les Etats membres de l’Union européenne, D. 2003, doct. 1082

781. Refus de crédit1190. A partir du moment où le consommateur effectuera une demande de crédit via un formulaire du site Internet d’un établissement de crédit, une vérification auprès du FICP sera réalisée par l’établissement. L’article L. 333-4 du Code de la consommation s’appliquant, on peut s’interroger sur la possibilité de configurer automatiquement l’automate pour qu’il interroge lui-même, et sans une intervention humaine, le fichier. Il est possible de considérer que c’est en réalité l’établissement de crédit qui procède à l’interrogation auprès de la Banque de France à travers l’automate présent sur son site. Cependant un risque évident pour le consommateur naît du fait que l’intervention humaine n’est alors plus requise, la configuration de l’automate aboutissant à un refus systématique de crédit dès lors qu’il reçoit une réponse positive du FICP. Néanmoins, une nouvelle protection est accordée au consommateur car ce procédé se heurterait certainement à l’article 10 alinéa 2 de la loi de 1978 selon lequel « aucune autre décision produisant des effets juridiques à l’égard d’une personne ne peut être prise sur le seul fondement d’un traitement automatisé de données destiné à définir le profil de l’intéressé ou à évaluer certains aspects de sa personnalité1191 ». En conséquence, même via l’Internet, l’intervention humaine sera nécessaire dans l’octroi ou le refus du crédit. De ce point de vue, on peut donc affirmer que la protection du consommateur n’est pas moins bien assurée via l’Internet.

Lire le mémoire complet ==> (L’Internet au service des opérations bancaires et financières)
Thèse pour le Doctorat en Droit
Université Panthéon-Assas (Paris II) – Droit- Economie- Sciences sociales