- Avis of February 9, 2011

09/02/2011 - 6/2011

Case law

Summary

Sommaire 1

Avis - Integral text

La Commission de la protection de la vie privée ;

Vu la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel (ci-après "la LVP"), en particulier l'article 29 ;

Vu la demande d'avis du Ministre des Finances, reçue le 13/12/2010 ;

Vu le rapport de Monsieur Peter Poma ;

Émet, le 9 février 2011, l'avis suivant :

I. OBJET ET CONTEXTE DE L'AVIS

1. La demande d'avis du Ministre des Finances parvenue à la Commission le 13 décembre 2010 porte, d'une part, sur un avant-projet de loi relative à la Centrale des Crédits aux entreprises (ci-après « la CCE ») et, d'autre part, sur un projet d'arrêté royal relatif à cette même Centrale (ci-après, « l'AR ») qui fait l'objet d'un avis distinct émis le même jour par la Commission.

A. Réglementation nationale actuelle

2. L'actuelle réglementation de la Centrale des crédits aux entreprises se compose :

• des articles 91 et 92 de la loi du 22 mars 1993 relative au statut et au contrôle des établissements de crédit (obligation de communication et consultation). Ces articles concernent la centralisation des informations relatives aux risques de crédit à la Banque nationale de Belgique (ci-après "la BNB") ;

• des articles 178 et 179 de la loi du 21 décembre 1994 portant des dispositions sociales et diverses (participation des entreprises d'assurances) ;

• de l'arrêté royal du 12 décembre 1994 relatif à la centralisation des informations relatives aux risques de crédit (mises à jour et consultations).

3. Depuis la loi du 22 mars 1993, la BNB est chargée de la gestion de la CCE. Tous les établissements de crédit établis en Belgique et certaines entreprises d'assurances communiquent à présent des informations sur les entreprises et particuliers qui ont obtenu auprès du même établissement des crédits d'un montant minimum de 25.000 euros dans le cadre de leur activité professionnelle. Cette obligation concerne également les entreprises d'assurances agréées en assurance-crédit pour les crédits qu'elles assurent à titre de garantie de créances sur un débiteur résident et celles agréées en assurance-caution pour les garanties octroyées à un résident.

Il s'agit actuellement d'une centrale de risque positive, contrairement à la Centrale des crédits aux particuliers (ci-après "la CCP") qui comporte tant un volet positif qu'un volet négatif.

B. Contexte et finalités de l'avant-projet

4. La crainte d'une pénurie de crédit ("credit crunch") après la crise financière et économique de 2008 s'avère1 constituer l'impulsion de différentes mesures destinées à prévenir ou réduire un resserrement de crédit aux entreprises en Belgique, et à donner plus rapidement accès aux informations de crédit concernant les entreprises. Le rapport d'un groupe de travail de la BNB mentionne que la BNB a décidé de rendre opérationnel, d'ici la mi-2011, le volet "négatif" de la Centrale des crédits aux entreprises, par lequel les retards ou autres incidents de paiement avérés sur des crédits accordés par des banques résidentes seront enregistrés. La Banque a également l'intention de supprimer d'ici là le seuil minimal de 25.000 euros qui existe pour la communication des données à la centrale positive, de manière à ce que tous les crédits aux entreprises soient enregistrés"2.

5. L'avant-projet s'inscrit dans ce cadre et répond à un double objectif lié:

- L'ensemble des données collectées (données périodiques sur les crédits et sur les risques) sert à la Banque nationale dans le cadre de ses missions relatives à la stabilité financière, à la supervision bancaire (missions héritées de la CBFA) et dans le cadre d'études et de recherches scientifiques

- permettre aux participants d'affiner la gestion de leurs propres risques.

C. Contenu de l'avant-projet

6. L'avant-projet prévoit les nouvelles mesures suivantes relatives à la CCE :

• selon l'Exposé des motifs (Développements) : l'enregistrement de la communication mensuelle3 à la CCE des défauts de paiement, des montants des garanties4 et de la probabilité de défaut de paiement5 dans l'année qui suit ;

• l'extension de la liste des entreprises tenues à déclaration à l'article 2, 2°, b) et c) (jusqu'aux entreprises de leasing et de factoring) ;

• la suppression du seuil de communication de 25.000 euros ;

Avis 06/2011 - 4/11

• l'habilitation pour la Banque et les déclarants à enregistrer le numéro d'identification du Registre national des personnes physiques et à l'utiliser dans leurs relations dans le cadre de la présente loi.

7. Du point de vue du contenu, l'avant-projet s'inspire partiellement de la structure et du contenu de la loi du 10 août 2001 relative à la Centrale des Crédits aux Particuliers (LCCP) et de la loi précitée du 22 mars 1993.

II. EXAMEN GÉNÉRAL

A. Applicabilité de la LVP

8. L'avant-projet vise les entreprises, qui sont aussi bien des personnes morales que des entreprises de personnes physiques (indépendants). La LVP s'applique au traitement d'informations des personnes physiques concernées (indépendants) dans la CCE ou de personnes physiques indirectement identifiables par référence à des éléments spécifiques.

B. Imprécisions dans l'avant-projet de loi

Désignation du responsable du traitement

9. En vertu de l'article 1, § 4 de la LVP, le responsable du traitement est "la personne physique ou morale, l'association de fait ou l'administration publique qui, seule ou conjointement avec d'autres, détermine les finalités et les moyens du traitement de données à caractère personnel. Lorsque les finalités et les moyens du traitement sont déterminés par ou en vertu d'une loi, d'un décret ou d'une ordonnance, le responsable du traitement est la personne physique, la personne morale, l'association de fait ou l'administration publique désignée comme responsable du traitement par ou en vertu de cette loi, de ce décret ou de cette ordonnance."

10. L'avant-projet ne désigne toutefois pas explicitement un responsable du traitement des données à caractère personnel via la CCE. D'après l'Exposé des motifs, "La Banque est uniquement responsable de la conservation sécurisée des données et de la transmission de celles-ci aux personnes habilitées à cet effet." L'article 10 de l'avant-projet mentionne également que l'institution tenue à déclaration "est seule responsable de l'exactitude des données communiquées à la Centrale et (...) doit le cas échéant corriger les données enregistrées dans la Centrale." Selon l'article 15 de l'avant-projet, la BNB peut demander aux agents du SPF Économie si les données communiquées à la BNB sont exactes et sincères et/ou si les prescriptions de l'avant-projet sont respectées.

Les mentions limitées précitées méritent davantage de précisions.

11. Il ressort des éléments susmentionnés que la CCE doit être considérée comme un traitement en réseau complexe. L'exploitation du traitement de la CCE implique différentes actions de différents acteurs qui agissent en tant que responsables conjoints à l'égard de données à caractère personnel des commerçants concernés, bien qu'à plusieurs niveaux : en première ligne (communication d'informations à la CCE, information de la personne concernée, vérification de l'exactitude des données pour l'octroi d'un crédit) ou en deuxième ligne (gestion de la CCE, y compris les décisions au niveau de la gestion et au niveau individuel, comme à la suite d'une requête au nom de la Commission vie privée).

12. En vertu de l'article 1, § 4 de la LVP, la Commission estime dès lors que la BNB est responsable du traitement CCE, à l'exception des propres responsabilités qui reposent sur les institutions qui effectuent une déclaration (voir par exemple la fin de l'article 10 de l'avant-projet).

Nécessité de conditions (qualitatives) légales renforcées et de garanties renforcées pour les personnes concernées

13. Vu l'article 22 de la Constitution et eu égard aux avis antérieurs en matière de listes négatives des 13 dernières années6, l'introduction du volet négatif de la CCE doit être considérée comme une ingérence dans la vie privée de la personne concernée. Cette ingérence requiert que le législateur fixe les éléments essentiels, ce afin d'offrir à la personne concernée des garanties très claires et suffisantes d'un traitement qualitatif et transparent de ses données, en appliquant également les droits des personnes morales concernées.

14. Par exemple, la Commission recommande qu'à partir d'une demande de rectification, au moins la mention de la contestation de l'intéressé soit enregistrée, conformément à l'article 15 de la LVP.

15. En outre, le renforcement des droits des personnes concernées constitue un des principaux objectifs de l'approche intégrale de la protection des données que la Commission européenne a entretemps définie pour la révision prévue de la Directive 95/46/CE7. Ces éléments, qui concernent aussi bien le volet positif que le volet négatif de la CCE, sont commentés ci-après.

C. Fins scientifiques ou statistiques

16. D'après l'article 16 de l'avant-projet, la BNB "est habilitée à utiliser les informations enregistrées dans la Centrale à des fins scientifiques ou statistiques ou dans le cadre de ses activités menées conformément à la loi du 22 février 1998 fixant le statut organique de la Banque nationale de Belgique."

17. Selon cet article, le traitement ultérieur des données de la CCE qui serait exécuté par la Centrale en vue des finalités déterminées ou déterminables (cf. la loi du 22 février 1998) est compatible avec le traitement initial.

18. À cet égard, la Commission recommande en cas de traitement ultérieur de tenir compte des principes exposés au Chapitre II de l'arrêté royal du 13 février 2001 portant exécution de la LVP.

19. Plus particulièrement, en ce qui regarde les traitements portant sur les données relatives au risque de défaillance visant à permettre de mesurer et de contrôler le risque globalement supporté par chaque établissement financier, la Commission suggère de rendre les données à caractère personnel non identifiables en utilisant, si nécessaire, des codes.

20. L'article 9, § 2 de l'avant-projet dispose en outre que la Centrale ne peut pas être consultée à des fins de prospection commerciale. La Commission se réfère au recours à des mesures et/ou des technologies organisationnelles adéquates.

D. Proportionnalité - critères de communication pour le volet positif et le volet négatif de la CCE

21. La Commission s'interroge quant à la proportionnalité de l'introduction (d'une combinaison) des mesures suivantes :

a. La nécessité de la suppression du seuil existant de communication de 25.000 euros (volet positif) n'est pas motivée dans l'Exposé des motifs de l'avant-projet. La seule référence vise un consensus atteint avec les banques et les autres participants actuels et futurs à la CCE. Interrogé à ce sujet, le service CCE de la BNB a mentionné une estimation brute selon laquelle le nombre de personnes physiques reprises dans la CCE passerait de 180.000 à 300.000 environ du fait de la suppression du seuil de communication. Le fait de pouvoir disposer de plus de données permettra peut-être à la BNB et aux participants de mieux réaliser les objectifs précités via une analyse de risques plus précise. Il serait souhaitable néanmoins qu'une justification figure à tout le moins dans l'Exposé des motifs. La Commission se demande en outre si une réduction drastique en lieu et place d'une suppression pure et simple du seuil de communication n'aurait pas pu suffire.

b. Contrairement à l'enregistrement dans le volet négatif de la CCP, où l'on applique pour les enregistrements un seuil minimal à partir de 25 euros8, on ne sait pas clairement si le législateur souhaite que le Roi fixe un seuil minimal analogue. Vu le principe de proportionnalité, la Commission recommande d'intégrer un seuil minimal analogue ou, au moins, de préciser que le Roi fixe un seuil minimum.

8 Article 5, § 2 de l'arrêté royal du 7 juillet 2002 réglementant la Centrale des Crédits aux Particuliers.

c. L'introduction de l'obligation de faire enregistrer le risque de défaut de paiement a priori par les institutions déclarantes, est une innovation qui n'est pas connue au niveau de la CCP. Il s'avère toutefois que chaque institution gère déjà des informations de ce type, nécessaires à une bonne évaluation des risques encourus dans leur activité d'octroi de crédit. Il ressort de l'Exposé des motifs du projet et des explications fournies par la Banque nationale que la base de données (CCE) liée à ce risque vise également à permettre, globalement au niveau de chaque banque, une supervision des risques supportés (CBFA/BNB). Dans le cadre de cette dernière finalité, il ressort du projet d'arrêté royal relatif à la CCE que les données traitées à cette fin ne sont accessibles ni aux institutions déclarantes (confidentialité des données et impact négatif pour les débiteurs), ni aux personnes concernées (confidentialité du savoir-faire). Ce principe de non communication de telles données existe dans des centrales étrangères semblables à la CCE. Dans la mesure où ces données ne sont pas destinées à être communiquées, ni être exploitées par la BNB ou la CBFA de manière à produire un effet quelconque sur la personne concernée, la Commission recommande expressément que les données d'identification liées au risque de défaut de paiement a priori soient enregistrées de manière codée. Dans cette optique et pour cette finalité, la Commission considère que le projet de loi doit alors prévoir une dérogation à l'article 9 de la Loi Vie privée (cf. 28). Voir également l'avis dans le même sens de même date sur le projet d'arrêté royal précité concernant la dérogation à l'article 10 de la Loi Vie Privé.

Une évaluation de l'enregistrement de ce type de défaut doit également être prévue après un certain laps de temps pour apprécier concrètement la situation dans la pratique.

E. Proportionnalité - cas dans lesquels les personnes concernées ne disposent pas de numéro d'entreprise et où le traitement du numéro du Registre national en lieu et place du traitement du numéro d'entreprise est requis (article 4, § 1, 1° et 3° de la LVP)

22. L'article 5, premier et deuxième alinéas, stipule que, pour l'application de cette loi et afin d'identifier un bénéficiaire d'un contrat qui est une personne physique et qui ne dispose pas d'un numéro d'entreprise9, les institutions tenues à déclaration utilisent le numéro d'identification du Registre national que les personnes physiques sont obligées de leur communiquer préalablement à la conclusion d'un contrat. Voir également l'article 4, § 6 du projet d'arrêté royal qui met en oeuvre l'article 5.

23. La Commission comprend la nécessité d'utiliser un numéro d'identification unique si l'on souhaite mieux maîtriser les risques liés à l'octroi d'un crédit aux entreprises et si l'on souhaite aborder efficacement les problèmes (homonymie, fautes, fraude, ...).

24. Elle indique toutefois qu'en principe, un tel numéro d'identification unique doit déjà être disponible via le numéro d'entreprise, dont l'utilisation est rendue obligatoire par la loi du 16 janvier 2003 portant création d'une Banque-Carrefour des Entreprises10 et le devoir de vigilance existant de la part des institutions de contrôle. À la lumière du principe de proportionnalité, il n'est dès lors que logique que l'usage obligatoire du numéro d'identification unique auprès de la Banque-carrefour des entreprises constitue le point de départ dans la relation entre la CCE, les institutions et les personnes concernées.

Enfin, la Commission considère que le fait de ne pas disposer d'un numéro d'entreprise n'est pas en soi un argument qui justifie l'usage à titre complémentaire du numéro du Registre national.

25. Il ressort néanmoins des explications obtenues de la CCE que toute personne bénéficiaire d'un contrat ne dispose pas nécessairement d'un numéro d'entreprise.

En effet,

• la CCE enregistre des personnes physiques qui exercent une activité économique (y compris celles qui exercent une profession libérale [avocat, médecin, ...], intellectuelle [comptable, ...], libre ou de prestataires de services [logopède, ...]), mais également des personnes physiques solidaires de crédits octroyés à des personnes morales et/ou des personnes physiques exerçant une activité économique. Il est très courant qu'un crédit soit octroyé moyennant l'engagement solidaire d'un indépendant et de son conjoint ou d'un membre de sa famille (ne possédant pas de numéro d'entreprise) ou à une petite entreprise dont le gérant s'engage solidairement ou à une autre personne qui ne possède pas de numéro d'entreprise ; dans la Centrale actuelle, environ une personne physique sur deux est communiquée sans numéro d'entreprise (soit près de 90 000 sur les 177 000 enregistrées actuellement) ;

• l'enregistrement de toute une série de professions dans la BCE est récent et les personnes concernées n'ont donc pu être enregistrées auparavant par les banques avec un numéro d'entreprise ;

• le numéro d'entreprise d'une personne physique peut être désactivé. Si plus tard, tout en continuant à rembourser ses crédits professionnels, elle reçoit à titre privé des crédits d'une autre banque, cela ne pourra se faire qu'en l'identifiant avec son numéro de Registre national, ce qui pourrait conduire à l'enregistrement de ses crédits de manière séparée sous deux numéros d'identification ;

• une personne physique sans numéro d'entreprise peut avoir été enregistrée avec son numéro de Registre national pour un certain type de crédit non professionnel, puis plus tard recevoir un numéro d'entreprise et des crédits dans le cadre de son activité économique ;

• enfin, il est possible qu'une personne physique ait à rembourser des crédits obtenus pour son activité professionnelle (utilisation de son numéro d'entreprise par sa banque) et d'autres privés devant aussi être enregistrés dans la CCE (elle donne dans ce cas son numéro de registre national).

Selon les explications fournies par la CCE, pour être assuré que la réponse à une consultation de la situation des crédits d'une personne physique soit le reflet fidèle de cette situation, il est important que, dans tous les cas énumérés ci-avant où une personne physique a pu être enregistrée avec les deux numéros potentiels, la consultation puisse se faire sur l'un ou l'autre de ces numéros de sorte que la réponse soit identique.

Dès lors, la meilleure garantie de résultat est qu'une personne puisse être identifiée dans la CCE avec ses deux numéros d'identification et qu'une interrogation donne la même réponse quel que soit le numéro utilisé dans l'interrogation.

26. En l'absence d'un commentaire précis dans le projet de loi, la portée de l'article 5 n'est pas claire en raison du contenu du troisième alinéa prévoyant l'utilisation par la Banque et les déclarants du numéro d'identification du Registre national des personnes physiques. Le commentaire de cet article qui recommande fortement l'usage du numéro d'identification du Registre national doit être adapté sur la base des explications mentionnées ci-dessus. Dans ces conditions, la Commission se rallie à ces explications et admet le principe de l'utilisation du numéro du Registre national des personnes physiques.

F. Obligation d'information des personnes concernées (article 9 de la LVP)

27. L'article 8 de l'avant-projet énumère plusieurs obligations d'information qui, d'après l'Exposé des motifs, portent exécution de l'article 9 de la LVP.

À cet égard, la Commission constate que cet article vise l'information du bénéficiaire (personne physique) du contrat par l'institution déclarante avant le premier enregistrement dans la CCE. Cet article vise aussi bien l'enregistrement du contrat (positif) que l'enregistrement d'un défaut de paiement (négatif).

28. La Commission estime qu'il serait plus clair de procéder à une distinction comparable à celle figurant dans la loi relative à la CCP, à savoir, d'une part, une information du bénéficiaire dans le contrat de crédit même (information donc effectuée par l'Institution) et, d'autre part, lors du premier enregistrement dans le volet négatif d'un type défaillance n'échappant pas à l'obligation d'information de la personne concernée et à son droit d'accès, l'information par la CCE puisque celle-ci endosse la qualité de responsable chargé de l'enregistrement des données.

En d'autres termes, sauf dérogation prévue par la loi (cf. point 21, c), les droits des personnes physiques concernées prévus à l'article 9, y compris ceux des articles 10 à 15, de la LVP doivent être respectés. En outre, l'article 8 doit être interprété non pas dans le sens que les données visées peuvent être communiqués à la personne concernée mais bien qu'elles doivent l'être immédiatement.

G. Nécessité d'un contrôle accru, outre le rappel de la compétence d'enquête existante de la CPVP

29. L'article 9 de l'avant-projet confirme indirectement le rôle existant de contrôle de la Commission en vertu de l'article 32 de la LVP, en prévoyant la possibilité pour la Commission de prendre connaissance des données enregistrées "pour l'exécution des missions qui lui ont été confiées par ou en vertu de la loi". Cet article permettra à la Commission d'accéder éventuellement on line aux données de la CCE dans le cadre de la gestion des plaintes ou demandes d'information qu'elle reçoit.

30. La Commission recommande :

• que l'on désigne au niveau de la BNB un fonctionnaire préposé à la protection des données dont l'objectif est de veiller au respect des principes de la LVP dans les traitements de la CCE ;

• que les arrêtés prévus par l'avant-projet ne soient pas pris uniquement après avis de la BNB et des institutions tenues à déclaration (comme le mentionne l'article 18 de l'avant-projet), mais aussi après avis de la Commission.

PAR CES MOTIFS,

la Commission émet un avis positif sur le présent avant-projet de loi à condition que les remarques/recommandations formulées aux points 12, 14, 19, 21, 26, 28 et 30 soient prises en considération.

Pour l'Administrateur e.c., Le Président,

(sé) Patrick Van Wouwe (sé) Willem Debeuckelaere

Free keywords

  • Avant-projet de loi relative à la centrale des crédits aux entreprises (CO-A-2010-029).