ITALIE
En Italie existent :
- la Centrale rischi (CR) ou Centrale des risques, fichier public géré par la Banca d'Italia , la banque centrale qui rassemble des données concernant 10 millions de relations de crédit ;
- des banques de données privées consultées par les banques et société financières : CRIF et Experian , fichiers positifs, le Consorzio Tutela Credito , fichier négatif, et Assilea qui gère à la fois des informations positives et des données négatives.
A. LA CENTRALE RISCHI (CR)
1. Objet du fichier, texte l'instituant
La CR est destinée à évaluer l'opportunité d'attribuer un prêt en communiquant chaque mois à ses contributeurs, la dette totale vis-à-vis du système financier de chacun des clients qui lui sont signalés. Elle tend à améliorer la gestion du risque-crédit des intermédiaires financiers et à renforcer la stabilité du système de crédit. La Banque d'Italie s'en sert également pour mettre en oeuvre ses propres activités institutionnelles de surveillance des banques et de conduite de la politique monétaire.
La violation des obligations diverses auxquelles sont soumis les intermédiaires dans le cadre du fonctionnement de la CR peut entraîner l'application de sanctions, à savoir une amende administrative de 2 580 à 119 110 € prévue par l'article 144 de la loi bancaire à l'encontre des personnes qui exercent des fonctions d'administration ou de direction et des salariés du gestionnaire de la base de données.
2. Organisme gestionnaire et organismes contributeurs
• Nature et rôle de l'organisme
gestionnaire et des organismes contributeurs
La CR repose sur la collaboration de la Banque d'Italie, gestionnaire, et :
- de 1191 intermédiaires soumis à l'obligation de lui fournir des informations, sous réserve qu'ils n'en aient pas été exemptés au titre du principe de proportionnalité de l'activité de surveillance par la Banque d'Italie 8 ( * ) :
737 banques,
des intermédiaires financiers,
des intermédiaires financiers créés dans le cadre de la titrisation des crédits ;
- des centrales de risques européennes qui ont conclu un accord avec elle pour l'échange de données sur l'endettement extérieur de la clientèle ;
- des personnes physiques et morales qui sont contractuellement liées par un rapport de crédit ou de garantie avec les intermédiaires qui fournissent des données à la centrale.
La Banque d'Italie qui reçoit mensuellement les données communiquées par les banques et les intermédiaires financiers, leur communique deux types d'informations car elle :
- calcule chaque mois la « position globale de risque » vis-à-vis du système financier des personnes enregistrées et communique celle-ci, pour chacun de leurs clients et de leurs co-obligés, aux banques et aux intermédiaires financiers (la position au 31 mars est, par exemple, communiquée début mai) ;
- répond, dans le cadre de la procédure de « première information » (prima informazione) aux questions des banques et des intermédiaires financiers - 7,3 millions en 2011 - relatives à la position globale de risque, au titre des 36 derniers mois, des personnes qui :
se sont adressées à l'intermédiaire mais n'ont pas atteint le montant du seuil de signalement à la centrale,
sont déjà clientes de l'intermédiaire mais n'atteignent pas ce même seuil ;
- communique les informations infra-mensuelles aux banques et intermédiaires financiers participants et à ceux d'entre eux qui demandent une « première information ».
• Délai de communication des
données
Les données relatives à un mois sont transmises à la Banque d'Italie avant le 25 du mois suivant.
Les contributeurs doivent en outre communiquer à cette banque au cours du mois :
- les événements nouveaux concernant leur clientèle (impayé, règlement d'un impayé, restructuration d'une ou de plusieurs lignes de crédit...) ;
- et la régularisation des retards de paiement relatifs à chaque financement à échéance.
3. Contenu du fichier
• Nature des données
enregistrées
Les banques et intermédiaires financiers communiquent à la centrale les relations de crédit et garanties qu'ils ont avec les personnes physiques ou morales, y compris en co-inscription (cointestazione) avec d'autres intermédiaires, en les agrégeant pour chacun de ces clients, selon un schéma établi par la Banque d'Italie. La centrale ne contient donc pas d'informations sur chacun des crédits.
Ces informations concernent :
les crédits de caisse :
- les risques auto-liquidants, opérations caractérisées par une source de remboursement prédéterminée, à savoir des financements concédés pour permettre aux clients de disposer de fonds correspondant à des crédits non encore échus qu'eux-mêmes ont consenti à des tiers-débiteurs et pour lesquels l'intermédiaire financier exerce un contrôle sur les flux de caisse (par exemple des avances sur facture, avances à l'exportation, prêts contre cession de salaire ...) ;
- les risques à échéance, opérations de financement à échéance fixée contractuellement et sans source de financement prédéterminée (avances sur des crédits futurs liées à des opérations de factoring , opérations de leasing et de prêts personnels...) ;
- les risques auxquels il est possible de mettre fin (ouvertures de crédit en compte courant, avec ou sans échéance prédéterminée, auxquels l'intermédiaire s'est réservé le droit de mettre un terme indépendamment de l'existence d'une juste cause) ;
- les financements en commun (a procedura concorsuale) et autres financements particuliers, à savoir les crédits protégés par une clause spéciale de préemption ;
- les impayés ;
les crédits de signature (crédit documentaire, aval...) par lesquels les intermédiaires s'engagent à supporter, vis-à-vis de tiers, le non respect des obligations de leur clientèle ;
les garanties reçues (garanties réelles et personnelles consenties aux intermédiaires afin d'accroître la possibilité qu'un client remplisse ses obligations à leur égard) ;
les dérivés financiers, contrats dérivés de négociations sur les marchés ( swaps , options...) ;
figurent enfin dans une section d'informations les :
- opérations effectuées pour compte de tiers,
- financements en pool ,
- crédits acquis auprès d'une clientèle différente de celle des intermédiaires et les débiteurs cédés,
- risques auto-liquidants - crédits échus,
- crédits passés en pertes,
- et crédits cédés à des tiers.
Si les intermédiaires constatent des erreurs, ils doivent les communiquer sans délai à la centrale qui en fait elle-même part aux autres intermédiaires, de sorte que les données qu'elle contient peuvent subir des modifications infra-mensuelles.
Seuls les intermédiaires peuvent procéder à des rectifications.
• Conditions posées pour
l'enregistrement des données
Sont communiqués à la centrale par les intermédiaires soumis à l'obligation de transmission des données :
- la position totale d'un client dont, à la fin du mois, le montant dans leurs livres est égal ou supérieur à 30 000 € ;
- et les crédits impayés ainsi que les passages par pertes et profits quel que soit leur montant.
En d'autres termes, à compter du mois où la position d'un client est inférieure à 30 000 € ou s'avère éteinte, l'intermédiaire n'a plus l'obligation de communication à la centrale qui conserve cependant les éléments précédemment recueillis.
Toutefois, la survenue d'un défaut de paiement n'entraîne pas automatiquement l'inscription au fichier.
En vertu de l'article 8-bis du décret-loi n° 70, du 13 mai 2011, sur l'effacement des signalements des retards de paiement :
- la mention d'un paiement consécutif à un retard figurant dans une base de données doit être intégrée à cette base dans les dix jours de celle-ci, la demande de modification devant être formulée par le prêteur immédiatement après la régularisation ;
- les données relatives au défaut de paiement de moins de six mensualités ou d'une mensualité semestrielle déjà transmises à une base de données et régularisées doivent être mises à jour dans les mêmes conditions.
• Délai de conservation des
données
Les données des trente-six derniers mois sont seules consultables.
4. Régime de consultation du fichier
• Existence d'une obligation de consultation
par les prêteurs
et sanction
Il n'existe pas d'obligation de consulter la CR .
• Liste des personnes qui peuvent consulter
le fichier
Peuvent consulter la CR :
- les intermédiaires financiers qui y contribuent ;
- les personnes concernées (personne physique intéressée et, pour les personnes morales : représentant légal, syndic de faillite, associés responsables sans limitation) ;
- la Banque d'Italie ainsi que les autres autorités de contrôle ;
- et le juge pénal.
La Banque d'Italie peut enfin porter à la connaissance des autorités compétentes des autres États membres de l'Union européenne les informations concernant les positions globales de risque des personnes dont les noms figurent dans la centrale en permettant que celles-ci soient utilisées par les banques et les société financières de ces États.
En vertu du décret législatif n° 141 du 13 août 2010, le gestionnaire de la CR est tenu d'accorder l'accès aux données de celle-ci dans des conditions non discriminatoires aux financeurs des autres États de l'Union européenne qui veulent obtenir des informations sur un consommateur qui a reçu un financement régi par la directive 2005/48/CE. Toutefois, ce gestionnaire peut subordonner l'accès des financeurs à la communication par leurs soins d'informations en leur possession sur le consommateur en question.
• Limitation de l'objet de la
consultation
Les éléments contenus dans la centrale étant secrets, les entités qui en ont connaissance ne peuvent les utiliser que dans des buts liés à la prise en charge et à la gestion du risque de crédit.
La centrale peut être interrogée aux mêmes fins par la société placée à la tête d'un groupe bancaire et par les sociétés financières du groupe installées à l'étranger, la Banque d'Italie pouvant subordonner l'accès à ces données à la communication des informations relatives au nom de l'entité pour laquelle la centrale est interrogée.
5. Protection des données personnelles et de la vie privée
• Nature du texte fixant le
régime
Les dispositions de la loi sur la vie privée ( privacy ) et du décret législatif n° 141 du 13 août 2010 sont aussi applicables à la CR .
• Droit d'information sur l'enregistrement
des données
La Banque d'Italie n'a pas besoin de l'autorisation des intéressés pour le traitement des données de la CR dans la mesure où elle les utilise afin de contrôler les intermédiaires exerçant sur les marchés financiers et de crédit et pour assurer la stabilité de ceux-ci.
En outre, si le refus d'une demande de crédit se fonde sur les informations contenues dans une base de données le financeur informe le consommateur immédiatement et gratuitement du résultat de la consultation et de la période couverte par les données de cette base.
• Droit d'accès aux
données
Le financeur doit en outre motiver sa décision (en ne se limitant pas à la mention d'une consultation de bases de données de crédit) et permettre à tout demandeur de prendre copie, à ses frais, de la décision de refus et de ses motifs.
• Droit d'obtenir la rectification des
données
Une personne qui considère qu'une information la concernant est erronée s'adresse directement à l'intermédiaire financier qui a communiqué cette information à la CR , pour rectification. La Banque d'Italie ne peut les modifier motu proprio .
6. Prise en charge des frais de fonctionnement du fichier
Les banques et intermédiaires financiers versent à la Banque d'Italie, dans des conditions que celle-ci détermine, une rétribution pour service rendu correspondant au coût économique de ce service.
B. LES AUTRES FICHIERS
1. But des fichiers, textes les instituant
Comme la CR , ils sont destinés à évaluer l'opportunité d'attribuer un prêt.
Le code relatif à la protection des données personnelles résultant du décret législatif n° 196 du 30 juin 2003 prévoit que le Garant de la protection des données personnelles promeut la signature d'un code de déontologie et de bonne conduite pour le traitement des données personnelles effectué dans le cadre des systèmes d'information gérés par des personnes privées dans le but d'accorder des crédits à la consommation ou concernant la fiabilité et la ponctualité des paiements. Ce code doit identifier des modalités destinées à garantir la communication de données personnelles exactes et mises à jour dans le respect des droits de l'intéressé.
Le code de déontologie et de bonne conduite approuvé par le Garant de la protection des données personnelles le 16 novembre 2004 s'applique en conséquence :
- à tout système d'information sur le crédit entendu comme « toute banque de données concernant des demandes ou des relations de crédit, gérée de façon centralisée par une personne morale, un organisme, une association ou tout organisme dans un cadre privé et uniquement consultable par des personnes qui lui communiquent des informations » ;
- tant aux fichiers positifs qu'aux fichiers négatifs privés.
Il précise que les participants et le gestionnaire du fichier prévoient d'un commun accord les mesures sanctionnant le non-respect des dispositions qu'il contient : rappel à l'ordre, suspension ou révocation de l'autorisation d'accéder au système d'information et, dans les cas les plus graves, publication de la nouvelle de la violation dans un ou plusieurs quotidiens ou périodiques nationaux, aux frais du contrevenant.
2. Organisme gestionnaire et organismes contributeurs
• Nature et rôle de l'organisme
gestionnaire et des organismes « participants »
Le code de déontologie distingue le « gestionnaire » du fichier et les organismes qui y participent.
Selon ce code les « participants » peuvent être :
- des banques ;
- des intermédiaires financiers ;
- d'autres personnes privées qui, dans l'exercice d'une activité commerciale ou professionnelle, octroient un délai de paiement pour la fourniture de biens ou de services.
Le gestionnaire recueille des informations auprès des seules entités participantes qui adoptent des dispositions destinées à assurer l'utilisation licite du système ainsi que l'exactitude de ces données.
• Délai de communication des
données
Le code de déontologie ne contient pas de données sur ce point.
3. Contenu des fichiers
• Nature des données
enregistrées
Selon le code de déontologie le fichier contient, pour chaque demande ou relation de crédit, des données concernant :
- l'état civil et le numéro fiscal ;
- la demande ou la relation de crédit (typologie du contrat, montant du crédit, modalités de remboursement, état de la demande et état d'exécution du contrat...) ;
- des données comptables relatives aux paiements, à leur périodicité, à l'« exposition débitrice » (dette restante) même résiduelle, à la synthèse de l'état comptable du contrat ;
- l'activité de récupération du crédit et le contentieux, la cession du crédit et les événements qui ont une incidence sur la situation subjective et patrimoniale des entreprises, personnes juridiques ou autres participants.
Le gestionnaire établit la liste de ces catégories d'informations, les rend disponibles sur son site internet et les communique de façon individuelle aux intéressés dont les noms figurent dans la base de données, à leur demande.
Les codes et les critères utilisés dans le cadre de la base de données servent exclusivement à fournir une présentation objective et correcte de celles-ci. Leur signification est communiquée aux intéressés.
La base contient l'indication des participants qui ont communiqué les données au gestionnaire. Ces données sont donc accessibles au gestionnaire, aux participants et aux intéressés.
• Conditions posées pour
l'enregistrement des données
Selon le code de déontologie, les données sont communiquées à la base de données en ce qui concerne :
les fichier négatifs à compter de 120 jours de la date d'échéance du paiement ou en cas de non-paiement d'au moins quatre échéances non régularisées ;
les fichiers négatifs et positifs :
- si l'intéressé est un consommateur, après 60 jours à compter de la mise à jour mensuelle obligatoire du fichier, ou en cas de non-paiement de deux échéances mensuelles consécutives, ou encore quand le retard concerne l'une des deux dernières échéances de paiement ;
- dans les autres cas après au moins 30 jours à compter de la mise à jour mensuelle obligatoire du fichier ou en cas de non-paiement d'une échéance.
Les données ne peuvent être communiquées au fichier, lors du premier retard de paiement, que quinze jours après l'envoi d'une lettre indiquant à l'intéressé que des informations le concernant vont être transmises.
• Délai de conservation des
données
Le code de déontologie prévoit que les données sont conservées en ce qui concerne :
les demandes de crédit : pendant le temps nécessaire à leur instruction, dans la limite de 180 jours à compter de la présentation de la demande, étant observé qu'en cas de rejet ou de retrait de la demande le participant doit mettre à jour ces données à l'occasion de la communication mensuelle qui lui incombe et ne peut les conserver dans la base plus de 30 jours après cette communication ;
les informations concernant les retards de paiement qui ont finalement été régularisés sont conservées au plus :
12 mois suivant la date d'enregistrement de la régularisation de retards qui ne dépassent pas 2 échéances ou 2 mois,
24 mois suivant la date d'enregistrement de la régularisation de retards qui dépassent 2 échéances ou 2 mois,
36 mois suivant la date d'échéance contractuelle, celle de leur dernière mise à jour ou celle de fin du contrat lorsqu'aucune régularisation ne survient ;
les informations concernant les données d'un fichier positif sont conservées au plus 24 mois suivant le terme d'un contrat, mais peuvent y rester inscrites si existent dans le fichier des éléments relatifs à des retards de paiement pour d'autres prêts jusqu'à l'expiration du délai maximum de conservation de ces éléments.
Avant de détruire les données du fichier, le gestionnaire peut les transposer sur un autre support pour une durée limitée nécessaire soit à la défense de ses droits à l'occasion d'une action judiciaire, soit à leur exploitation statistique, de façon anonyme.
4. Régime de consultation des fichiers
• Existence d'une obligation de consultation
par les prêteurs
et sanction
En vertu du décret législatif n° 141 du 13 août 2010, les gestionnaires des fichiers sont tenus d'accorder l'accès aux données dans des conditions non discriminatoires aux financeurs des autres États de l'Union européenne qui veulent obtenir des informations sur un consommateur qui a reçu un financement régi par la directive 2005/48/CE. Toutefois les gestionnaires de ces bases peuvent subordonner l'accès des financeurs à la communication par leurs soins d'informations en leur possession sur le consommateur en question.
• Liste des personnes qui peuvent consulter
le fichier
Ont le droit de consulter le fichier :
un participant à un système d'information ainsi que les banques ou intermédiaires du groupe auquel il appartient en ce qui concerne des données relatives à :
- des consommateurs qui ont conclu ou souhaitent conclure un contrat ou sont parties à une relation de crédit avec un participant et des co-obligés, y compris in solidum ,
- des personnes qui agissent dans le cadre de leur activité entrepreneuriale ou professionnelle pour lesquelles un dossier a été ouvert au titre d'un éventuel contrat de crédit ou qui sont déjà parties à un tel contrat et celles qui leurs sont liées in solidum ou qui appartiennent à un groupe d'entreprises ;
les organes juridictionnels et la police dans l'exercice de leurs fonctions ;
et les administrations dans les cas prévus par la loi.
Le gestionnaire d'un fichier est enfin tenu d'accorder l'accès aux données qu'il contient dans des conditions non discriminatoires aux financeurs des autres États de l'Union européenne.
• Limitation de l'objet de la
consultation
Selon le code de déontologie, un tel fichier ne peut être consulté que dans le but de protéger le crédit, à l'exclusion de toute recherche de marché, promotion, publicité ou vente directe de produits ou de services.
5. Protection des données personnelles et de la vie privée
• Nature du texte fixant le
régime
Outre les dispositions de la loi sur la « privacy » , ces dispositions résultent du décret législatif n° 141 du 13 août 2010 qui détermine les principales règles décrites infra , qui sont complétées par le code de déontologie.
• Droit d'information sur l'enregistrement
des données
L'intermédiaire financier qui signale des informations négatives à une banque de données doit préalablement informer de sa démarche le consommateur qui en fait l'objet. Cette information peut accompagner ou une relance ou une autre communication, ou encore être adressée de façon autonome.
Lors du recueil des données personnelles relatives aux demandes et aux relations de crédit, le participant au système doit informer l'intéressé de la possibilité de leur utilisation dans une banque de donnée. Cette information doit, d'une façon claire et précise, mentionner :
- les caractéristiques permettant d'identifier les systèmes d'information sur le crédit auxquels sont communiquées les données personnelles ;
- les catégories de participants qui y accèdent ;
- le délai de conservation de ces données dans ces systèmes ;
- les modalités d'organisation, de contrôle et d'élaboration des données et l'usage éventuel de modèles d'évaluation du crédit (credit scoring) ;
- et le régime d'exercice du droit d'accès à ces données ouvert à l'intéressé.
L'intermédiaire financier doit également informer le consommateur des effets que les informations négatives communiquées à une banque de données peuvent avoir sur sa capacité de crédit.
L'Arbitre bancaire et financier, autorité indépendante dont le secrétariat est tenu par la Banque d'Italie, a indiqué que l'avertissement des intéressés doit revêtir la forme d'une lettre recommandée avec accusé de réception.
Lorsqu'une demande de crédit n'est pas acceptée, le participant indique à l'intéressé qu'il a, le cas échéant, consulté des éléments négatifs relatifs à des appréciations, des indicateurs ou des classements le concernant obtenus par des méthodes de credit scoring . Il lui communique ces données ainsi qu'une explication sur « les logiques de fonctionnement des systèmes utilisés et des principales typologies de facteurs pris en considération », outre la source des données utilisées.
• Droit d'accès aux
données
Le même intermédiaire doit permettre au demandeur de prendre copie, à ses frais, de la décision de refus et de ses motifs.
• Droit de rectification des
données
L'intermédiaire financier est tenu de communiquer des informations exactes et mises à jour et de rectifier rapidement toute erreur.
En 2010, l'Arbitre bancaire et financier a souligné qu'en cas de communication erronée la responsabilité de l'intermédiaire financier pouvait être mise en cause au titre de la réparation du préjudice matériel (y compris pour manque à gagner) ou moral (au titre de l'atteinte à la réputation personnelle ou commerciale).
Les participants et le gestionnaire d'un fichier sont tenus de procéder à la mise à jour concernant un intéressé qui s'est acquitté de sa dette après une cession de crédit à une personne qui ne participe pas au système, moyennant la production d'une déclaration du cessionnaire du crédit.
Si un intéressé fait part à un participant de la révocation de son consentement à la conservation de données d'un fichier positif, ce participant porte celui-ci à la connaissance du gestionnaire dans le cadre de sa communication mensuelle, lequel les efface dans les quatre-vingt-dix jours suivant celle-ci.
6. Prise en charge des frais de fonctionnement du fichier
Le code de déontologie ne traite pas de ce sujet.
LES FICHIERS DE CRÉDITS POSITIFS
* 8 Sont notamment exemptés les intermédiaires financiers dont l'activité de crédit à la consommation représente moins de 50 % de l'activité de financement.