Version à imprimer bilingue Version à imprimer unilingue

Question écrite n° 6-1203

de Martine Taelman (Open Vld) du 15 décembre 2016

au ministre des Finances, chargé de la Lutte contre la fraude fiscale

Directive 2007/64/CE du Parlement européen et du Conseil du 13 novembre 2007 concernant les services de paiement dans le marché intérieur - Secret bancaire - Vente de données client à des tiers - Autorisation explicite - Cybercriminalité - Risque

monnaie électronique
activité bancaire
établissement de crédit
contrôle bancaire
données personnelles
secret bancaire
protection de la vie privée
banque centrale
Financial Services and Markets Authority
criminalité informatique

Chronologie

15/12/2016Envoi question (Fin du délai de réponse: 19/1/2017)
28/6/2017Rappel
23/5/2019Fin de la législature

Aussi posée à : question écrite 6-1204

Question n° 6-1203 du 15 décembre 2016 : (Question posée en néerlandais)

Le niveau du salaire, l'hypothèque ou une visite chez le psychologue : à partir du mois de janvier 2018, des tiers suivront les données bancaires privées d'un titulaire de compte, à moins que celui-ci ne notifie clairement son opposition à la banque qui pourra dorénavant vendre ses données à d'autres entreprises.

D'après la nouvelle réglementation européenne (la directive 2007/64/CE du Parlement européen et du Conseil du 13 novembre 2007 concernant les services de paiement dans le marché intérieur, modifiant les directives 97/7/CE, 2002/65/CE, 2005/60/CE ainsi que 2006/48/CE et abrogeant la directive 97/5/CE, appelée directive PSD2), les banques seront bientôt obligées de vendre les données de paiement de leurs clients à des tiers si ceux-ci en font la demande et ont obtenu l'agrément nécessaire. Le client doit également donner son accord, chaque fois que des données de paiement doivent être transmises à des tiers. Ces dispositions légales sont assorties d'un certain nombre de conditions : il faut préciser à qui les données sont vendues, quelles données de paiement sont fournies et à quelles fins elles sont vendues. Un consommateur doit à chaque fois pouvoir marquer son refus.

Je suis très sceptique quant à cette mesure. Les expériences du passé nous apprennent que cette autorisation est souvent noyée parmi toute une série d'autres, et que dès lors, le client ne fait pas un choix délibéré. De plus, un titulaire de compte ne se rend pas toujours compte des secrets qu'il/elle divulgue. Les assureurs automobiles seront particulièrement intéressés de savoir que le client a acheté de l'alcool. Les assureurs vie manifesteront un intérêt particulier pour la consommation de tabac ou la prise de certains médicaments. Par ailleurs, toutes ces données peuvent conduire au vol d'identité.

Il semblerait que les banques soient, d'après la nouvelle directive DSP2, elles-mêmes tenues de vendre ces données.

L'Autoriteit Financiële Markten (AFM-autorité néerlandaise de régulation des marchés financiers) craint que les données de paiement ne soient utilisées de manière abusive et qu'une nouvelle loi européenne ne donne lieu à une augmentation de la cybercriminalité. Du fait de cette loi, appelée PSD2, les banques seront bientôt obligées de partager les données de paiement des clients avec des tiers - pour autant que le client donne son autorisation. D'après Reinier Pollmann de l'AFM, ces données de paiement peuvent permettre aux entreprises de développer d'excellents services pour les consommateurs mais elles peuvent également avoir des conséquences extrêmement déplaisantes.

Reinier Pollmann dit également que le contrôle sur ces services est actuellement trop fragmenté. Les clients courent dès lors le risque de voir leurs données de paiement utilisées de manière abusive.

La loi vise à encourager l'innovation et à élargir la concurrence. Et c'est ce qui semble se produire, d'après l'autorité néerlandaise de contrôle: De nombreuses entreprises fintech (technologies financières) sont déjà prêtes actuellement à affronter la concurrence avec les banques et à offrir des services que seules les banques pouvaient offrir au départ. Pensez aux applications relatives aux investissements, aux cahiers de comptes ménagers en ligne, aux nouveaux modes de paiement et aux conseils hypothécaires, disponibles sans que vous ayez à encoder des données. Toutes les parties qui veulent utiliser ces données doivent d'abord demander une autorisation à la banque. Le système est organisé correctement aux Pays-Bas. Mais il s'agit d'une législation européenne et une autorisation peut donc être demandée dans n'importe quel pays européen. D'après l'autorité de contrôle, les cybercriminels préféreront le faire au départ de Chypre ou de Malte. C'est pourquoi le politique doit réfléchir à la manière de mieux organiser ce contrôle.

Quant au caractère transversal de la question : les différents gouvernements et maillons de la chaîne de sécurité se sont accordés sur les phénomènes qui doivent être traités en priorité au cours des quatre prochaines années. Ceux-ci sont définis dans la Note-cadre de sécurité intégrale et dans le Plan national de sécurité pour la période 2016-2019, et ont fait l'objet d'un débat lors d'une Conférence interministérielle à laquelle les acteurs de la police et de la justice ont également participé. La criminalité informatique est une des grandes priorités établies. Cette question concerne dès lors une compétence régionale transversale, les Régions intervenant surtout dans le volet préventif .

J'aimerais obtenir une réponse aux questions suivantes :

1) Que pensez-vous de la position de l'autorité néerlandaise de contrôle des banques selon laquelle la directive DSP2 envisagée entraîne certains risques de cybercriminalité et que le politique doit réfléchir à la manière de mieux organiser ce contrôle ?

2) Avez-vous déjà reçu un avis de la Banque nationale de Belgique (BNB), de la Commission de la protection de la vie privée ou de l'Autorité des services et marchés financiers (FSMA) sur les risques que comporte la directive DSP2 proposée en matière de cybercriminalité et de vol d'identité ?

3) Pouvez-vous préciser qui assurera l'ensemble du contrôle sur tous les « fournisseurs de services » qui achèteront les données bancaires des clients dans le but de diffuser des annonces et de mener d'autres actions commerciales ? Dans la négative, comment pouvez-vous garantir le contrôle ?