Vos données financières n’appartiennent qu’à vous. Si vous avez remis des informations confidentielles à une banque, comme des fiches de salaire et des déclarations d’impôts, la banque a le devoir de les détruire sans délai si l’affaire ne s’est pas conclue. C’est la loi sur la protection des données (LPD) qui le dit, et plus spécifiquement son article 6.
En dépit de cette garantie légale, un lecteur fribourgeois a eu très peur que ses données personnelles soient conservées indûment par la Banque Migros. Celle-ci ne lui a garanti la destruction de ces dernières qu’après avoir été interrogée à plusieurs reprises par notre rédaction.
Le client se dévoile
Début août 2024, notre lecteur, un ancien spécialiste en sécurité informatique, relève sur le comparateur de tarifs Bonus.ch une offre de prêt hypothécaire intéressante: un prêt sur cinq ans au taux de 1,11%. Bonus.ch attribue cette offre à la Banque Migros. Notre lecteur s’adresse donc à celle-ci pour demander une confirmation. La banque dément le taux affiché sur le site du comparateur.
Bonus.ch précise sur sa page que «les taux hypothécaires actuels affichés sont des taux indicatifs qui peuvent varier selon plusieurs critères». Le site se dégage ainsi de toute responsabilité quant à l’exactitude des données de taux qu’il publie.
La Banque Migros fait, début septembre, une offre à notre lecteur pour un prêt à cinq ans. Le taux est nettement plus élevé: 1,47%. Notre lecteur l’accepte. Il envoie les informations personnelles demandées par la banque, à savoir sa déclaration d’impôts et ses dernières fiches de revenu.
Le 10 septembre, la banque l’informe de son refus d’accorder un prêt sans donner d’explication. L’affaire est donc censée se conclure de cette manière.
La banque tarde à répondre
Notre lecteur, entre-temps, a trouvé d’autres financements pour sa maison. Mais le jour même du refus, il écrit à la Banque Migros pour exiger qu’elle «procède à la destruction immédiate de tous les documents privés que je vous ai fournis». Les jours suivants, la banque ne donne aucune nouvelle.
Le 18 septembre, interpellée par notre lecteur, qui lui a donné une procuration écrite, notre rédaction demande à la banque si les documents ont été détruits. Ce n’est que sur relance de notre demande le 1er octobre que la banque répond en exigeant… la remise d’une procuration sur un formulaire ad hoc. Celle-ci sera envoyée quelques jours plus tard.
La banque livre finalement sa réponse le 8 octobre, trois semaines après avoir été interpellée. En une ligne: «La suppression définitive des documents a été effectuée le 04.10.24 et l’anonymisation des données a été effectuée le 07.10.24». Trois autres lignes lui sont néanmoins nécessaires pour s’enquérir de la finalité des questions et de l’article.
Pourquoi la banque ne s’est-elle exécutée que si tardivement? «La demande formelle de suppression des données prend un certain temps. Avant tout, il nous fallait obtenir la certitude de l’identité du client», explique-t-elle.
Destruction obligatoire
La loi sur la protection des données indique pourtant clairement à son article 6 que les données personnelles «sont détruites ou anonymisées dès qu’elles ne sont plus nécessaires au regard des finalités du traitement». La destruction aurait dû être immédiate dès le refus du crédit signifié. Pourtant, la Banque Migros a eu besoin de trois semaines pour se mettre en conformité avec la loi.
L’Ombudsman des banques indique que les réclamations de clients concernant l’effacement de données personnelles «sont extrêmement rares» et n’apparaissent généralement que «comme aspects secondaires d’un autre problème». Mais lorsqu’il saisit des banques sur cette question, celles-ci «proposent régulièrement des solutions pragmatiques». En l’occurrence, elles n’ont pas le droit de conserver quelque pièce ni nom que ce soit si l’affaire ne s’est pas faite.
Yves Genier
