La protection des données à caractère personnel en zone CEMAC : L’apport de la législation bancaire communautaire

Pr
KALIEU ELONGO Yvette Rachel, Université de Dschang

Avec le développement du numérique, de nombreuses informations personnelles parfois confidentielles sont régulièrement collectées et stockées et parfois cédées avec ou parfois sans autorisation de l’auteur. Ainsi, les sites web, les entreprises commerciales, les organismes publics, les structures de santé, les banques  et autres détiennent  souvent sous forme numérique des informations précieuses sur leurs clients ou usagers. La question de la protection des données personnelles ainsi  collectées se pose de plus en plus.  Une réponse juridique doit alors être apportée.

L’adoption du RÈGLEMENT N° 03 /16-CEMAC-UMAC-CM du 21 décembre 2016  relatif aux systèmes, moyens et incidents de paiement a donné l’occasion aux autorités communautaires d’apporter quelques éléments dans le sens de l’encadrement juridique  de la question de la protection des données personnelles collectées à l’occasion des transactions qui naissent des relations relatives aux divers services.  Il est vrai que les dispositions sont limitées aux données collectées dans le cadre de la relation bancaire, mais elle pourrait augurer d’une généralisation future de ces mesures.

Le règlement   définit d’abord les données à caractère personnel. Il  s’agit de «  toute information relative à une personne physique identifiée ou identifiable, directement ou indirectement, notamment par référence à un numéro d’identification ou à un ou plusieurs éléments, propre à son état civil et à son identité physique et biométrique ».  Sont habituellement considérés comme données personnelles : les nom et prénom, numéro de sécurité  sociale, numéro de carte nationale d’identité, numéro  de passeport, numéro de compte, date et lieu de naissance, adresse physique et courriel, numéro de téléphone, numéro de la carte bancaire, données biométriques telles comme les  empreintes digitales  et ADN, etc.  Ces informations permettent d’identifier un individu de manière unique.

Le règlement consacre ensuite quelques dispositions au traitement des données à caractère personnel en matière de compte bancaire.  A travers ces dispositions, il rappelle   quelques règles précises à adopter dans le cadre des relations entre les établissements de crédit, les établissements de microfinance et les établissements agréés  d’une part et  leur clientèle d’autre part,   en particulier les personnes physiques.

Ces règles sont relatives principalement à la collecte des données, à l’obligation d’information, à la protection des données et au droit d’accès des clients.

$ La collecte des données 

ARTICLE 10 (nouveau) : (… ) Lors de l’ouverture du compte, le client, le cotitulaire ou le mandataire fournit à l’établissement assujetti, dans les conditions prévues à l’article 226 du présent Règlement, ses données à caractère personnel (…).

La fourniture des données personnelles est une obligation qui s’impose au client personne physique lors de l’ouverture d’un compte.  Le client a donc l’obligation  de fournir les données à caractère personnel lors de l’ouverture du compte  et le refus de fournir ces données peut donc justifier le refus d’ouverture du compte.

$ L’obligation d’information 

ARTICLE 210 (nouveau) : (…) Les traitements sur les données à caractère personnel collectées pour la Centrale des Incidents de Paiement ont pour finalité la prévention et la sanction de la fraude en matière de moyens et incidents de paiement.

ARTICLE 226 (nouveau) : L’établissement assujetti qui sollicite l’accord du client pour la collecte de ses données à caractère personnel biométriques l’informe de leur utilisation dans le cadre exclusif de la centralisation des incidents de paiement.

L’établissement assujetti  est tenu d’une obligation  d’information de la clientèle sur l’utilisation des données. Celles-ci sont collectées  dans le cadre exclusif de la centralisation des instruments de paiement. Autrement dit, l’établissement ne pourrait les utiliser à d’autres fins.

$ L’autorisation préalable

ARTICLE 226 (nouveau) : Lors de l’ouverture d’un compte à un nouveau client, l’établissement

assujetti doit recueillir, avec l’accord de l’intéressé, ses données à caractère personnel et

s’assurer de leur exactitude sur la base notamment de ses documents officiels en cours de

validité. S’il s’agit d’un compte collectif, les mêmes diligences doivent être accomplies à l’égard

de chacun des co-titulaires.

La collecte des données personnelles ne peut se faire que sur autorisation préalable  du client. Autrement dit, il doit fournir en connaissance de cause les informations le concernant.

$ La protection des données 

ARTICLE 218 (nouveau) : (…) La Banque Centrale prend toutes les précautions utiles pour empêcher que les données à caractère personnel enregistrées soient déformées, endommagées ou que des tiers non autorisés y aient accès.

Si la collecte des données personnelles est justifiée pour diverses raisons, il y a  en contrepartie obligation de protéger ces données notamment contre les tiers qui ne doivent pas y avoir accès. On y voit les enjeux de la cybersécurité. Cette protection incombe principalement à la banque centrale qui gère le fichier régional.

$ Le droit d’accès aux données

ARTICLE 10 (nouveau) : Il ( le client) peut  avoir communication de ses données à caractère personnel et en obtenir la rectification le cas échéant.

ARTICLE 211 (nouveau) : Le Fichier Régional des Clients et Comptes Bancaires recense les clients des établissements assujettis et leurs comptes.

Il sera procédé au jour de la mise en place du Fichier, au recensement exhaustif des clients et

des comptes existants.

L’accès aux informations contenues dans ce fichier est réservé : – au client sur ses données à caractère personnel  (…).

Le règlement prévoit l’accès des clients aux différents fichiers de collecte et de stockage des données.  Le droit d’accès permet ainsi d’avoir connaissance des données existantes, de vérifier leur exactitude et  d’obtenir leur  modification éventuelle voire leur suppression.

Une instruction du Gouverneur de la BEAC est attendue pour préciser les modalités de collecte, de conservation et de transmission à la Banque Centrale des données ainsi que  des modalités d’accès aux données à caractère personnel, et à leur rectification le cas échéant ainsi que les catégories de données à collecter. En attendant, on peut dire que les bases d’une protection des données à caractère personnel en matière bancaire sont jetées.