atteindre
http://asmp.fr - Groupe d’études Société d’information et vie privée.
245
CHAPITRE 15
La mise en place et la gestion
d'une grande centrale positive des risques en Italie
Protection de la vie privée, lutte contre le surendettement
et équilibres économiques des établissements de crédit
Jean-Marie Bouroche
On assiste actuellement à un large débat européen et international sur les avantages et
les inconvénients des centrales des risques positives, c'est-à-dire des bases de données
centralisées, alimentées sur la base du volontariat par les établissements financiers recensant
les encours de toutes les personnes auxquelles un crédit a été accordé. La plupart des pays
européens, exception faite de la France, disposent déjà d'une centrale des risques positive et
même, dans certains pays, de plusieurs, la plupart étant gérées par des associations ou des
sociétés de droit privé, sous la vigilance et le contrôle du système bancaire et des institutions.
Afin de mieux comprendre les avantages réels d'une telle approche et la démarche suivie pour
éliminer les risques potentiels relativement à la vie privée, il nous semble intéressant de
présenter en détail le système qui fonctionne avec un grand succès depuis plus de dix ans en
Italie. Cette centrale italienne s'est parfaitement intégrée au système financier, sans en fausser
les règles de la concurrence et il permet de lutter efficacement contre le surendettement, tout
en respectant avec le plus grand soin les obligations nées de la Loi 675/96 sur la protection de
la vie privée ainsi que celles du secret bancaire.
La centrale de risques EURISC© a été créée en 1990 par la société CRIF SpA (Centrale
dei RIschi Finanziari) dont le capital est contrôlé par les principaux opérateurs du système
bancaire et financier italien. L'adhésion au système de centralisation des encours se fait
uniquement sur la base du volontariat et concerne les banques, les établissements spécialisés,
les émetteurs de cartes de crédit renouvelables et, d'ici peu, les sociétés qui offrent un
paiement différé, telles que les sociétés de télécommunications. À l'heure actuelle, la centrale
couvre 90% du marché du crédit aux particuliers, elle compte 320 adhérents, concerne 24.000
guichets ou points de vente connectés en ligne quotidiennement et contient 31.500.000
positions recensées, en augmentation chaque mois d'environ 350.000 nouvelles positions. En
moyenne, au niveau national, le taux de succès d'une interrogation (c'est-à-dire le pourcentage
de noms trouvés dans la Centrale avec certitude lors d'une interrogation) est de 68%, en
augmentation constante depuis dix ans. Dans certaines Régions, il dépasse même 80% !
La centrale de risques EURISC© est positive car les opérateurs adhérents lui fournissent
un ensemble de données sur les emprunteurs, indépendamment de leur comportement de
paiement. Elle permet à un établissement financier d'évaluer la capacité de remboursement
d'un demandeur de prêt non seulement en fonction des garanties qu'il présente, mais surtout
sur la base de sa propre fiabilité, démontrée par rapport à l'ensemble du système financier et
sur la base du niveau d'endettement déjà atteint. Lors d'une opération de demande de
financement, au moyen d'une interrogation en ligne ou différée, il est possible d'obtenir
l'ensemble de l'encours déjà accordé au demandeur, ses autres demandes en instruction, le
http://asmp.fr - Groupe d’études Société d’information et vie privée.
246
total de ses remboursements mensuels, le capital restant dû, mais aussi de vérifier la régularité
de ses remboursements ainsi que les retards passés ou en cours.
Un tel système serait inimaginable et n'aurait pas résisté aux nouvelles exigences de la
loi sur la protection des données privées de 1996, ni à l'indispensable équité de la concurrence
entre les opérateurs, s'il n'était fondé sur le respect strict et contrôlé de règles et de principes
fondamentaux que nous présentons maintenant: la réciprocité, la confidentialité, la limitation
d'usage, le contrôle institutionnel, la mises à jour des informations, le respect de la loi et des
règlements sur la protection des données privées.
La réciprocité des échanges d'information:
Ce principe établit l'obligation, pour les adhérents, de fournir mensuellement les
informations sur sa clientèle emprunteuse. En effet, dans un système de partage équitable de
l'information, il est fondamental que chaque adhérent puisse consulter les informations de la
base, mais aussi qu'il alimente le système avec ses propres informations. Chaque adhérent
reste libre de fournir les informations concernant toute sa clientèle ou seulement une partie
(par exemple, la clientèle des prêts personnels et des cartes de crédit); cependant, sur la base
du principe de réciprocité, un tel adhérent n'aura pas accès à toute l'information de la base
mais seulement à la partie correspondant à son niveau d'alimentation (par exemple, il n'aura
accès qu'aux informations relatives aux prêts personnels et aux cartes de crédit).
La confidentialité:
Ce principe établit, pour chaque adhérent, l'obligation de confidentialité des
informations, recueillies grâce à la consultation de la centrale des risques, qui ne peuvent, en
aucun cas, être communiquées à un tiers. CRIF est également obligé de respecter ce principe
par rapport à ses propres adhérents; ce qui implique par exemple que les informations
consultables sur les contrats de financement accordés à une personne ne contiendront jamais
le nom ou le code de l'établissement prêteur (ou des établissements, si plusieurs prêts sont en
cours dans différents établissements) car ce genre d'information pourrait avoir, de fait, une
valeur marketing, tout en n'ayant aucune pertinence relativement à l'appréciation du risque du
demandeur.
La limitation d'usage:
Les informations de la centrale des risques ne peuvent absolument pas être utilisées
pour des finalités commerciales ou marketing; par conséquent, les adhérents peuvent
uniquement effectuer des consultations ayant comme finalité la prévention ou le contrôle du
risque d'insolvabilité. Les interrogations ne sont admises qu'en cas de demande de
financement de la part d'un emprunteur ou alors, pour contrôler un contrat déjà acquis en
portefeuille et recensé dans la centrale. Une telle règle exclut donc absolument les actions de
rachat de créances, d'extraction de listes pour des actions de conquête ou de prospection, ou
même des opérations de prescreening de listes externes afin d'exclure a priori de ces listes les
sujets à risque élevé pour ne prospecter que les sujets à faible risque. Pour qu'un tel principe
soit appliqué, chaque adhérent doit déclarer non seulement les informations permettant
d'identifier le demandeur, mais aussi les données concernant la demande de financement. Par
http://asmp.fr - Groupe d’études Société d’information et vie privée.
247
la suite, l'adhérent doit également déclarer si la demande a été acceptée ou refusée, ce qui
permet de contrôler s'il y a des anomalies dans le mode d'interrogation ou d'usage de chacun
des adhérents par rapport à ce principe.
Le contrôle institutionnel:
CRIF est soumis, comme toutes les institutions italiennes, au contrôle de l'autorité
judicaire et de l'autorité de garantie du respect de la vie privée (Ufficio del Garante per la
Protezione dei Dati Personali). De plus, CRIF s'est assujetti volontairement au contrôle et à la
vigilance de la Banque d'Italie. Enfin, un organe statutaire de contrôle et d'audit a été
constitué, composé de personnes externes à CRIF, ayant comme obligation d'effectuer
annuellement une vérification par échantillonnage destinée à évaluer les anomalies
éventuelles dans l'utilisation des données faite par les adhérents ainsi que dans les données
transmises.
La mise à jour des informations:
Chaque mois, les adhérents doivent fournir à CRIF les informations sur les nouveaux
financements accordés et la mise à jours des financements en cours. À l'aide de programmes
adaptés et d'une activité de back office intensive, toutes les données sont soumises à des
contrôles logiques stricts avant d'être chargées dans la base.
Le respect de la loi et des règlements sur la protection des données privées:
Selon la loi 675/96 (votée en 1996, donc six ans après la création de la centrale), la
communication de données personnelles à la centrale de risques EURISC© nécessite un
consentement explicite de la personne pour l'utilisation des données privées la concernant.
Selon la règle, le consentement est recueilli par l'adhérent au moment de la demande de
financement. Le respect de la vie privée des consommateurs a toujours été une préoccupation
majeure pour CRIF et c'est pourquoi, bien avant l'entrée en vigueur de la loi, CRIF imposait
déjà contractuellement à ses adhérents, le recueil préalable du consentement de la personne
faisant l'objet d'une signalisation dans la base et d'interrogations. De plus, selon la loi 675/96,
toute personne peut s'adresser à CRIF pour :
- connaître les données personnelles enregistrées dans la Centrale des Risques,
- obtenir la rectification ou la mises à jour de ces données,
- obtenir l'annulation, pour des motifs légitimes, des données traitées en violation de la
loi et de l'ensemble des traitements visés.
L'utilité économique et la fonction sociale des Centrales des Risques positives, comme
celle de CRIF; est maintenant reconnue en Italie; récemment quelques parlementaires ont
proposé un projet de loi qui a pour objet de réglementer l'activité des organismes
gestionnaires d'informations corrélées au comportement d'endettement. Dans ce projet, les
durées de conservation des informations et les règles d'accès sont définies sur la base d'un
équilibre équitable entre les intérêts des demandeurs et des fournisseurs de financement. On
prévoit d'exclure toute utilisation des données pour des finalités marketing ou commerciales
(comme c'est déjà le cas actuellement dans EURISC©), tandis que l'accès aux données est
accordé à tous ceux qui en ont un besoin économique légitime; c'est à dire tous ceux qui ont la
http://asmp.fr - Groupe d’études Société d’information et vie privée.
248
nécessité d'établir la solvabilité d'un demandeur intéressé par un crédit, une garantie de crédit,
un contrat d'assurance ou des biens ou des services à paiement différé. De plus, le
professionnalisme et le sérieux de CRIF et de son système, prouvés depuis dix années
d'activité, lui ont permis de conclure d'importants accords d'échanges de données avec les
principales centrales des risques allemande, hollandaise, autrichienne, irlandaise, danoise et
peut-être, dans un proche avenir, belge. Cet échange de données se fait en respectant
strictement les conditions et principes énumérés ci-dessus et apparaît comme indispensable
pour aider le développement de l'activité de crédit des établissements financiers qui désirent
étendre leurs activités en Europe.
Notons enfin que la centrale des risques positive présente de nombreux avantages pour
les différents acteurs:
- pour les consommateurs, le système italien assure un respect strict, contrôlable et
officiel des règles sur la protection de la vie privée, interdit les actions commerciales
intempestives, assure le respect des finalités et des droits d'accès et de modification et,
surtout, permet un meilleur accès au financement par une attribution juste et non subjective et
une protection contre le surendettement éventuel.
- pour les adhérents, sans cesse plus nombreux et actifs, le système garantit la sécurité et
l'anonymat des données, empêche les pratiques concurrentielles protectionnistes, inéquitables
ou abusives, permet d'accorder de nouveaux financements sans prendre de risques exagérés en
s'appuyant sur des instruments d'aide à la décision dont la fiabilité est prouvée et le résultat
objectif.
C'est l'ensemble de ces facteurs qui a assuré le succès économique et la fonction sociale
de la centrale des risques EURISC© en Italie et dont le modèle est reproduit, de plus en plus
souvent avec l'aide de CRIF, dans les pays qui ne sont pas encore dotés de centrales positives.
1
/
4
100%
