http://asmp.fr - Groupe d’études Société d’information et vie privée. CHAPITRE 15 La mise en place et la gestion d'une grande centrale positive des risques en Italie Protection de la vie privée, lutte contre le surendettement et équilibres économiques des établissements de crédit Jean-Marie Bouroche On assiste actuellement à un large débat européen et international sur les avantages et les inconvénients des centrales des risques positives, c'est-à-dire des bases de données centralisées, alimentées sur la base du volontariat par les établissements financiers recensant les encours de toutes les personnes auxquelles un crédit a été accordé. La plupart des pays européens, exception faite de la France, disposent déjà d'une centrale des risques positive et même, dans certains pays, de plusieurs, la plupart étant gérées par des associations ou des sociétés de droit privé, sous la vigilance et le contrôle du système bancaire et des institutions. Afin de mieux comprendre les avantages réels d'une telle approche et la démarche suivie pour éliminer les risques potentiels relativement à la vie privée, il nous semble intéressant de présenter en détail le système qui fonctionne avec un grand succès depuis plus de dix ans en Italie. Cette centrale italienne s'est parfaitement intégrée au système financier, sans en fausser les règles de la concurrence et il permet de lutter efficacement contre le surendettement, tout en respectant avec le plus grand soin les obligations nées de la Loi 675/96 sur la protection de la vie privée ainsi que celles du secret bancaire. La centrale de risques EURISC© a été créée en 1990 par la société CRIF SpA (Centrale dei RIschi Finanziari) dont le capital est contrôlé par les principaux opérateurs du système bancaire et financier italien. L'adhésion au système de centralisation des encours se fait uniquement sur la base du volontariat et concerne les banques, les établissements spécialisés, les émetteurs de cartes de crédit renouvelables et, d'ici peu, les sociétés qui offrent un paiement différé, telles que les sociétés de télécommunications. À l'heure actuelle, la centrale couvre 90% du marché du crédit aux particuliers, elle compte 320 adhérents, concerne 24.000 guichets ou points de vente connectés en ligne quotidiennement et contient 31.500.000 positions recensées, en augmentation chaque mois d'environ 350.000 nouvelles positions. En moyenne, au niveau national, le taux de succès d'une interrogation (c'est-à-dire le pourcentage de noms trouvés dans la Centrale avec certitude lors d'une interrogation) est de 68%, en augmentation constante depuis dix ans. Dans certaines Régions, il dépasse même 80% ! La centrale de risques EURISC© est positive car les opérateurs adhérents lui fournissent un ensemble de données sur les emprunteurs, indépendamment de leur comportement de paiement. Elle permet à un établissement financier d'évaluer la capacité de remboursement d'un demandeur de prêt non seulement en fonction des garanties qu'il présente, mais surtout sur la base de sa propre fiabilité, démontrée par rapport à l'ensemble du système financier et sur la base du niveau d'endettement déjà atteint. Lors d'une opération de demande de financement, au moyen d'une interrogation en ligne ou différée, il est possible d'obtenir l'ensemble de l'encours déjà accordé au demandeur, ses autres demandes en instruction, le 245 http://asmp.fr - Groupe d’études Société d’information et vie privée. total de ses remboursements mensuels, le capital restant dû, mais aussi de vérifier la régularité de ses remboursements ainsi que les retards passés ou en cours. Un tel système serait inimaginable et n'aurait pas résisté aux nouvelles exigences de la loi sur la protection des données privées de 1996, ni à l'indispensable équité de la concurrence entre les opérateurs, s'il n'était fondé sur le respect strict et contrôlé de règles et de principes fondamentaux que nous présentons maintenant: la réciprocité, la confidentialité, la limitation d'usage, le contrôle institutionnel, la mises à jour des informations, le respect de la loi et des règlements sur la protection des données privées. La réciprocité des échanges d'information: Ce principe établit l'obligation, pour les adhérents, de fournir mensuellement les informations sur sa clientèle emprunteuse. En effet, dans un système de partage équitable de l'information, il est fondamental que chaque adhérent puisse consulter les informations de la base, mais aussi qu'il alimente le système avec ses propres informations. Chaque adhérent reste libre de fournir les informations concernant toute sa clientèle ou seulement une partie (par exemple, la clientèle des prêts personnels et des cartes de crédit); cependant, sur la base du principe de réciprocité, un tel adhérent n'aura pas accès à toute l'information de la base mais seulement à la partie correspondant à son niveau d'alimentation (par exemple, il n'aura accès qu'aux informations relatives aux prêts personnels et aux cartes de crédit). La confidentialité: Ce principe établit, pour chaque adhérent, l'obligation de confidentialité des informations, recueillies grâce à la consultation de la centrale des risques, qui ne peuvent, en aucun cas, être communiquées à un tiers. CRIF est également obligé de respecter ce principe par rapport à ses propres adhérents; ce qui implique par exemple que les informations consultables sur les contrats de financement accordés à une personne ne contiendront jamais le nom ou le code de l'établissement prêteur (ou des établissements, si plusieurs prêts sont en cours dans différents établissements) car ce genre d'information pourrait avoir, de fait, une valeur marketing, tout en n'ayant aucune pertinence relativement à l'appréciation du risque du demandeur. La limitation d'usage: Les informations de la centrale des risques ne peuvent absolument pas être utilisées pour des finalités commerciales ou marketing; par conséquent, les adhérents peuvent uniquement effectuer des consultations ayant comme finalité la prévention ou le contrôle du risque d'insolvabilité. Les interrogations ne sont admises qu'en cas de demande de financement de la part d'un emprunteur ou alors, pour contrôler un contrat déjà acquis en portefeuille et recensé dans la centrale. Une telle règle exclut donc absolument les actions de rachat de créances, d'extraction de listes pour des actions de conquête ou de prospection, ou même des opérations de prescreening de listes externes afin d'exclure a priori de ces listes les sujets à risque élevé pour ne prospecter que les sujets à faible risque. Pour qu'un tel principe soit appliqué, chaque adhérent doit déclarer non seulement les informations permettant d'identifier le demandeur, mais aussi les données concernant la demande de financement. Par 246 http://asmp.fr - Groupe d’études Société d’information et vie privée. la suite, l'adhérent doit également déclarer si la demande a été acceptée ou refusée, ce qui permet de contrôler s'il y a des anomalies dans le mode d'interrogation ou d'usage de chacun des adhérents par rapport à ce principe. Le contrôle institutionnel: CRIF est soumis, comme toutes les institutions italiennes, au contrôle de l'autorité judicaire et de l'autorité de garantie du respect de la vie privée (Ufficio del Garante per la Protezione dei Dati Personali). De plus, CRIF s'est assujetti volontairement au contrôle et à la vigilance de la Banque d'Italie. Enfin, un organe statutaire de contrôle et d'audit a été constitué, composé de personnes externes à CRIF, ayant comme obligation d'effectuer annuellement une vérification par échantillonnage destinée à évaluer les anomalies éventuelles dans l'utilisation des données faite par les adhérents ainsi que dans les données transmises. La mise à jour des informations: Chaque mois, les adhérents doivent fournir à CRIF les informations sur les nouveaux financements accordés et la mise à jours des financements en cours. À l'aide de programmes adaptés et d'une activité de back office intensive, toutes les données sont soumises à des contrôles logiques stricts avant d'être chargées dans la base. Le respect de la loi et des règlements sur la protection des données privées: Selon la loi 675/96 (votée en 1996, donc six ans après la création de la centrale), la communication de données personnelles à la centrale de risques EURISC© nécessite un consentement explicite de la personne pour l'utilisation des données privées la concernant. Selon la règle, le consentement est recueilli par l'adhérent au moment de la demande de financement. Le respect de la vie privée des consommateurs a toujours été une préoccupation majeure pour CRIF et c'est pourquoi, bien avant l'entrée en vigueur de la loi, CRIF imposait déjà contractuellement à ses adhérents, le recueil préalable du consentement de la personne faisant l'objet d'une signalisation dans la base et d'interrogations. De plus, selon la loi 675/96, toute personne peut s'adresser à CRIF pour : - connaître les données personnelles enregistrées dans la Centrale des Risques, - obtenir la rectification ou la mises à jour de ces données, - obtenir l'annulation, pour des motifs légitimes, des données traitées en violation de la loi et de l'ensemble des traitements visés. L'utilité économique et la fonction sociale des Centrales des Risques positives, comme celle de CRIF; est maintenant reconnue en Italie; récemment quelques parlementaires ont proposé un projet de loi qui a pour objet de réglementer l'activité des organismes gestionnaires d'informations corrélées au comportement d'endettement. Dans ce projet, les durées de conservation des informations et les règles d'accès sont définies sur la base d'un équilibre équitable entre les intérêts des demandeurs et des fournisseurs de financement. On prévoit d'exclure toute utilisation des données pour des finalités marketing ou commerciales (comme c'est déjà le cas actuellement dans EURISC©), tandis que l'accès aux données est accordé à tous ceux qui en ont un besoin économique légitime; c'est à dire tous ceux qui ont la 247 http://asmp.fr - Groupe d’études Société d’information et vie privée. nécessité d'établir la solvabilité d'un demandeur intéressé par un crédit, une garantie de crédit, un contrat d'assurance ou des biens ou des services à paiement différé. De plus, le professionnalisme et le sérieux de CRIF et de son système, prouvés depuis dix années d'activité, lui ont permis de conclure d'importants accords d'échanges de données avec les principales centrales des risques allemande, hollandaise, autrichienne, irlandaise, danoise et peut-être, dans un proche avenir, belge. Cet échange de données se fait en respectant strictement les conditions et principes énumérés ci-dessus et apparaît comme indispensable pour aider le développement de l'activité de crédit des établissements financiers qui désirent étendre leurs activités en Europe. Notons enfin que la centrale des risques positive présente de nombreux avantages pour les différents acteurs: - pour les consommateurs, le système italien assure un respect strict, contrôlable et officiel des règles sur la protection de la vie privée, interdit les actions commerciales intempestives, assure le respect des finalités et des droits d'accès et de modification et, surtout, permet un meilleur accès au financement par une attribution juste et non subjective et une protection contre le surendettement éventuel. - pour les adhérents, sans cesse plus nombreux et actifs, le système garantit la sécurité et l'anonymat des données, empêche les pratiques concurrentielles protectionnistes, inéquitables ou abusives, permet d'accorder de nouveaux financements sans prendre de risques exagérés en s'appuyant sur des instruments d'aide à la décision dont la fiabilité est prouvée et le résultat objectif. C'est l'ensemble de ces facteurs qui a assuré le succès économique et la fonction sociale de la centrale des risques EURISC© en Italie et dont le modèle est reproduit, de plus en plus souvent avec l'aide de CRIF, dans les pays qui ne sont pas encore dotés de centrales positives. 248