Les données de navigation en UE pourraient bientôt être protégées des organismes de crédits

Le Contrôleur européen de la protection des données (CEPD) a publié, la semaine dernière, une recommandation dans laquelle il milite pour que les données de navigation et de recherche des consommateurs et consommatrices soient protégées des organismes de crédits.

Le 30 juin dernier, et alors que 71 % des consommateurs et consommatrices de l'UE ont procédé à des achats en ligne en 2020, la Commission européenne a proposé de revoir les ensembles de règles qui encadrent les droits des citoyens et citoyennes quant à la sécurité des produits et au crédit à la consommation. Dans cette proposition globale de révision, Bruxelles souhaite en effet améliorer les règles d'évaluation de la solvabilité des consommateurs et consommatrices. Autrement dit, la Commission européenne veut davantage de transparence sur la capacité des citoyens et citoyennes à rembourser leur crédit, en évitant ainsi leur surendettement. En réponse à cette proposition, le Contrôleur européen de la protection des données (CEPD) a livré, le 26 août 2021, ses recommandations sur l'utilisation des données personnelles dans cette évaluation des risques au crédit.

Le CEPD veut protéger les citoyens et citoyennes, et limiter le champ des informations communiquées aux organismes de crédits

L'autorité de contrôle indépendante de l'Union européenne, qui salue la proposition émanant de la Commission, alerte tout de même cette dernière sur l'utilisation potentielle de données censées être protégées par le Règlement général sur la protection des données (RGPD). Dans ses recommandations, elle demande à ce que des données personnelles comme l'historique de navigation et les requêtes de recherche soient exclues du champ d'évaluation des risques, c'est-à-dire de la solvabilité d'un consommateur ou d'une consommatrice qui souhaite contracter un crédit.

Le Contrôleur européen estime qu'évaluer le risque de contracter un crédit à partir de telles données ne peut se faire en respect des principes de limitation de la finalité, d'équité et de transparence, mais aussi de pertinence, d'adéquation et de proportionnalité du traitement des données.

Le CEPD souhaite donc purement et simplement faire interdire l'utilisation des recherches et données de navigation des consommateurs et consommatrices. L'autorité indépendante de l'UE recommande ainsi que les intermédiaires, les créanciers et les fournisseurs de services de crédit ne puissent pas utiliser également les données se rapportant à la santé, ni à toute autre donnée protégée par le RGPD, en ce qui concerne l'évaluation du risque au crédit.

La crainte d'une surveillance des consommateurs et consommatrices

La révision des règlements par la Commission européenne prévoit que les consommateurs et consommatrices puissent obtenir une « explication claire » de l'évaluation, mais aussi une intervention humaine de l'organisme de crédit, pour réévaluer la décision. À ce sujet, le CEPD propose qu'un contrôle de la qualité des données prélevées soit effectué, et que le terme d'« intervention » soit remplacé par celui d'« évaluation ».

Le Contrôleur européen a profité de sa recommandation pour répondre à un article publié en décembre dernier par le Fonds monétaire international (FMI), dans lequel l'institution new-yorkaise indiquait que l'évaluation des risques serait bien plus efficace si fournie de données non-financières, comme l'historique des recherches et des achats en ligne, le navigateur et le matériel utilisés pour se connecter à Internet.

L'article du FMI fut quasi-unanimement pointé du doigt pour son cynisme, et même s'il ne dispose pas d'un rôle législatif mais consultatif seulement au sein de l'UE, le CEPD a souvent été à l'origine de principes fondamentaux, notamment lorsqu'il a fallu créer le RPGD. Les protecteurs de la vie privée et des données personnelles de toute l'Europe espèrent qu'il en sera de nouveau ainsi.

Source : CEPD