- Le RGPD considère comme licite l’utilisation de données à caractère personnel, lorsque le traitement est nécessaire à l’exécution d’un contrat ou aux fins d’intérêts légitimes.
- Ces deux cas de figure concernent précisément le recouvrement de créance.
- Le RGPD prévoit les cas de sous-traitance de traitement de données par un donneur d’ordre et délimite les responsabilités de chacun.
L’entrée en application du RGPD (25 mai 2018) fait de la protection des données personnelles un droit acquis, dont l’infraction est immédiatement passible de sévères sanctions.
Dans le cadre d’un recouvrement de créance, l’utilisation de données à caractère personnel, est nécessaire pour contacter le débiteur en défaut de paiement. Des données personnelles telles que les noms, prénoms, adresses postales, numéros de téléphone, coordonnées bancaires, sont autant d’informations pertinentes, utiles à l’activité d’un recouvreur.
Licéité du traitement de données
L’article 6 du RGPD considère comme licite, c’est-à-dire conforme à la loi, le traitement de données personnelles dans cinq cas de figure, dont deux intéressent directement le recouvrement de créance.
L’article 6.1.b) du RGPD déclare la licéité du traitement de données personnelles si « le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci ». L’utilisation des données personnelles d’un débiteur est donc légitime pour recouvrer une créance qui s’inscrit dans le cadre d’un contrat.
La licéité du traitement des données est également avérée, selon l’article 6.1.f) du RGPD, si « le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers ». C’est notamment le cas quand il s’agit de réclamation d’impayés, dès lors que la facturation est établie en bonne et due forme, pour lui conférer une valeur juridique (constat du droit de créance) et que la dette est certaine. Dans ce cas précis, le RGPD aborde l’hypothèse de l’intervention d’un tiers.
L’article 4.10 du RGPD définit précisément le tiers comme suit : « une personne physique ou morale, une autorité publique, un service ou un organisme autre que la personne concernée, le responsable du traitement, le sous-traitant et les personnes qui, placées sous l’autorité directe du responsable du traitement ou du sous-traitant, sont autorisées à traiter les données à caractère personnel ».
Cette situation se produit quand un créancier décide de confier le recouvrement de ses créances à une société professionnelle. L’usage des données personnelles des débiteurs, nécessaire à l’exécution du recouvrement, nécessite quelques éclaircissements.
Donneur d’ordre et sous-traitant, deux rôles distincts
Dans ce cas de figure, le créancier agit comme un donneur d’ordre, vis-à-vis d’une société de recouvrement qui devient le sous-traitant. Il convient alors de distinguer ces deux rôles afin de comprendre les responsabilités respectives, délimitées par le RGPD.
Le donneur d’ordre
Le donneur d’ordre tient ainsi le rôle de data controller. En cette qualité, il est le responsable du traitement des données et c’est à lui qu’incombe la responsabilité de la finalité de l’utilisation des données. Il doit également garantir le respect des droits définis par le RGPD, à l’égard des personnes dont il récolte les données personnelles (droit d’accès, de rectification, d’opposition à la prospection ou au profilage, etc.).
Le sous-traitant
La société de recouvrement sollicitée agit en tant quedata processor, c’est-à-dire sous-traitant de données. Elle peut traiter les données personnelles des débiteurs utiles à l’activité du recouvrement, sans avoir obtenu leur consentement. Elle n’est pas tenu non plus de justifier de la finalité de l’usage des données personnelles, qui incombe au data controller. Il est, dans ce cas, conseillé d’établir un contrat de service qui formalise les responsabilités mutuelles, pour lever toute ambigüité juridique en cas de contrôle.
De ce fait, le sous-traitant a l’obligation de faire un usage strictement circonscrit à la finalité déterminée par le donneur d’ordre. Autrement dit, il ne peut pas réutiliser les données à des fins propres.
Enfin, il doit garantir la protection des données qu’il doit stocker pour l’exercice de son activité, et donc assurer plus généralement la sécurisation de son système d’information.