Documentation Documentation utile La mise en conformité des services de médiation de dettes avec le RGPD

La mise en conformité des services de médiation de dettes avec le RGPD

Mis à jour le — Année du contenu : 2018

Comme vous le savez, la Directive Européenne concernant le Règlement Général de Protection des Données (RGPD-GDPR) est d’application depuis le 25 mai 2018.

Qu’est-ce que cela implique pour les services de médiation de dettes ?

Ce règlement européen s’applique aussi bien au secteur public qu’au secteur privé et concerne tous ceux qui collectent et traitent des données à caractère personnel (càd des données qui se rapportent à une personnes physique identifiée ou identifiable) ou des données sensibles (càd des données qui concernent des mineurs ou encore l’orientation sexuelle, la santé des personnes par exemple)

Dans le cadre de votre travail de médiation de dettes vous récoltez et traitez ce type de données : Exemple : Nom, prénom, date de naissance, adresse, numéro de compte bancaire, situation familiale, diplôme, etc …

Cela a pour conséquence que votre service et votre institution devra veiller à se mettre en conformité avec le RGPD.

L’objectif principal de ce règlement est :

de renforcer les droits de tout un chacun de savoir ce qui est fait des données qui le concernent et de faire jouer leurs droits (droit à l’effacement ou à l’oubli, réclamer une limitation du traitement, demander à récupérer leurs données, ou encore exiger réparation en cas de violation du règlement).
de renforcer la responsabilité de celui qui collecte les données qui doit s’assurer que toutes les informations recueillies seront sécurisées, soumises à l’obligation de confidentialité, et utilisées à bon escient

Recueillir le consentement libre et éclairé de la personne et l’informer

A priori l’ensemble des mesures qui devront être prises concernent essentiellement vos coordinateurs, directeurs, présidents et secrétaires (voir ci-dessous).

Néanmoins, en ce qui concerne la médiation de dettes, nous sommes d’avis qu’il serait prudent de récolter systématiquement le consentement libre et éclairé de la personne par le biais de la signature d’une convention au démarrage de la médiation .

En effet, celui qui traite des données à caractère personnel des personnes doit être en mesure de prouver que la récolte de ces données est licite c’est-à-dire qu’elle se fonde sur l’une des bases juridiques énumérées à l’article 6 du RGPD. ¹

Par ailleurs, le RGPD impose d’informer la personne de manière approfondie et transparente sur les données précises qui seront récoltées, sur l’usage qui en sera fait, sur leur durée de conservation et sur leur éventuelle communication à des tiers.

En outre, la personne doit également être informée de ses droits.

Il s’agit du :

• Droit d’accès à ses données personnelles ;
• Droit de rectification des données personnelles erronées ;
• Droit à la limitation du traitement ;
• Droit à la portabilité des données ;
• Droit d’opposition à la prise de décision et au profilage automatisé ;
• Droit à l’oubli.

Les questions ci-dessous relèvent toutes de ce devoir d’information ² :

• Quelles données de quelles personnes traitez-vous et pourquoi ?
• Où avez-vous obtenu ces données personnelles ?
• Qui a accès à ces données personnelles ?
• À quelles fins sont-elles utilisées ?
• Pendant combien de temps seront-elles conservées ?
• À qui vos bénéficiaires peuvent-ils s’adresser s’ils ont des questions en la matière ?
• …

Etablir une convention type à conclure avec la personne au démarrage de la médiation, c’est se mettre en conformité avec le RGPD mais c’est également aborder toute la question de l’étendue du mandat qui est confié au médiateur de dettes : les droits et obligations de chacun, le transfert des informations aux créanciers et le secret professionnel, la fin de la médiation, la déontologie, etc …

Et entre temps qu’est-ce que je fais ?

Pas de panique entretemps, à défaut de preuve du consentement écrit (pour les « vieux » dossiers), le médiateur de dettes peut également invoquer le cadre légal dans lequel il travaille (les missions qui lui sont confiée par les pouvoirs publics).

Le registre des activités en médiation de dettes

Par ailleurs, sachez également que votre service ou votre institution devra remplir et compléter un « registre » pour vos activités en médiation de dettes ce qui implique de :

Faire la liste de toutes les données personnelles que votre service récolte dans vos dossiers. Cela dépend un peu d’un service à l’autre. Exemple : Nom, prénom, date de naissance, adresse, numéro de compte bancaire, situation familiale, diplôme, etc …
Préciser à quelles fins (pourquoi vous récoltez cette donnée là en particulier) : on peut être très précis ou se contenter de dire que la finalité c’est l’accompagnement des personnes en médiation de dettes et les statistiques à fournir aux autorités subsidiantes.
Préciser les principes de légitimité sur lequel la récolte et le traitement de ces données en médiation de dettes se fondent (voir annexe).
Déterminer qui a accès à ces données personnelles dans votre service
Déterminer pendant combien de temps elles seront conservées
Préciser quels sont les mesures de sécurité mises en place (armoires sous clef, codes d’accès, mots de passe pour les PC, etc)
Déterminer comment la personne peut avoir accès aux données et les faire rectifier

1
Le RGPD distingue six bases juridiques différentes : le consentement, le contrat, le respect d’une obligation légale, la sauvegarde d’un intérêt vital, l’exécution d’une mission d’intérêt public et l’intérêt légitime poursuivi par le responsable du traitement ou par un tiers.
2
En principe votre service ou votre institution devrait reprendre les réponses à ces questions dans un document (charte ou règlement sur la protection de la vie privée) qui doit être publié de manière à ce que toutes les personnes intéressées puissent disposer à tout moment de toutes les informations souhaitées.