La Centrale d’Information sur les Risques appartenant à la Banque d’Espagne (connue indifféremment comme CIR o CIRBE) a une grande importance en Espagne en ce qui concerne la protection des données. Lorsque l’on dit que c’est à caractère public et confidentiel, nous ne parlons pas d’un registre commun de débiteurs défaillants, mais d’une grande banque de données dans laquelle se recueillent tous les risques de crédits, aussi bien ceux directs qu’indirects, que les établissements financiers ont avec leurs clients, indépendamment du fait que ses titulaires soient au courant ou non du paiement.
Dans le cas où l’on veut savoir si un particulier, qu’il soit client ou pas, a des impayés, de quelles quantités et avec quels établissements, cette base de données ne sera pas la plus adaptée. La CIRBE informe seulement les établissements des données relatives à ses clients et uniquement sur les risques, les avals et les crédits, sans préciser desquels il s’agit, ni dans quelles conditions ils se trouvent.
C’est important de souligner, en matière de protection des données, que la CIRBE, étant un fichier de propriété publique, doit se considérer comme un fichier exclu du régime établi par l’article 29 de la LOPD. Pour cette raison, les obligations disposées dans cet article ne lui seront pas d’application, même si l’Agence de Protection des données- en considérant que cette exclusion n’implique pas celle du reste de la LOPD en rapport avec la question de la responsabilité des entreprises qui déclarent à la CIRBE- a sanctionné dans de nombreuses procédures le non-respect du principe de qualité des données, aussi bien en raison d’inscriptions irrégulières qu’en raison du maintien de l’information inexacte dans celui-ci.
Parmi les objectifs de la CIRBE, ressortent celui consistant à fournir aux établissements financiers des informations importantes pour leurs activités et celui de permettre à la banque d’Espagne l’exercice adapté de ses compétences de supervision et d’inspection.
Pour ce qui est de son fonctionnement, les établissements financiers sont obligés de :
- Déclarer mensuellement à la CIRBE, toutes les situations de risques dans lesquelles elles se trouvent,
- Apporter les données nécessaires pour identifier les personnes avec lesquelles sont entretenus, directement ou indirectement, ces risques de crédits,
- Ainsi que les caractéristiques de ces personnes et les risques, sans avoir la possibilité d’inclure des données spécialement protégées, réglementés à l’article 7 de la LOPD.
En règle générale, le montant minimum à déclarer sera de 6000 euros. Pour des prêts inférieurs à cette quantité, l’information ne restera pas enregistrée sur la CIRBE.
Mensuellement, la CIRBE informera les établissements déclarants des titulaires que ceux-ci ont déclaré.
De même et de manière gratuite, les titulaires des données pourront s’informer des informations présentes dans cette Centrale de Risques, afin de détecter les erreurs possibles, en exerçant leurs droits d’accès ou de modification de celles-ci auprès de l’établissement qui les a déclarées ou directement auprès de la Banque d’Espagne.
Depuis l’adoption de la Loi instaurant des Mesures pour la Réforme du Secteur Financier (Ley 44/2002), la déclaration des données sur les risques concernant les personnes physiques que les établissements déclarants réalisent à la CIRBE, n’a pas besoin du consentement des personnes physiques. Néanmoins, les établissements doivent informer de ladite déclaration obligatoire et de sa portée. Tout cela, sans préjudice de l’information qu’ils doivent fournir aux personnes physiques en fonction de ce qui est établi dans le paragraphe 1 de l’article 5 de la LOPD.
D’un autre côté, l’établissement auprès duquel est sollicité un prêt ou toute autre opération de risque, n’aura pas besoin de l’autorisation expresse de son client pour accéder aux données qu’aura sur lui la CIRBE, même s’il faudra l’informer par écrit du droit des établissements à les consulter.
Finalement, en ce qui concerne la conservation des données enregistrées sur la CIRBE, elles se conserveront durant dix ans, en s’annulant une fois ce délai passé. Néanmoins, elles pourront se conserver indéfiniment à travers les procédures qui ne permettent pas l’identification de l’affecté, en raison de ces valeurs historiques, statistiques ou scientifiques.
Ce délai de conservation diffère de celui de six ans établi par le RD LODP à son article 41.2 pour les fichiers de solvabilité patrimoniale de crédits ou de débiteurs défaillants.
Jesús Sánchez
Cet article ne relève pas du conseil juridique