ESPAGNE
Cette note concerne le régime applicable au service public dénommé Central de información de riesgos (CIR) , la centrale d'information sur les risques, gérée par le Banco de España .
Des fichiers négatifs existent par ailleurs dans ce pays : ASNEF - EQUIFAX et Experian.
1. Objet du fichier, texte instituant la Central de información de riesgos (CIR)
Le régime de la CIR est fixé par la loi n° 44 du 22 novembre 2002 portant mesures de réforme du système financier.
Cette centrale a pour but de recueillir auprès des intermédiaires financiers les informations sur les risques de crédit pour faciliter l'exercice de leur activité, permettre aux autorités compétentes en matière de supervision prudentielle d'accomplir leur mission et à la Banque d'Espagne de mener à bien les siennes.
2. Organisme gestionnaire et organismes contributeurs
• Nature et rôle de l'organisme
gestionnaire et des organismes contributeurs
La CIR est gérée par la Banque d'Espagne qui collationne des informations venues d'« entités déclarantes » soumises à une obligation de déclaration à savoir :
- la Banque d'Espagne elle-même ;
- les intermédiaires soumis à l'obligation de lui fournir des informations :
institutions de crédit espagnoles,
succursales situées en Espagne des institutions de crédit étrangères,
fonds de garantie de dépôts ;
sociétés de garantie réciproque ;
et entités désignées par le ministère de l'Économie sur proposition de la Banque d'Espagne.
Cette obligation concerne la totalité de leur activité, notamment celle réalisée par des succursales situées à l'étranger. Pour les banques étrangères qui opèrent en Espagne, elle ne concerne que celles de leurs agences situées dans ce pays.
• Délai de communication des
données
Les entités déclarantes sont tenues de faire une déclaration mensuelle.
La circulaire de la Banque d'Espagne relative à la CIR distingue entre :
- la communication mensuelle de données relatives aux risques en fin de mois qui advient dans les dix premiers jours ouvrables du mois suivant ;
- et la communication des données concernant les titulaires eux-mêmes (nom, adresse...) qui s'effectue le lendemain de la communication des données relatives aux risques correspondant au mois antérieur.
3. Contenu du fichier
Les données relatives à l'identification du client consistent notamment en :
- l'équivalent du numéro national d'identification ;
- les noms, prénoms et raisons sociales ;
- le domicile et la date de naissance ;
- pour les non-résidents le numéro du passeport ou de document d'identité, les références fiscales et les numéros de compte ;
- le type d'activité économique qu'il exerce et le secteur auquel il appartient ;
- le code de la société à laquelle appartient une succursale.
• Nature des données
enregistrées
En vertu de la loi, les entités déclarantes sont notamment tenues de communiquer les informations concernant l'endettement de leurs clients.
Les données concernant les administrations publiques espagnoles lui sont aussi adressées avant que la Banque d'Espagne ne les communique au ministère chargé des Entreprises et aux communautés autonomes.
Au sens de la loi, le risque crédit s'entend comme l'éventualité qu'une entité déclarante puisse supporter une perte en conséquence du non-respect de ses obligations par une de ses contreparties en ce qui concerne des opérations de prêts, crédit, escompte, émission de titres, contrats de garantie, accords concernant des instruments financiers.
Le régime de communication des données est déterminé par le ministre de l'Économie.
En pratique, selon une circulaire de la Banque d'Espagne, sont enregistrées à la CIR les opérations qui peuvent entraîner un risque crédit, hormis le risque de contrepartie correspondant à des instruments financiers dérivés. Il s'agit :
- de risques directs : prêts ou crédits, d'argent ou de signature, concédés ou assumés par l'entité déclarante avec ses clients, ainsi que les opérations de prise à terme qu'elle effectue, à l'exclusion de celles concernant les titres émis par l'État ;
- et de risques indirects contractés avec ceux qui garantissent ou se portent caution d'opérations de risque direct.
L'information sur les risques précise :
- le type de risque : crédits commerciaux, financiers, valeurs représentatives de dette, prise à terme, cautions... ;
- la monnaie dans laquelle le risque est souscrit ;
- le délai moyen de l'opération ;
- les garanties existantes, qu'elles soient totales ou partielles ;
- et la situation du risque (normale, caractérisée par l'existence d'un impayé, d'une suspension des paiements, d'une faillite...).
Les risques sont, pour le moment, agrégés pour chaque personne physique ou morale par types d'opérations de même nature.
Les données susceptibles d'être utilisées datent de moins de cinq ans.
À compter de 2014, les déclarations seront détaillées et préciseront, pour chaque opération le type de prêt, l'échéance, le type d'intérêt, les garanties et la date de signature.
• Conditions posées pour
l'enregistrement des données
Le montant à compter duquel les entités déclarantes doivent communiquer à la CIR les données concernant le « risque direct total » encouru par un intéressé est de :
- 6 000 € pour les engagements concernant les particuliers résidents ;
- et 300 000 € pour les engagements concernant les non résidents.
Ces plafonds ne s'appliquent pas en cas de retard de paiement, d'impayé ou de faillite.
• Délai de conservation des
données
Les données relatives aux personnes physiques sont conservées pendant 10 ans à compter de la date à laquelle elles se réfèrent.
Les données dotées d'un intérêt historique ou statistique peuvent toutefois être conservées indéfiniment, sous réserve que l'identification des personnes qu'elles concernent ne soit pas possible.
4. Régime de consultation du fichier
• Existence d'une obligation de consultation
par les prêteurs
et sanction
Il n'existe pas d'obligation de consultation de la CIR .
• Liste des personnes autorisées
à consulter le fichier
Les entités déclarantes reçoivent de la CIR :
- un rapport mensuel sur l'endettement total de chacun des intéressés au titre desquels elles ont communiqué des données à la centrale ;
- des informations adressées à leur demande sur les personnes au sujet desquelles elles n'ont pas transmis d'information si celles-ci leur ont demandé un prêt ou ont envisagé une autre opération comportant un risque, ou encore parce que ces personnes figurent en qualité de garantes d'une opération de crédit. Lorsqu'elle demande des informations à la CIR , l'entité déclarante doit informer l'intéressé personne physique par écrit de cette démarche.
Dans ces deux types de communications de la CIR , les données sont agrégées par types d'opération et ne mentionnent pas le nom de l'établissement de crédit qui est concerné par chaque opération financière.
• Limitation de l'objet de la
consultation
Les informations confidentielles communiquées par les entités déclarante à la CIR ne peuvent être utilisées que pour :
- l'octroi et la gestion de crédit ;
- et l'application des règles relatives à la concentration des risques.
Celles concernant les personnes physiques doivent être détruites dès qu'elles ne sont plus utiles.
La Banque d'Espagne ne peut communiquer les données à des entités étrangères que si celles-ci sont soumises à un régime de protection des données équivalent au régime espagnol.
5. Protection des données personnelles et de la vie privée
• Nature du texte fixant le
régime
La loi n° 44 du 22 novembre 2002 détermine le régime de protection des données personnelles.
• Droit d'être informé de
l'enregistrement des données
Les entités déclarantes sont tenues d'informer les personnes physiques de la déclaration obligatoire qu'elles effectuent et de sa portée.
Elles doivent aussi (voir supra ), faire part aux intéressés des demandes qu'elles adressent à la CIR à leur sujet.
• Droit d'accès aux
données
Toute personne physique ou morale peut, dans les 10 jours ouvrés à compter de la réception de sa demande, accéder aux données de la CIR qui la concernent. Elle peut aussi obtenir le nom et l'adresse des personnes qui ont obtenu de la CIR ces mêmes informations.
• Droit d'obtenir la rectification des
données
Toute personne physique ou morale peut également demander la rectification ou la destruction des données la concernant en adressant à la Banque d'Espagne une demande explicitant les raisons qu'elle invoque. Cette banque transmet les demandes dans les quinze jours ouvrables à compter de leur réception à la ou aux entité(s) déclarante(s) intéressée(s).
Ces entités doivent donner accès aux informations qu'elles détiennent dans le mois qui suit la réception de la demande de rectification ou d'effacement des données qui leur est adressée et modifier les données erronées dans les vingt jours ouvrables. Elles sont tenues de motiver leurs décisions de refus.
Les personnes physiques peuvent porter leur réclamation à l'encontre d'une décision de refus d'accès ou de rectification ou encore lorsque la réponse n'est pas intervenue dans le délai légal devant l'Agence chargée de la protection des données personnelles. Celle-ci en fait part immédiatement à la Banque d'Espagne afin qu'elle ajourne toute communication de ces données. La même suspension de la communication des données s'applique en cas de contestation judiciaire de l'exactitude des données. La Banque d'Espagne en fait part à toutes les entités déclarantes auxquelles elle aurait, dans les six mois précédant, communiqué ces données. Le délai de suspension est prolongé de deux mois en cas de refus de la part de l'entité déclarante afin de prendre en compte la décision du juge ou celle de l'Agence chargée de la protection des données personnelles.
Le non-respect de l'obligation de transmettre des informations exactes à la CIR est susceptible d'être puni par l'Agence chargée de la protection des données personnelles comme une infraction très grave à la législation sur les établissements de crédit, d'une sanction consistant en :
- une amende d'un montant allant jusqu'à 1 % des ressources propres ou 1 million d'euros si ce pourcentage est inférieur à cette somme ;
- le retrait de l'autorisation de l'établissement ;
- une mise en garde publique publiée à l'équivalent du Journal Officiel .
L'Autorité peut aussi infliger simultanément ces trois sanctions ou seulement deux d'entre elles.
6. Prise en charge des frais de fonctionnement du fichier
L'accès au fichier est gratuit.
LES FICHIERS DE CRÉDITS POSITIFS