Dans le cadre de l’application pragmatique du Règlement RGPD, la FIGEC a souhaité proposer à ses entreprises membres de suivre les recommandations suivantes pour les métiers de gestion de créances en marque blanche, de recouvrement en nom propre et d’acquisition de créances. Ces initiatives ont été présentées à la CNIL.
Dans son Code de Conduite relatif au traitement des données à caractère personnel, entré en vigueur le 1er janvier 2005, la FIGEC a souhaité décliner auprès de ses adhérents les grands principes de la loi de 2004 portant réforme de la loi de 1978. Ce Code de Conduite sera amené à évoluer, en application des dispositions de l’article 7 – 6.6 du décret n°2018-687 du 1er août 2018.
Dans cette perspective, avec l’entrée en vigueur du Règlement Européen en date du 25 mai 2018, ainsi que de la Loi du 20 juin 2018 relative à la protection des données personnelles, la FIGEC ambitionne d’ores et déjà d’actualiser ses recommandations vis-à-vis de ses adhérents pour les 3 métiers suivants : gestion en marque blanche, recouvrement en nom propre et acquisition de créances.
Pour mémoire, nous vous rappelons la définition des 3 métiers mentionnés ci-dessus :
1 – Gestion et recouvrement « en marque blanche » : gestion de créances pour compte de tiers donneurs d’ordre par intervention directe en leur nom (ex : relance client avant ou autour de l’échéance). Ce type de gestion implique en général :
- L’application stricte et sans marge de manœuvre de processus de gestion définis par le donneur d’ordre,
- L’existence et l’application de consignes strictes données par le donneur d’ordre au prestataire, dont les contenus précis des messages à délivrer aux clients débiteurs,
- Très souvent, l’utilisation des outils du donneur d’ordre, parfois combinés avec les outils de la société de recouvrement.
2 – Gestion et recouvrement pour compte de tiers « au nom de la société de recouvrement », par l’intermédiaire d’un mandat de recouvrement, au sens de l’article L.124.1 du Code des Procédures Civiles d’Exécution :
- La société de recouvrement dispose de toute l’autonomie pour déployer les moyens, les procédures requises selon la fréquence qui lui est propre, pour solutionner le dossier de recouvrement.
- La société de recouvrement est tenue légalement d’adresser une information au débiteur contenant des informations précises sur le mandat qui la désigne pour procéder au recouvrement pour compte du donneur d’ordre.
- La société de recouvrement déploie les savoir-faire qui lui sont propres et qui ne sont pas maîtrisés par le client, Elle détermine elle-même les moyens en travaillant sur les outils spécialisés qui lui sont propres, spécifiques à la profession et sous sa propre responsabilité.
- La société de recouvrement est seule responsable des messages transmis, du contenu des courriers en son nom et de toutes les conséquences juridiques qui en découlent, d’où l’obligation d’une Responsabilité Civile Professionnelle et de la garantie financière pour les entreprises membres de la FIGEC.
3 – Acquisition de créances: les créances sont acquises par la société de recouvrement qui en devient propriétaire. La société de recouvrement, une fois les créances acquises, agit directement en son propre nom en qualité de créancier, et procède à une notification au débiteur. Elle dispose bien entendu d’une autonomie totale pour traiter les créances qui lui appartiennent.
La FIGEC base ses recommandations et son raisonnement notamment sur l’avis 1/2010 du groupe des CNIL européennes (G29) du 16 février 2010 repris par la CNIL dans le guide du sous-traitant édition septembre 2017, qui précise le faisceau d’indices à utiliser dans le cadre d’une analyse au cas par cas :
- niveau d’instruction donné par le client au prestataire : quelle est l’autonomie du prestataire dans la réalisation de sa prestation ?
- degré de contrôle de l’exécution de la prestation : quel est le degré de « surveillance » du client sur la prestation ?
- valeur ajoutée fournie par le prestataire : le prestataire dispose-t-il d’une expertise approfondie dans le domaine ?
- degré de transparence sur le recours à un prestataire : l’identité du prestataire est-elle connue des personnes concernées qui utilisent les services du client ?
ainsi que sur les travaux menés par la FENCA (Federation of European National Collection Associations) dans le cadre de ses échanges avec la Commission Européenne.
En conséquence,
- Pour les métiers de gestion en marque blanche : la société de recouvrement est bien sous-traitante du donneur d’ordre au sens du RGPD. A ce titre, elle se conforme à l’ensemble des instructions, procédures, contrôles, édictés par le donneur d’ordre en matière de gestion.
- Pour les métiers du recouvrement de créances : la société de recouvrement détermine seule et en toute autonomie les moyens, l’organisation, étant entendu que la finalité du mandat est toujours le recouvrement. Le niveau d’instruction préalable du créancier est peu élevé, le mandat est général : il se cantonne le plus souvent à l’objectif de recouvrement et éventuellement à une durée maximum de mission. Le niveau de contrôle exercé sur la prestation est lui aussi variable et souvent très général voire limité au suivi de la performance. La société de recouvrement déploie son expertise, travaille en transparence. A ce titre, la société de recouvrement a qualité de responsable du traitement au titre du règlement RGPD.
- Pour l’acquisition de créances : la société de recouvrement devient créancière et est donc responsable de traitement agissant en toute autonomie.
Cette position est déjà officialisée par neuf Data Protection Agency en Europe à l’issue de la publication du Règlement Européen.
En outre, à titre dérogatoire, et pour le cas où la société de recouvrement, même en mandat de gestion, serait totalement contrôlée et supervisée par son donneur d’ordre notamment concernant les données personnelles, en particulier dans le cas de certains secteurs d’activités, elle pourrait avoir qualité de sous-traitant.
Pour autant, la FIGEC rappelle à ses adhérents que le niveau d’exigence en matière de sécurité et protection de la donnée personnelle est identique que l’on soit Responsable du Traitement ou Sous-Traitant.