Société Géné­rale et données person­nelles

Ma banque m’a forcé la commu­ni­ca­tion de certaines infor­ma­tions person­nelles que j’ai trouvé forte­ment intru­sives et à priori inutiles à l’exé­cu­tion du contrat ou des méca­nismes anti-blan­chi­ment (entre autres détail de mes employeurs et de mes rému­né­ra­tions, alors que mes salaires et comptes actifs sont gérés par une autre banque). Cette demande était accom­pa­gnée par une réfé­rence à des articles de loi qui n’im­po­saient nulle­ment cette commu­ni­ca­tion.

8 novembre 2019 : J’ai me suis donc fendu d’une demande d’in­for­ma­tion formelle au titre du RGPD (oui, je suis ainsi).

Je l’ai fait de bonne foi, pour avoir l’in­for­ma­tion, la fouiller et la comprendre. Je pensais les banques carrées sur la gestion des données person­nelles et ne doutais pas qu’ils aient un fonde­ment à toute demande et tout stockage. Je cher­chais lequel. J’en ai été pour mes frais.

---

J’ai un accusé de récep­tion de ma demande le 12 novembre. Ils me font suivre un extrait des condi­tions géné­rales qui parle des données person­nelles, me signalent la possi­bi­lité d’ac­cé­der à certaines données depuis l’es­pace person­nel en ligne, et me confirment qu’ils me répon­dront sous un mois (le délai légal) à ma demande expli­cite.

En atten­dant cette réponse promise, je véri­fie les deux éléments reçus :

L’ex­trait des condi­tions géné­rales semble volon­tai­re­ment noyer le pois­son. Un premier article liste toute une série de données person­nelles, de l’iden­tité civile jusqu’à l’en­re­gis­tre­ment des appels et mes habi­tudes de vie (!!). Un second article liste toutes les fina­li­tés possibles et leur durée de vie maxi­mum. Aucun moyen de savoir quelle fina­lité est asso­ciée à quelle donnée, ce qu’ils stockent vrai­ment combien de temps et pourquoi.

L’ex­trait est tout de même éclai­rant puisque les données person­nelles auxquelles je fais réfé­rence n’y sont pas listées, ou alors sous un des multiples « etc. » très vagues. Gênant.

Je vais aussi véri­fier la rubrique adéquate de l’es­pace person­nel en ligne. Ce qu’on m’y présente est incom­plet et ne répond pas à ma demande. On ne m’y liste par exemple pas les infor­ma­tions person­nelle qu’on m’a forcé de remplir début novembre et sur lesquels portent expli­ci­te­ment ma demande. Je vois au moins deux autres manques flagrants dans les données (maigres) auxquelles on me donne accès. Malai­sant.

La réponse semble avoir été rédi­gée par un humain et non par un robot, ils me confirment que j’au­rai une réponse plus tard. J’at­tends donc avec confiance.

---

Et… rien.

Un mois après, aucune réponse malgré leur accusé de récep­tion.

• Données incom­plètes dans leurs méca­nismes d’ac­cès ;
• Mentions légales d’in­for­ma­tion incom­plètes et inutiles en ce qu’elles ne permettent pas d’at­ta­cher une fina­lité et une durée de conser­va­tion à une donnée, ni de connaitre exac­te­ment l’ex­haus­ti­vité des données récol­tées ;
• Refus impli­cite de commu­ni­ca­tion à ma requête.

Moi qui pensais les banques carrées…

Je relance donc le 9 novembre 2019 expli­ci­tant leur refus de réponse et deman­dant à être contacté dans les quelques jours pour régler la situa­tion. Je n’au­rai aucune réponse, ni par télé­phone ni par email.

---

Après le presque double­ment du délai légal, le 6 janvier 2020, je tente un autre canal de commu­ni­ca­tion et j’in­ter­pelle la société sur Twit­ter

Bon @Socie­teGe­ne­rale @SG_etvous après deux mois j’ai attendu assez long­temps. Comment se fait-ce que vous refu­siez de répondre aux requêtes RGPD dont vous accu­sez pour­tant récep­tion ?

https://twit­ter.com/edasfr/status/1213427075769655297

J’ob­tiens là un humain en quelques heures. Ne pas respec­ter la loi est une chose, lais­ser un message public sans réponse en est une autre.

Après confir­ma­tion de mon iden­tité et rappel des échanges : « Nous rappro­chons de nos inter­lo­cu­teurs en interne afin qu’un point soit fait au plus vite à ce sujet ».

J’at­tends donc de nouveau

---

Une semaine après, le 13 janvier 2020, rien de neuf. Ni par télé­phone, ni par email, ni par twit­ter. Je relance donc le compte Twit­ter vu que c’est le seul canal sur lequel j’ai des réponses.

Bonjour Eric, nous sommes navrés de cette situa­tion et des complexi­tés tech­niques rencon­trées pour appor­ter une réponse à vos demandes. Les équipes en charge nous ont bien confirmé les avoir prises en charge. Nous faisons le point avec elles et vous tenons informé.

Message privé twit­ter par @SG_etvous

S’il y a une complexité tech­nique telle qu’il faille plus de deux mois pour répondre à une simple demande d’in­for­ma­tion pour laquelle ils ont léga­le­ment un mois pour répon­dre… C’est inquié­tant.

Échaudé par les absences de réponse répé­tées, j’in­siste pour avoir un délai. Je l’ob­tiens le lende­main, mardi 14 janvier 2020 :

Bonjour Eric, les équipes en charge nous ont assuré vous appor­ter une réponse d’ici la fin de cette semaine au plus tard.

J’at­tends donc (de nouveau)

---

Nous sommes désor­mais le jeudi 23 janvier (je mets à jour le billet ce jour), presque 10 jours plus tard, et je n’ai rien de neuf.

Au moins je sais que ma demande a été reçue et prise en trai­te­ment, plusieurs fois. Je ne peux pas consi­dé­rer autre chose qu’un refus de réponse volon­taire, illé­gal. Pire, j’ai l’im­pres­sion qu’on me prend pour un imbé­cile.

Je ne sais pas pourquoi j’ai temps attendu avant de rédi­ger une plainte offi­cielle pour non respect de mes droits. Je vais corri­ger ça cette semaine et cette fois ci je ne remet­trai pas la chose à plus tard sur la base d’un énième « on vous répon­dra plus tard ». Soit j’ai une réponse adéquate et écrite à ma requête initiale, soit je ne l’ai pas. Le reste ne m’in­té­resse plus.

---

Tout ça n’a pas l’air clair et très propre du côté de la Société Géné­rale. Je vous incite donc à faire la même procé­dure auprès de votre banque.