Ibercaja Banco sanctionnée 300 000€ pour 47 consultations illégales du fichier de solvabilité d’une ancienne cliente. Le secteur bancaire français dans le viseur : consultations FICP/FCC post-contractuelles = violations RGPD massives. 87 sanctions CNIL en 2024 (+100%). Plus de relation = plus de consultation = amende garantie.
L’affaire qui terrorise le secteur bancaire
Le 1er octobre 2024, une bombe explose dans le secteur financier européen. L’Autorité espagnole de protection des données (AEPD) sanctionne Ibercaja Banco de 300 000€ pour avoir consulté 47 fois le fichier patrimonial d’une ancienne cliente entre mars 2022 et janvier 2023, alors que le contrat avait été résilié en février 2022.
Les chiffres qui font mal :
- 300 000€ d’amende (réduite à 180 000€ avec reconnaissance des faits)
- 47 consultations illégales du fichier Badexcug Experian
- 11 mois de consultations après fin de contrat
- Violation directe de l’article 6.1.f du RGPD
L’AEPD a tenu compte comme agravant de « la haute vinculación de la actividad del infractor avec la réalisation de traitements de données ». Message clair : les banques n’ont plus d’excuse.
FICP/FCC : la bombe à retardement française
Les consultations légales qui deviennent illégales
En France, les banques doivent obligatoirement consulter le FICP avant l’octroi d’un crédit, d’une autorisation de découvert ou l’attribution de moyens de paiement. Cette consultation obligatoire selon l’arrêté du 26 octobre 2010 s’appuie sur l’article 6.1.c du RGPD (obligation légale).
Le piège méconnu : Pour d’autres cas non obligatoires, les banques consultent le FICP dans leur « intérêt légitime » (art. 6.1.f du RGPD), mais les clients ont le droit de s’y opposer.
Problème massif : Une fois le contrat terminé, toute consultation devient illégale. Plus de relation contractuelle = plus de base juridique = violation RGPD.
Les pratiques françaises à risque immédiat
Consultations post-contractuelles dangereuses :
- Vérifications FICP après résiliation de crédit
- Consultations FCC sur anciens clients pour « veille risque »
- Analyses automatisées de solvabilité d’anciens prospects
- Contrôles préventifs avant recontact commercial
Le fichage interne parallèle : Pire que le FICP officiel, le fichage interne crée une « double sanction » maintenant une exclusion durable du crédit même après régularisation, contredisant l’objectif de réhabilitation du RGPD.
L’avalanche de sanctions 2024-2025
La CNIL française accélère
Chiffres explosifs 2024 : 87 sanctions prononcées (+100% vs 2023), 55 millions d’euros d’amendes, procédure simplifiée utilisée 3 fois plus. Focus particulier sur la prospection commerciale et les violations de courtiers en données.
Sanctions récentes qui font jurisprudence :
- CALOGA : 80 000€ pour formulaires trompeurs et prospection sans consentement
- Courtier en assurance : 180 000€ pour défaut de sécurité des données clients
- Hubside Store (groupe Indexia) : 525 000€ pour démarchage sans consentement valable
L’Europe vise le secteur financier
1,2 milliard d’euros d’amendes RGPD en 2024, avec « une observation accrue dans d’autres secteurs que les grandes entreprises technologiques ».
Exemples européens alarmants :
- Uber : 290M€ pour transferts de données hors UE sans garanties
- BNP Paribas : 10M€ en 2020 pour mesures de sécurité insuffisantes
- Crédit Mutuel : violation de données compromettant 10 millions de clients
Les violations cachées du quotidien
Consultations « automatiques » dangereuses
Systèmes à risque :
- Requêtes automatisées lors d’analyses de portefeuille
- Vérifications systématiques avant campagnes commerciales
- Synchronisation des bases prospects entre filiales
- Contrôles préventifs sur anciens « mauvais payeurs »
Conservation excessive des données
Le RGPD impose de ne conserver les données que pour une durée « nécessaire et proportionnée ». Un fichage interne excessif peut être contesté devant la CNIL.
Pratiques illégales courantes :
- Archives clients conservées « au cas où »
- Historiques de consultations FICP gardés indefiniment
- Profils « risque » internes sans limite de temps
- Données de garants conservées après fin de bail
Double sanction ACPR + CNIL : le cauchemar
Risque de sanctions croisées
L’ACPR sanctionne déjà massivement : Delubac, BMW Finance, Axa Banque pour manquements LAB/FT ET protection des données. Nouveauté 2025 : les deux autorités peuvent frapper simultanément.
Montants cumulés possibles :
- CNIL : jusqu’à 20M€ ou 4% du CA mondial
- ACPR : sanctions prudentielles + interdictions d’activité
- Total : destruction de l’établissement
Secteurs particulièrement exposés
Courtiers en crédit : Utilisateurs massifs de leads externes, consultations multiples des fichiers, conservation de données prospects.
Banques digitales : Automatisation des consultations, IA de scoring, transferts de données vers clouds non-européens.
Gestionnaires de patrimoine : Analyses clients étendues, fichiers prospects familiaux, consultations « préventives ».
Plan de survie immédiat
Audit d’urgence (semaine 1)
Cartographier les consultations sur 24 mois :
- Lister tous les accès FICP/FCC/fichiers externes
- Identifier les consultations post-contractuelles
- Documenter les bases légales manquantes
- Quantifier les violations potentielles
Purge des données illégales (semaine 2-3)
Actions immédiates :
- Effacer les données d’anciens clients sans base légale
- Arrêter les consultations automatiques post-contrat
- Nettoyer les profils « risque » internes
- Supprimer les archives disproportionnées
Blindage juridique (mois 1)
Documentation obligatoire :
- Registre des traitements mis à jour
- Procédures strictes de fin de relation
- Contrôles automatisés des consultations
- Formation urgente des équipes
Gouvernance renforcée (mois 2-3)
Nouvelles procédures :
- Validation juridique avant toute consultation
- Alerts automatiques sur consultations post-contrat
- Revue trimestrielle des accès aux fichiers
- Audits internes réguliers
Les signaux d’alerte
Vous êtes en danger si…
✅ Consultations automatiques de fichiers sur anciens clients
✅ Conservation de données au-delà de la relation contractuelle
✅ Partage d’informations entre filiales sans base légale
✅ Prospection basée sur des données de courtiers externes
✅ Fichage interne parallèle aux fichiers officiels
Les excuses qui ne marchent plus
❌ « On consulte pour sécuriser nos futures relations »
❌ « C’est automatique dans notre système »
❌ « On fait comme toutes les banques »
❌ « Ce sont des données publiques »
❌ « On n’a pas eu de plainte »
Bottom Line : Le réveil sera brutal
363 violations de données signalées par jour en moyenne en Europe (+8,3%). Plus de 30% des entreprises financières sanctionnées pour non-conformité RGPD en 2022.
L’équation est simple : Ibercaja = 300 000€ pour 47 consultations illégales. Combien de consultations post-contractuelles votre établissement fait-il par mois ?
Les autorités européennes ont trouvé leur nouvelle cible après les Big Tech. Le secteur bancaire français, habitué à la relative tranquillité, découvre que consulter = payer.
La question n’est plus « si » vous serez contrôlés, mais « quand » et « combien » cela vous coûtera.
L’affaire Ibercaja n’est que le début. Agissez maintenant ou payez demain.
