Rappel du bon usage de la Référence unique du mandat du Prélèvement SEPA
Il est bon parfais de rappeler les règle de base sur la RUM (Référence Unique de Mandat). Vous trouverez ci-après la documentation éditée par le CFONB sur le Bon usage du Prélèvement SEPA : Référence Unique du Mandat (RUM)
Extrait : » Dans le cadre du prélèvement SEPA, chaque prélèvement doit comprendre une référence unique de mandat [RUM] qui identifie de façon unique, pour un créancier donné, chaque mandat signé par chaque débiteur. Le créancier attribue, sous sa seule responsabilité cette référence unique de mandat dans le respect des exigences techniques (maximum 35 caractères « latins » ; l’espace étant accepté et comptant pour un caractère).
Certains créanciers ont pensé que les données les plus simples à utiliser pouvaient reposer sur tout ou partie d’un IBAN.
Cette solution est à proscrire pour un ensemble de raisons prudentielles et légales.
En effet, ces « données personnelles » sont considérées comme « sensibles» car elles pourraient être détournées à des fins de fraude ou d’usurpation d’identité et permettre d’accéder aux comptes des personnes pour effectuer des opérations non autorisées. Sont considérées comme « sensibles » toutes les données personnelles telles que par exemple, les coordonnées bancaires, le numéro de passeport, le numéro de carte nationale d’identité, numéro de carte de paiement, etc.
Au plan réglementaire, la loi Informatique et Liberté du 6 janvier 1978 modifiée s’applique à tout responsable de traitement qui traite des données personnelles. « Constitue une donnée personnelle toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres » (art 2 de la loi de 1978). Pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification dont dispose, ou auxquels peut avoir accès, le responsable du traitement ou toute autre personne. Une personne est identifiée directement lorsque par exemple son nom (prénom, adresse, email, photographie, etc.) apparaît dans un fichier. Elle est identifiable lorsqu’un fichier comporte des informations permettant indirectement son identification (numéro de téléphone, numéro d’identifiant interne, numéro de carte bancaire, empreinte biométrique, etc.). Le fait de rendre des numéros de compte, de carte, de banque (etc.) facilement accessibles, donc susceptibles d’être captés, volés ou même simplement consultés par des tiers non autorisés, porte atteinte au principe de sécurité et de confidentialité… »