• Home  / 
  • DELIBERATION 2005-198

DELIBERATION 2005-198

By Thiébaut Devergranne / 5 years ago

La Commission nationale de l'informatique et des libertés,

Vu la Convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;

Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et la libre circulation de ces données ;

Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés modifiée par la loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel, et notamment son article 25-4° ;

Vu la loi n° 2004-801 du 6 août 2004 susvisée et notamment son article 20 ;

Vu la déclaration effectuée par la société EXPERIAN le 9 octobre 2001, modifiée le 16 avril 2004, relative à un traitement ayant pour objet la mutualisation de la détection des incohérences dans les demandes de crédit;

Vu la demande d'autorisation présentée par la société BANQUE ACCORD le 24 juin 2005 ;

Après avoir entendu M. Philippe Nogrix, commissaire, en son rapport, et Mme Catherine Pozzo di Borgo, commissaire du Gouvernement adjoint, en ses observations,

Formule les observations suivantes :

La société BANQUE ACCORD a saisi la CNIL d'une déclaration de modification relative à la mise en oeuvre d'un traitement de données à caractère personnel ayant pour finalité la mutualisation de la détection des incohérences dans les demandes de crédit par l'adhésion au service "detect" mis en oeuvre par la société EXPERIAN.

L'objet de la modification porte sur l'utilisation du service "detect" commercialisé par la société EXPERIAN qui centralise les demandes de crédit afin de détecter les incohérences éventuelles dans les déclarations des demandeurs au crédit.

- Sur la qualité de responsable de traitement de la société BANQUE ACCORD

La Commission relève que le traitement déclaré par la société BANQUE ACCORD repose sur l'accès à une base centralisée mise en oeuvre par la société EXPERIAN. Cette base de données a fait l'objet d'une déclaration de la société EXPERIAN auprès de la CNIL le 9 octobre 2001 et d'une déclaration de modification le 16 avril 2004 qui ont donné lieu à la délivrance de récépissés respectivement les 11 décembre 2001 et 4 octobre 2004.

La Commission rappelle qu'aux termes de l'article 3-I de la loi du 6 janvier 1978 modifiée en août 2004 le responsable de traitement est "la personne, l'autorité publique, le service ou l'organisme qui détermine ses finalités et ses moyens."

La Commission constate que la société BANQUE ACCORD envisage d'utiliser ce traitement dans le cadre de ses propres applications de gestion de crédits qui constitue son activité principale. Elle est donc seule responsable du choix d'avoir recours aux services proposés par la centrale d'informations EXPERIAN et crée de ce fait les conditions dans lesquelles les données de ses clients vont être collectées et traitées ultérieurement, détermine les moyens à mettre en oeuvre aux fins d'accéder aux informations communiquées par EXPERIAN et la façon dont elles vont être intégrées dans ses propres systèmes d'information.

La Commission considère en conséquence que la société BANQUE ACCORD a la qualité de responsable de traitement au sens de l'article 3-1 de la loi du 6 janvier 1978 modifiée.

- Sur le régime applicable au traitement déclaré par la société BANQUE ACCORD

La Commission rappelle que relèvent de la procédure de demande d'autorisation prévue par les dispositions de l'article 25-4° de la loi du 6 janvier 1978 modifiée en août 2004 les traitements susceptibles, du fait de leur nature, de leur portée ou de leurs finalités, d'exclure des personnes du bénéfice d'un droit, d'une prestation ou d'un contrat en l'absence de toute disposition législative ou réglementaire.

La Commission considère que le régime de l'autorisation de l'article 25-4° s'applique au traitement mis en oeuvre par la société BANQUE ACCORD, dès lors que le contrôle de cohérence qui est effectué afin de permettre le contrôle du risque de crédit, en particulier celui découlant des fausses déclarations ou erreurs présentes dans les demandes de crédit présentées par une même personne est de ce fait susceptible, de par sa nature et sa portée, d'exclure une personne du bénéfice d'un contrat de crédit.

La Commission estime cependant, s'agissant des caractéristiques propres au service "detect", directement mis en oeuvre par EXPERIAN, être tenue par les dispositions de l'article 20 de la loi du 6 août 2004 n° 2004-801 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel et modifiant la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, fixant les mesures transitoires selon lesquelles :

"Les responsables de traitements de données à caractère personnel dont la mise en oeuvre est régulièrement intervenue avant la publication de la présente loi disposent, à compter de cette date, d'un délai de trois ans pour mettre leurs traitements en conformité avec les dispositions de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, dans leur rédaction issue de la présente loi. Lorsque cette mise en conformité n'a pas pour effet de modifier les caractéristiques des traitements mentionnées à l'article 30 de la loi n° 78-17 du 6 janvier 1978 précitée, dans sa rédaction issue de la présente loi, les traitements sont réputés avoir satisfait aux dispositions prévues au chapitre IV."

Il en résulte que le traitement "detect" opérant une mutualisation de données couvertes par le secret bancaire et déclaré par la société EXPERIAN sous l'empire de l'ancienne loi a été régulièrement mis en oeuvre et qu'en conséquence l'appréciation de la Commission ne peut reposer sur la régularité du traitement "detect".

La Commission garde toutefois tout pouvoir d'appréciation sur la partie du traitement directement mise en oeuvre par la société BANQUE ACCORD, à savoir la collecte des données, leur transmission à EXPERIAN et la réutilisation des données communiquées par EXPERIAN, traitements n'ayant pas fait l'objet de formalités sous l'empire de l'ancienne loi et relevant, en raison de leur finalité, du régime de l'autorisation de l'article 25-4° de la loi.

La Commission rappelle qu'aux termes de l'article 10 alinéa 2 de ladite loi "aucune décision produisant des effets juridiques à l'égard d'une personne ne peut être prise sur le seul fondement d'un traitement automatisé de données destinées à définir le profil de l'intéressé ou à évaluer certains aspects de sa personnalité" et qu'en application des dispositions de l'article 6-3° les données traitées doivent être "pertinentes, adéquates et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs".

Il lui appartient également de s'assurer du respect des conditions d'utilisation du service "detect" par les adhérents. Ces conditions d'utilisation sont définies dans une charte ayant valeur contractuelle et faisant peser sur les adhérents diverses obligations, dont notamment :

- l'obligation de tout adhérent potentiel de déclarer au préalable le traitement auprès de la CNIL (article 3.1 et 6) ;

- l'obligation de recueillir l'autorisation expresse et préalable des clients des adhérents avant toute transmission de la demande de crédit à EXPERIAN (annexe 13 bis et article 6) ;

- la prohibition de l'utilisation des données à des fins de marketing direct (article 4.1 et 5.1) ;

- l'obligation de mettre en oeuvre les mesures techniques, d'organisation et de sécurité de nature à prévenir les accès non autorisés (article 4.1 et 4.2) ;

- la non-divulgation des informations communiquées à de tiers (article 4.2) ;

L'obligation de corriger les données qui s'avèrent inexactes (article 5 K).

- Sur le recueil du consentement des personnes par la société BANQUE ACCORD

La Commission relève que le dossier présenté s'il comporte l'insertion d'une clause d'information désignant expressément le fichier central d'EXPERIAN comme destinataire des données, ainsi que la référence à la finalité de contrôle des incohérences, ne fait aucune mention de l'existence d'un rapprochement avec d'autres données communiquées par le client à d'autres établissements de crédit, ne comporte pas de case à cocher permettant de formaliser le caractère exprès du consentement requis et ne fait pas référence au droit d'opposition.

Or, s'il est admis que le secret bancaire tel que posé par les dispositions de l'article L511-33 du code monétaire et financier n'a qu'un caractère relatif dans les rapports de la banque et du client, il apparaît à la Commission que les clauses dites de "partage du secret bancaire" insérées dans les contrats de crédit ne peuvent avoir pour effet de lever le secret bancaire de manière générale, ôtant de ce fait tout caractère de confidentialité à l'information recueillie par le banquier et pouvant même permettre des diffusions publiques. Les atteintes au secret bancaire doivent donc être exceptionnelles, tant au regard de sa protection légale, que de celle de la vie privée.

La Commission considère dans ces conditions que la "levée" du secret bancaire ne peut être de portée générale, mais strictement limitée dans le cadre d'un partage tant au regard des finalités que des destinataires et que les éléments de définition de ce partage impliquent une réelle transparence, seule de nature à assurer un consentement éclairé de la personne concernée.

La Commission considère de surcroît que la centralisation d'informations couvertes par le secret bancaire accessibles à un nombre indéterminé d'établissements de crédit, non liés entre eux par une communauté de risques, rend nécessaire un recueil exprès du consentement, par le biais d'une case à cocher ou tout autre moyen permettant d'établir le caractère exprès du consentement.

La Commission considère dès lors que les conditions du partage, les destinataires et l'usage de l'information partagée, ainsi que la finalité du partenariat liant les membres du groupe, doivent être définies contractuellement au moment où le client délie le banquier de son obligation de secret et que la manifestation de volonté du client doit se traduire par l'insertion d'une case à cocher.

Il résulte de ce qui précède, s'agissant de la finalité du partage et des destinataires que les mentions d'informations doivent mentionner explicitement que les éléments présentés par les clients des adhérents du service "detect" au soutien d'une demande de crédit seront rapprochés des éléments qui avaient pu être antérieurement déclarés auprès d'un autre établissement de crédit également adhérent du service "detect" d'EXPERIAN et que le client doit également être informé que la liste des adhérents du service "detect" peut lui être communiquée sur simple demande.

- Sur les mesures relatives à l'exercice du droit d'accès des personnes

Dans la mesure où la société EXPERIAN est la seule détentrice de l'information mutualisée donnant lieu à la production éventuelle de codes d'incohérences, la Commission considère que les demandeurs de crédit devront être systématiquement informés du fait que le traitement sera effectué par la société EXPERIAN et que le droit d'accès pour les données centralisées devra s'exercer directement auprès d'EXPERIAN, sans préjudice de l'exercice du droit d'accès et de rectification auprès de la société BANQUE ACCORD.

Les mentions d'information devraient en conséquence également comporter mention de l'adresse où s'exerce le droit d'accès, en l'occurrence celle de la société EXPERIAN.

N'autorise pas, en l'état, la société BANQUE ACCORD à mettre en oeuvre un traitement de données à caractère personnel ayant pour finalité la mutualisation de la détection des incohérences dans les demandes de crédit par l'adhésion au service "detect" mis en oeuvre par la société EXPERIAN.

Le président, Alex TURK.

About the author

Thiébaut Devergranne

Thiébaut Devergranne est docteur en droit et consultant. Il travaille en droit des nouvelles technologies depuis plus de 10 ans, dont 6 passees au sein des services du Premier ministre. En savoir plus.

Click here to add a comment

Leave a comment: