• Home  / 
  • DELIBERATION 2006-019

DELIBERATION 2006-019

By Thiébaut Devergranne / 5 years ago

La Commission nationale de l'informatique et des libertés,

Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel,

Vu la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données,

Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel, notamment l'article 25-4°,

Vu le code monétaire et financier, notamment ses articles L. 311-1, L. 313-1 et L. 511-1,

Après avoir entendu M. Philippe Nogrix, commissaire, en son rapport, et Mme Pascale Compagnie, commissaire du Gouvernement, en ses observations,

Formule les observations suivantes :

Les établissements de crédit recourent fréquemment, en matière d'octroi de crédit, à des traitements automatisés d'aide à la décision qui s'appuient sur des modèles de score.

L'objectif de ces modèles est d'identifier les caractéristiques personnelles des clients qui paraissent différencier le mieux la population des emprunteurs défaillants de ceux qui ne font pas défaut. Les établissements de crédit les construisent sur la base de techniques statistiques, à partir des données relatives aux contrats de crédit qu'ils ont précédemment conclus, des caractéristiques personnelles des emprunteurs et des défauts de remboursement constatés.

Ces traitements automatisés de données à caractère personnel ont pour objet d'une part d'évaluer, pour chaque personne qui présente une demande de crédit ou souhaite disposer d'un moyen de paiement adossé à un contrat de crédit, le risque statistique de défaillance qui lui est attaché, d'autre part de sélectionner les demandes qui correspondent à un niveau de risque de défaillance jugé satisfaisant. Ils sont, par voie de conséquence, susceptibles d'exclure, au moins de façon temporaire, une personne du bénéfice d'un contrat de crédit là où aucun texte législatif ou réglementaire ne prévoit une telle exclusion.

Dès lors, ces traitements automatisés relèvent du 4° du I de l'article 25 de la loi modifiée du 6 janvier 1978 et doivent, à ce titre, être autorisés par la CNIL.

En vertu du II de l'article 25 de la loi du 6 janvier 1978, la Commission peut autoriser par une décision unique une catégorie de traitements répondant aux mêmes finalités, portant sur des catégories de données identiques et ayant les mêmes catégories de destinataires. Il en résulte que le responsable d'un traitement conforme à cette décision unique d'autorisation pourra déclarer son traitement en adressant à la Commission un engagement de conformité par lequel il s'engage à respecter les termes de la décision de la CNIL.

Décide que les établissements de crédit qui souhaiteront se référer à la présente décision et adresseront, à cette fin, à la Commission une déclaration comportant un engagement de conformité pour leurs traitements qui répondent strictement aux conditions fixées dans la présente décision unique, seront autorisés à mettre en oeuvre ces traitements.

Article 1er : Finalités des traitements

Seuls peuvent faire l'objet d'un engagement de conformité par référence à la présente décision unique, les traitements automatisés relatifs à l'élaboration, à l'actualisation et à l'utilisation de systèmes de score, lorsque ceux-ci visent, d'une part à mesurer le risque statistique de défaut de remboursement qui correspond aux demandes de crédit ou de moyen de paiement adossé à un contrat de crédit présentées par des clients personnes physiques, d'autre part à sélectionner les demandes dont le risque, ainsi évalué, autorise la conclusion d'un contrat de crédit, sous la seule réserve de la production de pièces justificatives.

Les traitements visés par la présente décision unique peuvent être mis en oeuvre par les établissements de crédit pour l'attribution de crédits à la consommation, à l'habitat ou pour les besoins des professionnels, selon l'une des modalités suivantes :

- dans leurs agences commerciales ou autres services chargés de l'instruction des demandes de crédit,

- directement à partir de leur site Internet, sur l'initiative du client,

- dans les locaux d'une société commerciale, qualifiée d'apporteur d'affaires, pour les demandes de crédit à la consommation destinées à financer l'acquisition par le client emprunteur d'un bien particulier.

Ces traitements peuvent avoir les finalités suivantes ;

- la constitution des modèles de score à partir de l'analyse statistique de données, rendues indirectement nominatives, relatives à la situation personnelle, familiale, économique et financière des clients de l'établissement de crédit et, éventuellement, à l'historique du fonctionnement de leurs comptes bancaires et aux modalités de remboursement des crédits octroyés (définition des populations homogènes d'emprunteurs correspondant à des modèles spécifiques de score, des variables à retenir et des pondérations qui leur sont attachées) ;

- la vérification de la pertinence des modèles de score mis en oeuvre et leur actualisation, à partir des mêmes catégories de données ;

- l'évaluation du risque de défaut de remboursement correspondant à chaque dossier de crédit précité.

Les techniques statistiques utilisées pour l'élaboration et l'actualisation des modèles de score doivent régulièrement faire l'objet de tests de fiabilité et de pertinence.

L'utilisation du score est encadrée par des procédures écrites détaillées, destinées au personnel du réseau commercial.

L'article 10 de la loi modifiée du 6 janvier 1978 disposant, d'une part, que "aucune décision produisant des effets juridiques à l'égard d'une personne ne peut être prise sur le seul fondement d'un traitement automatisé de données destiné à définir le profil de l'intéressé", d'autre part, que "ne sont pas regardées comme prises sur le seul fondement d'un traitement automatisé les décisions prises dans le cadre de la conclusion (...) d'un contrat et pour lesquelles la personne concernée a été mise à même de présenter ses observations, ni celles satisfaisant les demandes des personnes concernées", le résultat du score n'a, en toute hypothèse, qu'un caractère indicatif lorsqu'il ne conduit pas à l'attribution du crédit sous la seule réserve de la production de pièces justificatives. Le respect de cette obligation légale est garanti par le suivi des règles de procédure précitées.

En conséquence, le demandeur est systématiquement informé, en cas de rejet de son dossier de crédit par l'outil de score, qu'il peut en demander une nouvelle étude, approfondie, par un agent spécialement habilité à cette fin, à l'issue d'une phase contradictoire au cours de laquelle il aura été mis en mesure de présenter ses observations sur les principales difficultés identifiées dans son dossier. Il en va notamment ainsi lorsque le traitement de score n'est pas immédiatement mis en oeuvre en présence de la personne concernée.

Article 2 : Données à caractère personnel traitées

Les données prises en compte pour le calcul du score sont choisies et pondérées en fonction du lien de corrélation qu'elles présentent avec le risque attaché à l'opération.

Elles peuvent soit avoir été spécialement transmises par la personne concernée dans le cadre de sa demande de crédit, soit provenir des fichiers internes de l'établissement de crédit après avoir été communiquées par la personne concernée ou produites en relation avec les contrats en cours conclus avec l'établissement (ouverture et fonctionnement d'un compte bancaire, demandes de crédit en cours et état de leur remboursement...).

Ces données ne peuvent relever que des catégories suivantes :

- En ce qui concerne la situation personnelle de l'emprunteur : âge, sexe, nationalité (sous la forme français, ressortissant d'un autre État de l'Union européenne, autre nationalité), situation familiale, régime matrimonial, département de résidence, type d'habitat, situation de logement (sous la forme propriétaire, locataire, hébergé à titre gracieux), ancienneté dans le logement, catégorie socioprofessionnelle, situation professionnelle, ancienneté professionnelle, types de téléphones utilisés, existence d'une adresse électronique, nature des relations entre les co-emprunteurs (sous la forme vie de couple, relations amicales, relations familiales, relations professionnelles) ,

- En ce qui concerne la situation économique et financière de l'emprunteur : nature et montant des revenus, des charges, du patrimoine ; le cas échéant, analyse des ratios et bilans financiers ;

- En ce qui concerne les données bancaires : domiciliation bancaire, ancienneté bancaire, montant du solde des comptes et des flux financiers, encours de l'épargne, nature et montant des produits financiers détenus, mouvements financiers, moyens de paiement et de crédit détenus, fréquence d'utilisation, autres prêts en cours, incidents de paiement, respect des échéances ; les données bancaires sont prises en compte aussi longtemps qu'elles n'ont pas été archivées par l'établissement de crédit, dans le respect des dispositions déclarées par ailleurs à la CNIL ;

- En ce qui concerne les autres membres du foyer de l'emprunteur et les personnes économiquement liées, ainsi que les personnes co-obligées ou garants : âge, catégorie socioprofessionnelle, nature et montant des revenus et des charges ; le cas échéant, situation de la personne dans le foyer (sous la forme de conjoint, personne vivant maritalement, enfant, parent, autre personne à charge) ;

- En ce qui concerne les caractéristiques de l'opération de crédit : canal d'acquisition du client, type, montant, durée, taux, bien financé, apport personnel, garanties, date de mise à disposition des fonds, assurance, autres prestations.

Aucune variable ne doit recevoir une pondération telle qu'elle puisse à elle seule avoir un effet d'exclusion absolue ou disqualifiant. Il en va de même pour tout ensemble de variables étroitement corrélées les unes aux autres.

Le traitement de score produit un résultat qui prend la forme d'un message d'acceptation ou de rejet de la demande de crédit par l'outil de score ainsi que, le cas échéant, d'une note.

Les catégories d'informations précitées peuvent également être utilisées sous une forme indirectement nominative dans des bases de données statistiques pour établir les modèles de score, puis vérifier et maintenir leur qualité. Au moment de l'enregistrement dans ces bases de nouvelles données, les éléments directement nominatifs issus des applications commerciales de l'établissement de crédit sont remplacés par des éléments indirectement nominatifs non signifiants et propres à ces bases (ex. : un identifiant de contrat) selon des modalités qui interdisent toute ré-identification de la personne concernée.

Article 3 : Destinataires des données

Peuvent seuls être habilités à avoir communication des données correspondant aux catégories précitées, sous réserve que les données soient nécessaires pour l'exercice de leurs compétences :

a) Pour les données nécessaires à l'élaboration et à l'actualisation des modèles de score :

. Les personnels chargés de la définition de ces modèles,

. Les personnels en charge du contrôle interne de l'établissement,

b) Pour le résultat des traitements de score :

. Les personnels des services chargés de l'octroi de crédit et de la sélection des risques,

. Les personnels habilités des sociétés commerciales ayant la qualité d'apporteur d'affaires qui, après avoir terminé la saisie des données demandées par le traitement, ne peuvent accéder qu'à un message indiquant l'acceptation ou le rejet de la demande de crédit par l'outil de score.

Lorsque des données sont transmises vers un État qui n'assure pas un niveau de protection suffisant ou reconnu comme tel par une décision de la Commission européenne, le transfert ne peut être effectué que sous réserve du respect par le responsable du traitement des dispositions prévues aux articles 68 et 69 de la loi susvisée du 6 janvier 1978. Tout contrat conclu avec les personnes habilitées à avoir communication des données devra respecter les décisions de la Commission européenne relatives aux clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers ou des sous-traitants établis dans des pays tiers en vertu de la directive susvisée du 24 octobre 1995.

Article 4 : Durée d'utilisation et de conservation

Le résultat du score n'est pas utilisé à des fins d'octroi ultérieur de crédit mais uniquement par les personnes chargées de la définition des modèles de score pour la révision et l'adaptation de ces modèles.

En cas de rejet de la demande de crédit, les informations spécialement collectées pour son instruction sont conservées au maximum pendant une période de six mois à compter du dépôt de la demande, lorsque le demandeur n'est pas par ailleurs client de l'établissement de crédit. Elles ne peuvent être utilisées qu'aux fins de l'instruction de nouvelles demandes de crédit.

Article 5 : Information des personnes concernées

Conformément à l'article 32 de la loi susvisée du 6 janvier 1978, le demandeur de crédit qui transmet des informations pour l'instruction de son dossier est notamment informé par écrit des finalités des traitements dont celles-ci peuvent faire l'objet, notamment de la finalité de sélection des risques de crédit, du caractère obligatoire ou facultatif des données collectées, ainsi que des différents droits qui lui sont reconnus par ladite loi, notamment celui rappelé à l'article 1er de la présente autorisation unique.

Il est également informé de la nature et de l'origine des autres données le concernant, déjà connues de l'établissement de crédit, qui sont utilisées pour le calcul du score.

Article 6 : Recours à un prestataire extérieur

La réalisation des opérations mentionnées à l'article ler peut être confiée par le responsable du traitement à un tiers prestataire de service en qualité de sous-traitant.

La convention signée avec le prestataire décrit les opérations que celui-ci a pour mission de réaliser à partir des données à caractère personnel, ainsi que les engagements qu'il prend pour garantir leur sécurité et leur confidentialité, en particulier l'interdiction d'utiliser les données à d'autres fins que celles indiquées par la convention et de les mettre en relation avec d'autres sources de données à caractère personnel, ainsi que l'engagement de procéder à la destruction des fichiers manuels ou informatisés stockant les données personnelles dès l'achèvement du contrat.

Le responsable de traitement doit s'assurer du caractère suffisant des mesures prises en vue d'assurer la sécurité et la confidentialité des données.

Article 7 : Mesures de sécurité

Le responsable du traitement prend toutes précautions utiles pour préserver la sécurité et la confidentialité des données traitées et, notamment, pour empêcher qu'elles soient déformées, endommagées ou que des tiers non autorisés puissent en prendre connaissance.

Les accès individuels au traitement s'effectuent par un identifiant et un mot de passe individuels, régulièrement renouvelés, ou par tout autre moyen d'authentification.

Les demandes de crédit en ligne sont sécurisées dès l'affichage du premier écran de saisie (ex. : en https). Les cookies sont effacés dès l'issue de la session.

Article 8

Tout traitement de score utilisé pour l'octroi de crédit qui n'est pas conforme aux dispositions qui précèdent doit faire l'objet d'une demande d'autorisation auprès de la Commission dans les formes prescrites par les articles 25 et 30 de la loi modifiée du 6 janvier 1978.

Article 9

La présente délibération sera publiée au Journal officiel de la République française.

Le Président, Alex TURK.

About the author

Thiébaut Devergranne

Thiébaut Devergranne est docteur en droit et consultant. Il travaille en droit des nouvelles technologies depuis plus de 10 ans, dont 6 passees au sein des services du Premier ministre. En savoir plus.

Click here to add a comment

Leave a comment: