• Home  / 
  • DELIBERATION 2006-222

DELIBERATION 2006-222

By Thiébaut Devergranne / 5 years ago

La Commission nationale de l'informatique et des libertés,

Saisie par la société CORA d'une déclaration portant sur l'expérimentation d'un traitement automatisé de données à caractère personnel ayant pour finalité de permettre d'éviter d'encaisser des chèques pour des comptes bancaires en incident non régularisé .

Vu la Convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;

Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et la libre circulation de ces données ;

Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés modifiée par la loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel, et notamment son article 25-I-4° ;

Vu le décret n° 2005-1309 du 20 octobre 2005 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 modifiée ;

Après avoir entendu M. Bernard PEYRAT, commissaire, en son rapport, et Mme Pascale COMPAGNIE, commissaire du Gouvernement, en ses observations,

Formule les observations suivantes :

La société CORA a saisi la Commission nationale de l'informatique et des libertés d'un dossier relatif à l'expérimentation pendant cinq mois de trois traitements automatisés de données à caractère personnel dont la finalité est d'apporter une protection contre la fraude par chèque bancaire lors des règlements en caisse dans les magasins CORA de Metz-Technopole, Mondelange et Moulins-les-Metz. Par ce moyen, les magasins CORA espèrent réduire les pertes d'exploitation liées aux chèques rejetés par les établissements bancaires.

La Commission considère qu'il y a lieu de faire application du 4° du I de l'article 25 de la loi du 6 janvier 1978 modifiée qui soumet à autorisation les traitements susceptibles, du fait de leur nature, de leur portée ou de leurs finalités, d'exclure des personnes du bénéfice d'une prestation ou d'un contrat en l'absence de toute disposition légale prévoyant une telle exclusion.

La finalité des traitements automatisés "BSP", "LCI" et "BLITZMAG" est de cibler le contrôle des chèques proposés à l'encaissement sur la base de deux fichiers de données mutualisées :

1° une "liste noire" des comptes bancaires à risque, c'est-à-dire sur lesquels ont été émis, lors d'un achat antérieur dans l'un des magasins précités, un ou plusieurs chèques revenus impayés pour insuffisance de provision, opposition, compte clôturé, signature non conforme ou falsification du chèque, et qui n'ont pas donné lieu à régularisation du paiement ;

2° un fichier des chèques présentés durant les deux derniers mois dans l'un des magasins précités, qui permet de contrôler les nouveaux chèques proposés à l'encaissement au vu de la liste des chèques récemment émis pour un même compte bancaire et ainsi d'identifier les risques de "chèques flambants", c'est-à-dire d'utilisation massive d'un chéquier sur un laps de temps très court, notamment pour des achats répétitifs correspondant à des montants importants.

Les données enregistrées dans la "liste noire" des comptes bancaires à risque proviennent d'un traitement de gestion des chèques impayés. Elles concernent les informations de la bande CMC7 (identification de la banque, numéro du compte, numéro du chèque) des chèques impayés non régularisés présentés aux caisses de l'un des magasins précités, les nom, prénom et adresse mentionnés sur les chèques, les références des pièces d'identité produites lors du paiement, les date et heure du passage en caisse, les références du magasin et de la caisse, le motif du rejet du chèque par la banque, le numéro d'impayé ainsi que le reste dû.

Le responsable des traitements s'engage à cet égard :

- à envoyer un courrier d'information au débiteur parallèlement à l'inscription de l'impayé dans la "liste noire",

- en cas de régularisation totale d'un incident de paiement, à délivrer au payeur une attestation de régularisation susceptible d'être communiquée à la banque et à effacer l'ensemble des données s'y rapportant au maximum dans les 48 heures suivant la régularisation,

- à mettre à jour le fichier, après la prise en compte des listes d'impayés définitivement constatés transmises par les établissements bancaires afin de prendre en considération le paiement de certains chèques lors de leur seconde présentation en banque,

- à procéder à l'effacement des données au plus tard un an après leur inscription,

- par exception, lorsque le signalement correspond à un chèque qui s'avère avoir été volé ou perdu, les informations sont effacées dès la production de la déclaration de vol ou de perte ou, à défaut, au terme d'un délai d'un mois.

Des développements informatiques seront prochainement apportés aux traitements afin de garantir la mise à jour de la "liste noire" dans les meilleurs délais, quelles que soient les conditions de règlement de l'impayé, et de conserver pendant un an, à des fins de preuve, une trace des opérations d'enregistrement, de modification ou d'effacement des signalements.

Les données relatives aux chèques présentés à l'occasion d'autres transactions dans l'un des magasins précités concernent le contenu de la bande CMC7 et la transaction par chèque effectuée ou refusée (date et heure, lieu, type d'achat, éventuellement motif de refus du chèque). Elles sont effacées au terme d'un délai de deux mois à compter de leur enregistrement.

Ce traitement assure la détection automatique, pour un magasin donné, des paiements effectués sur un compte bancaire qui a déjà fait l'objet de plusieurs règlements durant les deux derniers mois dans l'ensemble des magasins concernés, lorsque ces règlements répondent à certains critères paramétrés pour ce magasin.

Lorsqu'un règlement par chèque est bloqué sur la base de l'un des fichiers précités, les applications délivrent aux agents des caisses des magasins pour seule réponse : "transaction refusée".

Les clients concernés sont mis en relation avec l'agent responsable de l'utilisation des applications au sein du magasin qui, seul, peut consulter le détail des données enregistrées et ainsi vérifier les raisons du blocage de la transaction. Il incombe également à cet agent de répondre aux demandes de droits d'accès et de rectification, de recevoir les paiements destinés à la régularisation d'un impayé et d'initier l'effacement des données correspondantes.

Les régularisations d'impayés peuvent être effectuées dans l'ensemble des magasins participant à l'expérimentation, quel que soit celui à l'origine du signalement. Un autre moyen de paiement peut également être demandé au client.

Les clients sont informés de la mise en oeuvre du traitement, de ses caractéristiques essentielles et de leurs droits par affichage permanent d'un message à L'entrée de chaque magasin et au niveau de chaque caisse. Cet affichage est assuré sous la responsabilité des responsables de magasin. Il est régulièrement contrôlé par le service de l'audit.

Les droits d'accès et de rectification prévus aux articles 39 et suivants de la loi du 6 janvier 1978 s'exercent directement dans les magasins précités ou auprès de la société chargée de la mise en oeuvre technique : Blitz B.S. - 6 rue Serge Mauroit 38090 Villefontaine.

L'accès par Internet des magasins aux fichiers mutualisés est sécurisé. Les données qui circulent sur le réseau sont chiffrées.

Dans ces conditions, la Commission autorise la société CORA à expérimenter pendant cinq mois les traitements automatisés "BSP", "LCI" et "BLITZMAG" et demande la transmission d'un bilan de l'expérimentation.

Le président, Alex TURK.

About the author

Thiébaut Devergranne

Thiébaut Devergranne est docteur en droit et consultant. Il travaille en droit des nouvelles technologies depuis plus de 10 ans, dont 6 passees au sein des services du Premier ministre. En savoir plus.

Click here to add a comment

Leave a comment: