• Home  / 
  • DELIBERATION 2006-236

DELIBERATION 2006-236

By Thiébaut Devergranne / 5 years ago

La Commission nationale de l'informatique et des libertés,

Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;

Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et à la libre circulation de ces données ;

Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés modifiée par la loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel, notamment son article 25-4° ;

Vu le décret n° 2005-1309 du 20 octobre 2005 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi n° 2004-801 du 6 août 2004 ;

Vu la délibération n° 03-012 du 11 mars 2003 de la CNIL portant recommandation relative à la gestion de fichiers de personnes à risques par les loueurs de véhicules ;

Vu la délibération n° 2006-235 du 9 novembre 2006 de la CNIL portant autorisation unique de mise en oeuvre par les organismes de location de véhicules de traitements automatisés de données à caractère personnel ayant pour finalité la gestion de fichier de personnes à risques ;

Après avoir entendu M. Guy Rosier, vice-président, en son rapport et Mme Pascale Compagnie, commissaire du Gouvernement, en ses observations.

Formule les observations suivantes :

Les organismes de location de véhicules mettent en oeuvre des traitements de données à caractère personnel ayant pour objet la prévention des risques liés à leur activité : lorsqu'ils sont victimes de préjudices correspondant à des faits dont la liste est préétablie, ils peuvent, à partir des données à caractère personnel des clients responsables, décider de ne plus leur louer de véhicules.

Saisie de plaintes par plusieurs personnes qui se voyaient refuser la location d'un véhicule, la Commission, après avoir procédé à des contrôles auprès des principales sociétés concernées et de la branche loueurs du Conseil national des professions de l'automobile (CNPA), a adopté et publié la délibération susvisée du 11 mars 2003 portant recommandation sur la gestion des fichiers de personnes à risque par les loueurs de véhicules.

La Commission a été saisie par la branche loueurs du CNPA d'un projet de traitement ayant pour but de mettre à disposition de ses adhérents un fichier mutualisé de prévention des personnes à risques, qui a pour objet de permettre aux adhérents de la branche loueurs du CNPA :

- d'alimenter le traitement de prévention des risques par les données à caractère personnel énumérées ci-après ;

- d'interroger à distance le traitement de prévention des risques mis en oeuvre afin de déterminer si la location d'un véhicule à la personne qui en fait la demande présente un risque ou non ;

- de recevoir un fichier de mise à jour et ce, uniquement lorsqu'il s'agit d'une société ayant pour activité la location de véhicules disposant de son propre traitement de prévention des risques.

La Commission constate que les traitements susceptibles, du fait de leur nature, de leur portée ou de leur finalité d'exclure des personnes du bénéfice d'un droit, d'une prestation ou d'un contrat en l'absence de toute disposition législative ou réglementaire relèvent de la procédure de demande d'autorisation prévue par les dispositions de l'article 25-4° de la loi du 6 janvier 1978 modifiée ; elle considère que ce régime s'applique au traitement présenté par le CNPA qui est de nature à exclure une personne de la possibilité de contracter avec un loueur adhérent du CNPA.

Les catégories de données à caractère personnel pouvant être enregistrées dans le fichier mutualisé sont les suivantes :

a) la dénomination de l'entreprise et de l'agence ayant loué le véhicule ;

b) le nom, le nom d'usage et le(s) prénom(s) du client et/ou du conducteur déclaré ;

c)la date et le lieu de naissance de la personne concerné ;

d) l'identifiant client ;

e) l'adresse du client ;

f) le numéro, la date, le lieu de délivrance du permis de conduire du client et/ou du conducteur déclaré.

Seules ces données associées aux actes ou faits entrant dans l'une des catégories suivantes peuvent faire l'objet d'un enregistrement dans le fichier mutualisé ;

1) incident de paiement ayant donné lieu à contentieux ;

2) accidents ou dommages répétés imputables au conducteur ou à la personne inscrite au contrat ;

3) accidents ou dommages causés volontairement ;

4) utilisation d'un véhicule sans respecter les conditions générales du contrat de location.

Seuls les employés ayant compétence pour vérifier le caractère certain du préjudice subi, et qui sont individuellement désignés et spécifiquement formés à cet effet, peuvent procéder à une inscription dans le fichier de prévention des risques.

Cette inscription ne peut être effectuée qu'après constat d'actes et de faits objectifs avérés ou sur la base de documents tendant à prouver la réalité du préjudice subi par les organismes de location de véhicules concernés.

Pour les actes et les faits visés aux 3) et 4), l'inscription dans le fichier des personnes à risques est conditionnée à une décision de la commission de sécurité spécialement constituée à cet effet au sein du CNPA.

Les données traitées au titre de la gestion du fichier des personnes à risque sont conservées pendant au maximum :

- trois ans à compter de la date de survenance pour les actes et faits entrant dans les catégories de 1) à 3) inclus ;

- cinq ans à compter de la date de survenance pour les actes et faits entrant dans la quatrième catégorie.

S'agissant des incidents de paiement, l'événement et les données associées sont supprimés dès le paiement des sommes dues.

La Commission observe que les personnes louant des véhicules auprès des entreprises, qui mutualiseront leurs informations auprès du CNPA, devront être informées au préalable de cette mutualisation et des conditions dans lesquelles elles pourront exercer leurs droits d'accès, de rectification et, le cas échéant, d'opposition, dans les conditions édictées par la délibération n° 2006-235 du 9 novembre 2006 portant autorisation unique de mise en oeuvre par les organismes de location de véhicules de traitements automatisés de données à caractère personnel ayant pour finalité la gestion de fichier de personnes à risques.

Les entreprises désirant mutualiser leurs informations auprès du CNPA devront soit adresser un engagement de conformité à l'autorisation unique précitée soit demander une autorisation particulière en vertu de l'article 25-4° de la loi du 6 janvier 1978.

Les droits d'accès, de rectification et, le cas échéant, d'opposition s'exerceront auprès de la branche loueurs du CNPA, 50 rue Rouget de Lisle - 92158 Suresnes Cedex.

Les destinataires des informations seront, dans la limite de leurs attributions et pour la poursuite de la finalité précitée :

- les personnes en charge, au sein du CNPA, des relations avec les adhérents ;

- les personnes faisant partie de la Commission de sécurité du CNPA ;

- les employés des sociétés de location de véhicules qui sont adhérentes du CNPA ou qui souhaitent utiliser ses services.

Autorise, dans ces conditions, la branche loueurs du CNPA à mettre en oeuvre au profit de ses adhérents un traitement de données à caractère personnel ayant pour finalité la tenue d'un fichier central de personnes présentant un risque contractuel.

Le président, Alex TURK.

About the author

Thiébaut Devergranne

Thiébaut Devergranne est docteur en droit et consultant. Il travaille en droit des nouvelles technologies depuis plus de 10 ans, dont 6 passees au sein des services du Premier ministre. En savoir plus.

Click here to add a comment

Leave a comment: