• Home  / 
  • DELIBERATION 2006-243

DELIBERATION 2006-243

By Thiébaut Devergranne / 5 years ago

La Commission nationale de l'informatique et des libertés,

Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;

Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et à la libre circulation de ces données ;

Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés modifiée par la loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel, et notamment son article 25-4° ;

Vu le décret n° 2005-1309 du 20 octobre 2005 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi n° 2004-801 du 6 août 2004 ;

Vu les demandes d'autorisation présentées par la société CETELEM les 8 et 12 décembre 2005 portant modification de traitements automatisés de données à caractère personnel ayant pour finalité la gestion de la prévention du risque, la gestion des comptes clients et du recouvrement de créances ;

Après avoir entendu MM. Philippe NOGRIX et Bernard PEYRAT, Commissaires, en leurs rapports, et Mme Pascale COMPAGNIE, Commissaire du Gouvernement, en ses observations.

Formule les observations suivantes :

La société CETELEM a saisi les 8 et le 12 décembre 2005 la Commission nationale de l'informatique et des libertés de deux demandes d'autorisation modifiant des traitements de données à caractère personnel initialement déclarés les 14 décembre 1989 et 18 juin 1993 ayant pour finalités la gestion de la prévention du risque, la gestion des comptes clients et du recouvrement de créances.

L'objet des modifications porte sur l'instauration d'échanges d'informations :

- sur la fraude entre les deux cellules dédiées de la société CETELEM et de la société COFINOGA afin de renforcer les dispositifs respectifs de lutte contre les tentatives d'obtentions irrégulières de crédit,

- sur les impayés et le niveau d'endettement afin de permettre la gestion du risque dans le cadre des ouvertures de comptes et faciliter le recouvrement de créances entre la société CETELEM, les établissements de crédit du groupe CETELEM, les établissements de crédit du groupe BNP Paribas ayant confié tout ou partie de la gestion de leurs crédits à la consommation à la société CETELEM, les établissements de crédits liés à CETELEM pour la gestion de leurs crédits ou des transactions relatives aux opérations de paiement, avec ou sans participation capitalistique, d'une part, et la société COFINOGA, les établissements de crédit membres du groupe COFINOGA, d'autre part.

La Commission rappelle que relèvent de la procédure de demande d'autorisation prévue par les dispositions de l'article 25-4° de la loi du 6 janvier 1978 modifiée par la loi du 6 août 2004 les traitements de données à caractère personnel ayant pour objet la gestion de la prévention des risques dans la mesure où ces derniers sont susceptibles d'exclure une personne du bénéfice d'un contrat de crédit sans qu'aucun texte ne prévoie une telle exclusion.

La Commission rappelle qu'aux termes de l'article 10 alinéa 2 de ladite loi "aucune décision produisant des effets juridiques à l'égard d'une personne ne peut être prise sur le seul fondement d'un traitement automatisé de données destiné à définir le profil de l'intéressé ou à évaluer certains aspects de sa personnalité" et qu'en application des dispositions de l'article 6-3° les données traitées doivent être "pertinentes, adéquates et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs".

La Commission constate que les échanges d'information envisagés ont des finalités déterminées, explicites et légitimes.

En effet, la Commission relève à cet égard que les traitements reposent, d'une part, sur des échanges d'informations entre les sociétés CETELEM et COFINOGA sur les tentatives irrégulières d'obtention de crédit auprès de l'une des deux sociétés, d'autre part, sur des échanges d'informations sur l'endettement d'un emprunteur contracté auprès de l'une des deux sociétés ou des sociétés dans la configuration décrite ci-dessus ainsi que sur ses coordonnées dans le cadre du recouvrement de créances, qui n'interviennent que ponctuellement à l'occasion d'une demande de crédit.

Elle relève également que ces échanges n'emportent pas constitution d'un fichier centralisant les incidents de paiement ou encours de crédit, qu'il n'y a pas de mémorisation des informations transmises dans les fichiers clients respectifs et que les informations ne sont pas accessibles aux conseillers clientèle ou aux prescripteurs auxquels est délivré un résultat sous la forme d'existence d'un risque ou non, qui s'intègre dans l'étude de la demande de prêt.

La Commission observe que cet échange limité d'informations interviendra uniquement entre des sociétés spécialisées dans le crédit à la consommation et soumises au secret bancaire, liées entre elles par une communauté de risque financier, se traduisant par l'exercice d'un contrôle effectif de la société CETELEM sur la société COFINOGA.

Elle relève également qu'une clause particulière de l'offre de crédit, insérée dans la zone de signature, précise les finalités des traitements, comporte l'autorisation explicite du client de partager des informations couvertes par le secret bancaire, et renvoie au verso sur une disposition clairement identifiée pour les destinataires des échanges d'information ainsi que l'existence d'un droit d'opposition.

Les catégories de données à caractère personnel enregistrées seront relatives à :

- S'agissant de la lutte contre les tentatives d'obtentions irrégulières de crédit, l'identité de l'emprunteur (nom, prénoms, date de naissance, code postal et ville de naissance), le numéro de SIREN et code APE pour les personnes morales, les coordonnées bancaires, postales et téléphoniques, la nature et qualité des justificatifs présentés à l'appui des demandes de crédit, l'état des impayés éventuels concernant les crédits à la consommation souscrits, la date de la demande de crédit, les moyens utilisés pour la demande de crédit (minitel, internet, téléphone ...) ainsi que les indications relatives au point de vente.

- S'agissant des échanges d'informations relatives aux impayés et au niveau d'endettement à des fins de gestion de compte client, l'identité de l'emprunteur (nom, prénoms, date de naissance, code INSEE du lieu de naissance pour éviter les risques d'homonymie), les coordonnées postales et téléphoniques de l'emprunteur, sa situation économique et financière, ses coordonnées bancaires, le type et nombre de contrats en cours de remboursement, la somme des encours restant dus, la somme des mensualités dues par le client, les retards de paiement (indication de mise en recouvrement, contentieux ou surendettement), l'existence d'incidents de paiement dans les 12 derniers mois, les clients soldés suite à une action judiciaire au cours des cinq dernières années, les clients passés en perte depuis moins de 10 ans.

- S'agissant des échanges d'informations relatives à l' adresse du débiteur pour les recouvrement de créance pour lesquels les courriers adressés reviennent avec la mention "n'habite pas à l'adresse indiquée", l'identité de l'emprunteur (nom, prénoms, date de naissance, code INSEE du lieu de naissance pour éviter les risques d'homonymie), les coordonnées postales et téléphoniques de l'emprunteur.

Les destinataires des informations seront ponctuellement à l'occasion d'une demande de crédit :

- S'agissant de la lutte contre les tentatives d'obtentions irrégulières de crédit,

les personnels habilités de la cellule fraude de la société CETELEM, les personnels habilités de la cellule fraude de la société CETELEM et des membres du groupe CETELEM, ainsi que les services chargés du contrôle interne au sein des sociétés CETELEM et COFINOGA.

- S'agissant des échanges d'informations relatives aux impayés et au niveau d'endettement à des fins de gestion de compte client, et à l'occasion d'une demande de crédit, d'une part, et de ceux relatifs à l'adresse du débiteur pour les recouvrement de créance pour lesquels les courriers adressés reviennent avec la mention "n'habite pas à l'adresse indiquée",

les personnels habilités du service de contrôle interne des sociétés CETELEM et COFINOGA,

et pour le seul résultat de l'analyse effectuée par les systèmes experts les chargés de clientèle respectifs :

- des sociétés CETELEM et COFINOGA,

- des établissements de crédit du groupe CETELEM,

- des établissements de crédit du groupe BNP Paribas ayant confié tout ou partie de la gestion de leurs crédits à la consommation à la société CETELEM,

- des établissements de crédits liés à CETELEM pour la gestion de leurs crédits ou des transactions relatives aux opérations de paiement, des établissements de crédit membres du groupe COFINOGA.

Le droit d'accès défini au chapitre V de la loi du 6 janvier 1978 s'exercera auprès de la société CETELEM, 20 avenue Georges Pompidou, 92300 Levallois-Perret et, en particulier, auprès du :

- service de contrôle interne, cellule risque, s'agissant de la lutte contre les tentatives d'obtentions irrégulières de crédit,

- service Consommateurs, s'agissant des échanges d'informations relatives aux impayés et au niveau d'endettement à des fins de gestion de compte client et de recouvrement de créance.

Dans ces conditions, la Commission autorise la société CETELEM à mettre en oeuvre deux traitements de données à caractère personnel ayant respectivement pour finalité la lutte contre les tentatives d'obtentions irrégulières de crédit et la gestion des comptes clients dans les conditions définies par la présente délibération.

Le Président, Alex TURK.

About the author

Thiébaut Devergranne

Thiébaut Devergranne est docteur en droit et consultant. Il travaille en droit des nouvelles technologies depuis plus de 10 ans, dont 6 passees au sein des services du Premier ministre. En savoir plus.

Click here to add a comment

Leave a comment: