• Home  / 
  • DELIBERATION 2007-044

DELIBERATION 2007-044

By Thiébaut Devergranne / 5 years ago

La Commission nationale de l'informatique et des libertés,

Vu la Convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;

Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et la libre circulation de ces données ;

Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés modifiée par la loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel, notamment ses articles 6 et 25-I-4° ;

Vu le code monétaire et financier, notamment l'article L. 511-33 ;

Vu le décret n° 2005-1309 du 20 octobre 2005 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 précitée ;

Vu la demande d'autorisation présentée par la société Experian et relative à la mise en place d'une centrale de crédit,

Après avoir entendu, M. Philippe NOGRIX, commissaire, en son rapport et Mme Pascale COMPAGNIE, commissaire du Gouvernement, en ses observations ;

Formule les observations suivantes :

La CNIL a été saisie par la société Experian d'une demande d'autorisation portant sur un traitement automatisé de données à caractère personnel dont la finalité déclarée est de favoriser le développement maîtrisé du crédit, notamment auprès de populations qui en sont traditionnellement exclues, sans risquer le surendettement et tout en offrant aux établissements de taille moyenne les moyens d'une concurrence plus équilibrée par rapport aux grands établissements ou groupes d'établissements, lesquels disposent de sources d'informations beaucoup plus étendues.

Sur les caractéristiques du traitement

Le traitement, dénommé "centrale de crédit", a pour objet la mutualisation de certaines informations, détenues par des établissements de crédit sur leurs clients bénéficiaires de crédits à un titre non professionnel et sur les caractéristiques des crédits qu'ils leur ont accordés. Ces données sont réparties entre plusieurs fichiers informatiques qui correspondent aux établissements d'où elles proviennent.

En cas de réception d'une demande d'informations portant sur une personne, le traitement réunit, sous la forme d'un rapport de crédit, l'ensemble des données personnelles détenues à son sujet, quelle qu'en soit la source.

Les établissements destinataires des informations doivent avoir adhéré à la "centrale de crédit" d'Experian pour être autorisés à avoir communication, à l'occasion de l'instruction de la demande de crédit d'un particulier, des informations le concernant qui y sont enregistrées.

Celles-ci portent sur son niveau d'endettement auprès des autres établissements adhérant à la "centrale de crédit", sur les caractéristiques des crédits que ces derniers lui ont déjà consentis, ainsi que sur les conditions dans lesquelles ces crédits sont remboursés.

La demande d'autorisation prévoit le recueil et la conservation de données relatives :

- à l'identification précise de l'emprunteur (noms, prénoms, alias, sexe, date et lieu de naissance) ;

- à ses adresses professionnelle et personnelle ;

- au crédit : notamment l'organisme prêteur ayant adhéré à la centrale, le taux d'intérêt, le montant des apports, le détail de la clôture du crédit (sous la forme crédit remboursé par le garant, crédit remboursé par l' emprunteur, autre), le détail du financement (sous la forme crédit immobilier / crédit personnel / crédit consommation), l'historique du crédit sur 36 mois (état des remboursements du mois, solde des paiements du mois ...).

En outre, un indice de "similitude avec les informations d'identité présentées dans le crédit retrouvé" et les commentaires de l'emprunteur concerné, éventuellement conservés dans une zone bloc notes, fait partie des informations communiquées par Experian.

Les données transmises par les adhérents d'Experian sont conservées pendant trois ans après la date de fin du crédit. Ainsi, dans le cas du crédit immobilier, la durée de conservation des informations peut être de plusieurs dizaines d'années.

Les données sont traitées dans des fichiers informatisés distincts en fonction de l'établissement qui les a transmises à la société Experian, mais qui ont vocation à être mis en relation à tout moment pour permettre l'élaboration des rapports de crédit. Dès lors, ce projet constitue un traitement automatisé de données personnelles, caractérisé par des finalités et des moyens informatiques déterminés par la société Experian, qui, conformément au 1 de l'article 3 de la loi du 6 janvier 1978 susvisée, en est ainsi le responsable.

La "centrale de crédit" constitue, en outre, ce qu'il est convenu d'appeler un "fichier positif" dès lors que, par opposition aux fichiers - dits négatifs - de signalements d'incidents de paiement lors du remboursement d'un crédit, le traitement permettrait le partage d'informations sur des crédits octroyés, indépendamment de la survenance ou non de difficultés de paiement.

L'absence d'une base de données centrale - les fichiers correspondant à chaque établissement financier étant logiquement séparés - est à cet égard sans incidence, puisque le traitement envisagé permet de consulter simultanément l'ensemble des fichiers.

La Commission estime que le traitement envisagé relève des dispositions du 4° du I de l'article 25 de la loi du 6 janvier 1978 et que sa mise en oeuvre doit être autorisée par la CNIL dans la mesure où il serait susceptible d'exclure des personnes du bénéfice d'un contrat de crédit en l'absence de toute disposition législative ou réglementaire prévoyant une telle exclusion.

Sur le respect des principes de la loi du 6 janvier 1978

La Commission rappelle que, conformément à l'article 6 de la loi du 6 janvier 1978, des données personnelles doivent être collectées de manière loyale et licite, pour des finalités déterminées, explicites et légitimes et qu'elles ne peuvent pas être traitées ultérieurement de manière incompatible avec ces finalités. En conséquence, il lui appartient d'apprécier si les caractéristiques du traitement envisagé sont proportionnées aux finalités déclarées.

1. La Commission observe que des informations couvertes par un secret légalement protégé seraient transférées de façon massive, en l'absence de toute base législative, à une société de services qui ne relève pas de la loi bancaire et dont l'activité n'est pas soumise à la règle du secret bancaire.

Elle relève qu'aucune disposition légale ne définit un régime juridique particulier pour les traitements qui, ayant pour objet la mutualisation de données personnelles sur les encours de crédit, seraient ouverts à l'adhésion d'établissements financiers n'ayant entre eux aucun lien juridique ni intérêt commun, excepté la volonté de partager, sous réserve de réciprocité, certains renseignements sur leurs clients respectifs bénéficiant d'emprunts à titre non professionnel et sur les crédits qu'ils leur ont accordés.

La Commission rappelle avoir indiqué à plusieurs reprises que seul le Législateur aurait compétence pour se prononcer sur l'utilité sociale de la constitution de "fichiers positifs" dans le secteur du crédit, et notamment pour préciser les finalités et le contenu de ces bases de données, les conditions dans lesquelles les emprunteurs personnes physiques pourraient choisir d'accepter ou non, de façon libre et éclairée, d'adhérer à un tel dispositif, les précautions à prendre pour encadrer l'accès des établissements de crédit aux données ainsi collectées afin d'en prévenir toute utilisation à d'autres fins, ainsi que les conséquences des cas où un établissement conditionnerait l'attribution d'un crédit à l'acceptation par son client de l'enrichissement de sa "centrale de crédit".

La Commission estime, dans ces conditions, que la collecte et le traitement des données ne remplissent pas la condition de licéité posée à l'article 6 de la loi du 6 janvier 1978.

2. Au surplus, des informations couvertes par le secret bancaire ne peuvent faire l'objet d'une transmission à des tiers que si le client concerné l'a librement accepté de manière expresse, au vu d'une information précise lui permettant de prendre une décision éclairée.

Or, la Commission souligne que le client n'est pas complètement informé des conséquences de la signature de la clause de levée du secret bancaire qui lui est demandée, en ce qui concerne les finalités des transferts de données qu'il autorise, les utilisations qui pourront en être faites, les établissements financiers qui en seront les bénéficiaires, les données qui seront transmises et leur conservation par Experian pour une durée qui peut être très longue.

Elle note en effet que le client qui dépose une demande de crédit est incité à signer une clause de levée du secret bancaire à un moment où l'établissement financier avec lequel il contracte souhaite non seulement être autorisé à transmettre des données sur l'encours de crédit à la centrale d'Experian, puis à actualiser les données ainsi transmises sur les conditions de remboursement du crédit souscrit, mais aussi interroger la "centrale de crédit" pour récupérer des renseignements sur l'endettement de son client auprès des autres établissements ayant adhéré à la centrale. En outre, la signature de la clause de levée du secret par un client implique également que les autres adhérents de la centrale, présents ou à venir, pourront consulter ultérieurement l'ensemble des données le concernant qui y figurent, normalement lorsqu'il leur présentera une demande de crédit.

3. La société Experian prévoit la transmission aux établissements adhérents des informations relatives à une personne au moment de l'instruction d'une demande de crédit, sous la forme d'un rapport très détaillé sur les crédits déjà octroyés à cette personne, quelle que soit la nature de ces crédits, qu'ils soient encore en cours de remboursement ou intégralement remboursés depuis moins de trois ans.

La Commission considère que les données qui seraient stockées par Experian, parfois pendant une très longue durée, permettraient un profilage économique des particuliers concernés au travers des données relatives aux prêts immobiliers qui leur ont précédemment été accordés.

A cet égard, l'enregistrement de données très détaillées sur les crédits octroyés, quelle qu'en soit la nature, y compris sur ceux remboursés depuis moins de trois ans, permet d'en déduire le niveau des revenus, voire le montant du patrimoine immobilier acquis à crédit.

La Commission souligne, en outre, que ces informations sont susceptibles d'être conservées dans les traitements automatisés des organismes destinataires et ainsi d'être utilisées au-delà de l'instruction d'une demande de crédit qui en a justifié la transmission, notamment à des fins commerciales.

La Commission estime, en conséquence, que le traitement des données dans les conditions précitées ne répond pas à l'exigence de proportionnalité prévue à l'article 6 de la loi du 6 janvier 1978.

Dans ces conditions et pour l'ensemble de ces motifs, la Commission n'autorise pas la société Experian à mettre en oeuvre le traitement de données à caractère personnel dénommé "centrale de crédit".

Le président, Alex TURK.

About the author

Thiébaut Devergranne

Thiébaut Devergranne est docteur en droit et consultant. Il travaille en droit des nouvelles technologies depuis plus de 10 ans, dont 6 passees au sein des services du Premier ministre. En savoir plus.

Click here to add a comment

Leave a comment: