• Home  / 
  • DELIBERATION 2009-358

DELIBERATION 2009-358

By Thiébaut Devergranne / 5 years ago

(demande d’Autorisation n°1347180)
La Commission nationale de l'informatique et des libertés,
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et la libre circulation de ces données ;
Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel, et notamment son article 25 (5°) ;
Vu le décret n° 71-941 du 26 novembre 1971 relatif aux actes établis par les notaires ;
Vu le décret n° 2005-1309 du 20 octobre 2005 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifié par le décret n° 2007-451 du 25 mars 2007 ;
Vu la délibération n° 2006-147 du 23 mai 2006 fixant le règlement intérieur de la Commission nationale de l’informatique et des libertés ;
Vu la délibération n°2008-007 du 10 janvier 2008 portant autorisation unique de traitements de données à caractère personnel aux fins d’exercice des activités notariales et de rédaction des documents des offices notariaux ;
Après avoir entendu Mme Claire DAVAL, en son rapport, et Mme Elisabeth ROLIN, commissaire du Gouvernement, en ses observations.
Formule les observations suivantes :
La Commission nationale de l'informatique et des libertés (CNIL) constate que les caisses régionales du crédit agricole mettent en œuvre des traitements de données à caractère personnel permettant à partir des fichiers de leurs clients d’assurer le suivi des dossiers clients dans le cadre d’opérations de crédits immobiliers en y intégrant des informations en provenance des traitements des offices notariaux ou en communiquant des données vers les applications de ces offices.
Elle constate que ces traitements de données à caractère personnel ont vocation à s’intégrer dans l’application Mécanotaire (Mécaniques d’échange avec le notariat) et comportent des interconnexions avec le traitement des offices notariaux, dont les finalités principales sont différentes.
Dès lors, de tels traitements relèvent de l'article 25 (I, 5°) de la loi du 6 janvier 1978 susvisée et doivent, à ce titre, être autorisés par la CNIL.
En vertu de l'article 25 (II) de la loi du 6 janvier 1978 susvisée, la Commission peut adopter une décision unique d'autorisation pour des traitements répondant notamment aux mêmes finalités, portant sur des catégories de données et des catégories de destinataires identiques.
Le responsable de chaque traitement se conformant à cette décision unique adresse à la commission un engagement de conformité aux caractéristiques de celui-ci de la présente autorisation.
Décide que les caisses régionales qui adressent à la Commission un engagement de conformité pour leurs traitements de données à caractère personnel répondant aux conditions fixées par la présente décision unique sont autorisées à mettre en œuvre ces traitements.
Article 1
Finalités du traitement.
Seuls peuvent faire l'objet d'un engagement de conformité par référence à la présente décision unique les traitements mis en œuvre par les caisses régionales du crédit agricole aux fins de gestion des dossiers de vente immobilière assortie d’un crédit bancaire et de rédaction de documents correspondant aux finalités définies ci-après, et ayant vocation à être transmis à un office notarial.
Ces traitements peuvent avoir pour finalités :
aLa dématérialisation des échanges avec les offices notariaux c'est-à-dire l’envoi et la réception d’informations ou de documents à destination ou en provenance des offices notariaux pour les seuls besoins de traitement des dossiers de crédit immobilier dans le cadre de l’application Mécanotaires, sans accès aux traitements de données à caractère personnel des offices
a La preuve des échanges entre l’office notarial et la Caisse régionale.
a Le suivi des dossiers clients dans le domaine des crédits immobiliers dans le cadre du partenariat avec un office notarial.
Article 2
Catégories de données à caractère personnel enregistrées
Seules les informations suivantes peuvent être traitées :

  1. Les informations relatives à la gestion par la caisse régionale des dossiers immobiliers assortie d’un prêt :

aInformations relatives à la gestion du dossier client des personnes physiques : civilité, nom patronymique, nom d’usage, prénom, date de naissance, adresse, lieu de naissance, pays de naissance, nationalité, situation familiale (non concerné, célibataire, marié, veuf, divorcé, séparé, concubin, inconnu), régime matrimonial ;
aInformations relatives à la gestion du dossier client des personnes morales : raison sociale et catégorie juridique de la personne morale, adresse du siège social, civilité, nom, prénom, adresse, date et lieu de naissance du représentant de la personne morale ;
aDonnées relatives à l’offre et au financement : commune du bien financé, destination du financement (résidence principal, locatif), montant de l’opération, montant des prêts, montant de l’apport personnel, date d’émission de l’offre scrivener, date d’envoi de l’offre scrivener, date de réception de l’offre scrivener, date d’acceptation de l’offre scrivener ;
aDonnées relatives au prêt : numéro du prêt, nature, montant etdurée du prêt, date de 1ère et dernière échéance ;
aDonnées relatives aux assurances : couverture assurance décès invalidité (ADI), quotité de couverture, date de prise d’effet de l’ADI, nom de la compagnie d’assurance et adresse, numéro de police d’assurance, quotité de couverture du risque perte d’emploi, date de prise d’effet ;
a Données relatives à la caractéristique de la garantie : type de garantie, rang demandé pour la garantie, durée de la garantie, montant et devise de la garantie, adresse du bien donné en garantie, référence cadastrale, conservation des hypothèques, mode de transmission des pièces par le notaire à la caisse régionale, nom de l’agence, du conseiller ;
aDonnées relatives à l’acte de prêt : date de signature, délai de déblocage des fonds, présence du prêt dans l’acte notarié, type de copie exécutoire, éligibilité au marché hypothécaire, demande d’envoi du projet d’acte pour validation préalable à la signature, montant total des fonds envoyés, date d’envoi, mode de paiement, remboursement anticipé, date d’arrêté de décompte, capital restant dû, intérêts, indemnités de remboursement anticipé, demande de retour des fonds au crédit agricole (vente du bien financé), frais d’établissement de décompte, total dû à la date d’arrêter des comptes, nature de la pièce post publication (hypothèque), date d’envoi par la caisse régionale au notaire et date de réception des documents hypothécaires par le Crédit Agricole ;
b) Les informations relatives à l’envoi dématérialisé de documents vers les offices notariaux, dans le cadre du traitement Mécanotaires :
aNuméro CRPCEN, identifiant de la caisse régionale, référence du dossier crédit agricole, nom du gestionnaire du dossier au Crédit Agricole, référence du dossier notaire, nom du notaire ;
Les données enregistrées ne peuvent pas, dans le cadre de la présente décision d'autorisation unique, faire l'objet d'autres traitements, ni être intégrées dans d'autres fichiers, ni faire l'objet d'autres interconnexions, rapprochements ou forme de mise en relation avec d'autres traitements que ceux servant à alimenter les traitements aux fins d'exercice des caisses régionales visés à l'article 1er.
Article 3
Information des personnes
Les personnes concernées sont informées de l'identité du responsable du traitement, des finalités poursuivies, du caractère obligatoire ou facultatif des réponses à apporter, des conséquences éventuelles, à leur égard, d'un défaut de réponse des destinataires des données et de leurs droits d'opposition, pour des motifs légitimes, au traitement de leurs données, sauf dans les cas où le traitement répond à une obligation légale, d'accès aux données les concernant et de rectification de ces données.
Elles sont informées, en particulier, que les informations les concernant sont transmises à l’office notarial concerné.
Le droit d'accès défini au chapitre V de la loi s'exerce auprès du ou des services que la caisse régionale a désigné(s). Cette information figure sur les supports utilisés par le responsable du traitement pour le recueil des informations portant sur les personnes concernées.
Hormis les cas prévus à l'article 4, les caisses régionales s'engagent à ne pas diffuser à des tiers les informations reçues dans le cadre de l’application Mécanotaires, sauf les cas prévus par les textes en vigueur.
Article 4
Destinataires des informations.
Dans la limite de leurs attributions respectives et pour l'exercice des finalités précitées, seuls sont autorisés à accéder directement aux informations contenues dans le traitement de données à caractère personnel aux fins d'exercice des activités des caisses régionales et de rédaction des actes et des documents de l'office notarial les agents habilités de la caisse régionale du crédit agricole.
Les agents habilités de la caisse régionale ne doivent accéder qu'aux données dont ils font un usage habituel en fonction des missions qui leurs sont assignées.
Dans la limite de leurs attributions respectives et pour l'exercice de leur mission dans le cadre des finalités précitées, seuls sont destinataires des informations qui les concernent dans la mesure où ils y sont autorisés et dans le respect des dispositions de la loi du 6 janvier 1978 susvisée, les agents habilités :
adu service clientèle de la caisse régionale ;
adu service en charge de la gestion des prêts au siège social de la caisse régionale ;
adu crédit agricole ;
ade l’office notarial.
Article 5
Durée de conservation.
Les informations relatives au client de la caisse régionale nécessaires à la gestion des dossiers de crédit immobilier en cours et à la rédaction des documents s’y rapportant, sont conservées trente ans à compter de l'achèvement de la prestation, conformément à l’article 22-72 de la loi n° 2008-561 du 17 juin 2008 sur la prescription en matière civile.
Article 6
Mesures de sécurité.
Des mesures de protection physique et logique doivent être prises pour préserver la sécurité du traitement et des informations, empêcher toute utilisation détournée ou frauduleuse des informations, notamment par des tiers non autorisés.
Les accès individuels à l'application s'effectuent par un identifiant et un mot de passe individuels, régulièrement renouvelés, ou par tout autre moyen d'authentification.
Une journalisation des connexions est mise en œuvre.
Les systèmes d’information des offices notariaux sont connectées à la plateforme « PLANETE » qui est hébergée par le serveur du Conseil supérieur du notariat. Les liaisons entre le serveur du Conseil supérieur du notariat et le serveur du Crédit agricole utilisent une liaison spécialisée dédiée.
Article 7
Tout traitement aux fins d'exercice des caisses régionales du crédit agricole ne répondant pas aux conditions précédemment exposées devra faire l'objet d'une déclaration auprès de la Commission nationale de l'informatique et des libertés.
Article 8
La présente délibération, sera publiée au Journal officiel de la République française.

Le Président,

Alex TURK.

About the author

Thiébaut Devergranne

Thiébaut Devergranne est docteur en droit et consultant. Il travaille en droit des nouvelles technologies depuis plus de 10 ans, dont 6 passees au sein des services du Premier ministre. En savoir plus.

Click here to add a comment

Leave a comment: