• Home  / 
  • DELIBERATION 2010-425

DELIBERATION 2010-425

By Thiébaut Devergranne / 5 years ago

(demande d’autorisation n° 1303980)
La Commission nationale de l'informatique et des libertés,
Vu la Convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et la libre circulation de ces données ;
Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés modifiée par la loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel, et notamment son article 25-I-4 ;
Vu le décret n° 2005-1309 du 20 octobre 2005 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifié par le décret n°2007-451 du 25 mars 2007 ;
Vu la demande d’autorisation déposée par la société CREDIT AGRICOLE CONSUMER FINANCE relative à un traitement de données à caractère personnel ayant pour finalité la détection des incohérences figurant dans les demandes de crédit des particuliers;
Sur le rapport de M. Jean-Paul AMOUDRY, commissaire, et les observations de Mme Elisabeth ROLIN, commissaire du gouvernement ;
Formule les observations suivantes :
La société CREDIT AGRICOLE CONSUMER FINANCE a saisi la Commission nationale de l’informatique et des libertés d’une demande d’autorisation relative à un projet de traitement de données à caractère personnel dont la finalité est de détecter des incohérences figurant dans les informations fournies par des particuliers lors d’une demande de crédit.
Sur la formalité à accomplir auprès de la Commission
La Commission observe que la finalité du traitement automatisé dénommé « PREVIRR » est de détecter des incohérences figurant dans les demandes de crédit effectuées par des particuliers sur un point de vente, dans une agence du CREDIT AGRICOLE CONSUMER FINANCE ou de ses filiales, ou par internet.
Ce traitement peut ainsi, du fait de sa nature et de sa finalité, conduire à l’exclusion de personnes du bénéfice d’une prestation ou d’un contrat en l’absence de toutes dispositions légales ou réglementaires prévoyant une telle exclusion.
Dès lors, il relève du 4° du I de l’article 25 de la loi du 6 janvier 1978 modifiée en 2004 et doit, à ce titre, faire l’objet d’une autorisation de la CNIL.
Sur la finalité et les caractéristiques du traitement
Le traitement mis en œuvre doit permettre au CREDIT AGRICOLE CONSUMER FINANCE de détecter des incohérences entre certaines informations figurant dans les demandes de crédit et les informations fournies au titre de précédentes demandes de prêt centralisées dans sa base de données clients. Celle-ci regroupe l’ensemble des demandes de crédit réalisées auprès du CREDIT AGRICOLE CONSUMER FINANCE ou de ses filiales, au cours des cinq dernières années.
Les incohérences détectées par PREVIRR font l’objet d’une analyse manuelle par un service central dénommé Détection et Prévention des Incohérences de Crédit (DPIC). Le niveau d’incohérence est défini par ce service après analyse des caractéristiques des anomalies détectées (nombre et type de champ concerné).
Ainsi, toute divergence sur un élément d’identité (nom, prénom, date et lieu de naissance) est qualifiée d’incohérence forte. Les incohérences détectées sur les autres données sont quant à elles qualifiées de potentielles.
Une fois le niveau d’incohérence caractérisé, une fiche d’aide à la décision est établie puis transmise au chargé de clientèle du demandeur. Celle-ci ne saurait à elle seule conduire à un refus d’octroi de crédit et ne constitue qu’un élément d’aide à la décision. Ainsi, le chargé de clientèle devra procéder à des vérifications complémentaires au vu des éléments déjà fournis par le client et se rapprocher de ce dernier afin de lui permettre de faire valoir ses observations.
La Commission prend acte que les alertes générées par l’application PREVIRR donneront lieu systématiquement à une analyse manuelle.
Elle observe également qu’avant toute décision de refus de crédit, des vérifications complémentaires seront effectuées au vu des éléments déjà fournis par le demandeur de crédit et qu’il lui sera possible de faire valoir ses observations.
Conformément aux dispositions de l’article 10 alinéa 2 de la loi du 6 janvier 1978 modifiée, aucune décision automatisée n’est prise à l’égard des demandeurs de crédit au vu des seuls résultats du traitement
Sur les données collectées
Les catégories de données analysées lors de la recherche des incohérences sont exclusivement :

  • l’identité des demandeurs de crédit : nom, prénoms, date et département de naissance ;
  • leurs adresses postale et électronique, leurs numéros de téléphone,
  • leur relevé d’identité bancaire ;
  • des données relatives à leur employeur : nom ou raison sociale, adresse, numéro de téléphone.

La fiche d’aide à la décision transmise au chargé de clientèle comporte des informations relatives aux données présentant des incohérences et à la qualification de celles-ci. Cette fiche comporte également une zone de texte libre d’où est exclue toute information sans rapport avec la finalité du traitement et tout jugement de valeur.
La Commission considère que les données collectées sont adéquates, pertinentes et non excessives au regard de la finalité du traitement.
Sur la durée de conservation des données
Les informations relatives aux incohérences sont conservées dans l’application PREVIRR pendant une durée d’un an. A l’issue de cette durée, l’ensemble des données sont toutes effacées ou détruites, selon qu’il s’agisse de documents sous forme numérique ou papier.
La Commission observe que les données servant de base de comparaison afin de détecter des incohérences sont celles collectées par le CREDIT AGRICOLE CONSUMER FINANCE ou par ses filiales lors de précédentes demandes de crédits effectuées auprès de ses établissements au cours des cinq dernières années.
Sur les destinataires des informations
Seuls ont accès à cette application les agents du service Détection et Prévention des Incohérences de Crédit (DPIC) qui analyseront les données pour le compte du CREDIT AGRICOLE CONSUMER FINANCE, ou de ses filiales.
Afin de procéder à des vérifications complémentaires, les chargés de clientèles des agences du CREDIT AGRICOLE CONSUMER FINANCE, ou de ses filiales sont destinataires des fiches d’aide à la décision pour autant qu’elles se rapportent aux clients dont ils instruisent le dossier.
La Commission relève qu’en outre les incohérences détectées dans les douze derniers mois peuvent également être transmises au chargé de clientèle saisi d’une nouvelle demande de crédit. Les informations ainsi communiquées peuvent provenir du CREDIT AGRICOLE CONSUMER FINANCE ou de ses filiales et bénéficier à l’un de ces établissements dans le seul cas où il est saisi de la nouvelle demande de crédit.
Enfin, ces transmissions sont limitées aux données énumérées ci-dessus. Ainsi, elles ne porteront en aucun cas sur des informations relatives à la situation économique et financière du demandeur de crédit.
La Commission observe que la nature des liens entre chaque établissement susvisé prend la forme d’un lien capitalistique, que l’ensemble de ces établissements sont spécialisés dans le crédit à la consommation et qu’à ce titre, il existe une communauté de risques financiers entre les sociétés bénéficiaires de la transmission d’information.
Les actions effectuées par les agents du service DPIC et les chargés de clientèle sont tracées afin de permettre de détecter et d’analyser tous accès, modifications et suppressions de données non autorisés.
Sur l’information des personnes concernées
Conformément aux dispositions de l’article 32 de la loi du 6 janvier 1978 modifiée, les demandeurs de crédit sont informés, par chacun des établissements qui bénéficient du dispositif de détection des anomalies, de l’existence du traitement mis en œuvre par le CREDIT AGRICOLE CONSUMER FINANCE ainsi que des modalités d’exercice de leurs droits d’accès, de rectification et d’opposition au moyen des documents qui leur sont communiqués tant au moment de la demande de crédit qu’à la réception de l’offre de crédit.
Dans la mesure où les informations transmises dans le cadre d’une demande de crédit sont couvertes par le secret bancaire, il est prévu qu’une clause distincte de l’offre de crédit comporte l’autorisation explicite du client de partager des informations couvertes par le secret bancaire.
La Commission relève que le consentement des clients est recueilli par le biais de cette clause particulière de la demande de crédit qui précise la finalité et les destinataires des données.
La Commission observe que dans l’hypothèse où le demandeur refuserait de consentir à la levée du secret bancaire, une procédure alternative est mise en place afin de garantir l’examen de sa demande.
Autorise, dans les conditions prévues par la présente délibération, la société CREDIT AGRICOLE CONSUMER FINANCE à mettre en œuvre un traitement de données à caractère personnel ayant pour finalité la détection des incohérences figurant dans les demandes de crédit des particuliers.

Le Président,


Alex TURK

About the author

Thiébaut Devergranne

Thiébaut Devergranne est docteur en droit et consultant. Il travaille en droit des nouvelles technologies depuis plus de 10 ans, dont 6 passees au sein des services du Premier ministre. En savoir plus.

Click here to add a comment

Leave a comment: