• Home  / 
  • DELIBERATION 2011-162

DELIBERATION 2011-162

By Thiébaut Devergranne / 5 years ago

(demande d’autorisation n°1306450)
La Commission nationale de l'informatique et des libertés,
Vu la Convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et la libre circulation de ces données ;
Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés modifiée par la loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel, notamment son article 25-I-4° ;
Vu le code monétaire et financier ;
Vu le décret n° 2005-1309 du 20 octobre 2005 pris pour l'application de la loi du 6 janvier 1978 modifiée par la loi n° 2004-810 du 6 août 2004 ;
Vu la délibération n°2008-198 du 9 juillet 2008 modifiant l’autorisation unique n°AU-005 relative à certains traitements de données à caractère personnel mis en œuvre par les établissements de crédit pour aider à l’évaluation et à la sélection des risques en matière d’octroi de crédit ;
Vu la demande d’autorisation déposée par la société Crédit Moderne Antilles Guyane relative à un traitement automatisé de données à caractère personnel ayant pour finalité l’aide à la décision d’octroi de crédit et la prévention des impayés ;
Après avoir entendu M. Jean-Paul AMOUDRY, commissaire, en son rapport, et Mme Elisabeth ROLIN, commissaire du gouvernement, en ses observations.
Formule les observations suivantes :
La société Crédit Moderne Antilles Guyane a saisi la Commission nationale informatique et libertés d’un dossier relatif à la mise en œuvre d’un traitement de données à caractère personnel dont la finalité est l’aide à la décision d’octroi de crédit et la prévention des impayés.
Le traitement de données à caractère personnel soumis à l’examen de la Commission doit permettre d’évaluer, sur la base de modèles de score, le risque statistique de défaut de remboursement attaché à chaque demande de crédit qui lui est présentée et de constituer des modèles de score à partir de l’analyse statistique des données personnelles en sa possession, d’en vérifier la pertinence et de les actualiser.
Ce traitement permet d’évaluer pour chaque personne présentant une demande de crédit à la consommation, le risque statistique de défaillance qui lui est attaché et de sélectionner les demandes qui correspondent à un niveau de risque acceptable de défaillance. Il est, par voie de conséquence, susceptible d’exclure, au moins de façon temporaire, une personne du bénéfice d’un contrat là où aucun texte législatif ou réglementaire ne prévoit une telle exclusion.
Dès lors, ce traitement relève de l’article 25-I-4° de la loi du 6 janvier 1978 modifiée et doit, à ce titre, être autorisé par la Commission.
Par sa délibération n° 2008-198 du 9 juillet 2008 modifiant l’autorisation unique AU-005, la Commission a autorisé les traitements mis en œuvre par les établissements de crédit pour aider à l’évaluation et à la sélection des risques en matière d’octroi de crédit sous réserve que les finalités de ces traitements, les catégories de données utilisées et leurs destinataires n’excèdent pas le cadre qui y est défini, que ces traitements remplissent également les conditions qui y sont fixées, et que les responsables de ces traitements adressent à la CNIL un engagement de conformité à l’autorisation unique AU-005.
Tout projet de traitement automatisé dont les finalités ou les catégories de données ou de destinataires excèdent le cadre de cette autorisation unique ou qui ne respecterait pas les exigences qui y sont définies, doit, en revanche, faire l’objet d’une demande d’autorisation spécifique présentant et expliquant les différences entre le traitement envisagé et l’autorisation unique.
L’analyse des caractéristiques du traitement qui est l’objet de la présente demande fait apparaître plusieurs différences par rapport à l’AU-005 qui, de ce fait, doivent faire l’objet d’une autorisation spécifique de la Commission.
Les catégories de données prises en compte pour le calcul du score attaché à chaque demande de crédit sont celles prévues par l’autorisation unique AU-005 mais également :
- Certaines variables supplémentaires concernant le demandeur de crédit :

  • la situation de divorcé,
  • le type de contrat de travail,
  • certaines variables sont croisées : l’âge du demandeur et la situation familiale, le type et l’ancienneté de l’habitat, la situation de famille et le nombre d’enfants, les revenus et le nombre d’unités de consommation du foyer.

- D’autres variables supplémentaires se rapportant aux autres personnes qui contribuent aux revenus du ménage : l’ancienneté professionnelle du conjoint, croisée avec son code socioprofessionnelle, son taux d’endettement.
Le traitement tient également compte :

  • du nombre global des crédits non encore intégralement remboursés qui ont été consentis au demandeur par BNP Paribas Personal Finance ou les établissements de crédits qui lui sont liés
  • du montant global restant à rembourser correspondant à ces crédits
  • des demandes d’augmentation du plafond d’un découvert toujours en cours, lorsqu’elles ont été refusées par le Crédit Moderne Antilles Guyane.

La Commission estime que la prise en compte de ces données est adéquate, pertinente et non excessive au regard de la finalité poursuivie. Elle rappelle que les modalités de levée du secret bancaire doivent être conformes aux dispositions de l’article L. 511-33 du code monétaire et financier.
Les demandeurs de crédit bénéficient de l’information prévue à l’article 32 de la loi du 6 janvier 1978 préalablement au recueil des données personnelles, dans les conditions définies à l’article 90 du décret n°2005-1309 susvisé, notamment en cas de commercialisation des crédits par voie téléphonique.
Par ailleurs, les conditions d’utilisation du résultat de l’application du score font apparaître des différences par rapport à l’autorisation unique 005 :
Les personnels habilités à participer à l’entretien prévu en vue du réexamen des demandes de crédit rejetées, dans un premier temps, par le système de score, disposeront de pouvoirs de délégation leur permettant de proposer, après prise en compte des observations du demandeur de crédit sur sa situation financière personnelle, une nouvelle décision. Cependant, cette nouvelle proposition n’entrera en vigueur que si elle est contresignée par un responsable hiérarchique habilité.
La Commission rappelle que ces règles de procédure et les critères à prendre en compte pour octroyer un crédit dans le cadre de cette procédure doivent être définis dans des instructions internes adressées aux personnels concernés.
En ce qui concerne les demandes de crédit satisfaites qui ont été présentées par de nouveaux clients, le déclarant prévoit également d’utiliser le résultat du score pour évaluer le risque de crédit associé à l’emprunteur au titre du système de notation interne dit Bâle II. La « note Bâle II » sera, dans cette hypothèse, le résultat du score. En effet, le responsable du traitement ne disposera pas, en de telles circonstances, d’autres éléments de référence jugés pertinents au regard des exigences de la maîtrise du risque.
La Commission reconnaît la légitimité de l’utilisation du résultat du score en tant que « note Bâle II » d’un nouvel emprunteur aussi longtemps que l’établissement de crédit n’est pas en possession d’informations plus pertinentes pour évaluer le risque de crédit qu’il représente. Elle note que la durée de conservation de ce résultat ne dépassera pas trois mois.
Enfin, s’agissant des garanties prises vis à vis des apporteurs d’affaires pour empêcher toute utilisation des données transmises par la société Crédit Moderne Antilles Guyane qui ne seraient pas conformes à la finalité du traitement, les clauses contractuelles prévoient une obligation de confidentialité.
Les autres caractéristiques du traitement mis en œuvre par la société Crédit Moderne Antilles Guyane sont conformes à l’autorisation unique AU 005.
La délibération n° 2010-328 du 22 juillet 2010 est abrogée.
Autorise, dans les conditions prévues par le dossier du demandeur et la présente délibération, la société Crédit Moderne Antilles Guyane à mettre en œuvre le traitement automatisé d’aide à la décision d’octroi de crédit et la prévention des impayés.

Le Président

Alex TURK

About the author

Thiébaut Devergranne

Thiébaut Devergranne est docteur en droit et consultant. Il travaille en droit des nouvelles technologies depuis plus de 10 ans, dont 6 passees au sein des services du Premier ministre. En savoir plus.

Click here to add a comment

Leave a comment: