La loi Informatique et Liberté et les listes noires

La transposition, par la loi du 6 août 2004 relative à la protection des personnes physiques à l’égard des traitements à caractère personnel, de la directive cadre du 24 octobre 1995, encadre la mise en œuvre des traitements automatisés susceptibles « du fait de leur nature, de leur portée ou de leur finalité d’exclure des personnes du bénéfice d’un droit, d’une prestation ou d’un contrat, en l’absence de toute disposition législative ou réglementaire » (article 25 de la loi du 6 août 2004).

Cet article 25 a vocation à s’appliquer de manière large. Ainsi, des traitements qui seraient simplement susceptibles d’exclure une personne d’un droit sont visés par ce texte, tout comme ceux dont l’exclusion ne serait pas la finalité mais la conséquence, ou encore, ceux impliquant l’exclusion d’une prestation ou d’un simple contrat. Il peut s’agir des fichiers d’incident de paiement, relativement répandus en matière de vente en ligne, l’acheteur ayant connu un incident de paiement se voyant refuser un achat ultérieur.

Ainsi, en vertu de cet article, de tels traitements doivent faire l’objet d’une autorisation préalable de la part de la CNIL.

Lorsque différents traitements répondant à une même finalité, portant sur des catégories de données identiques et ayant les mêmes destinataires sont soumis à autorisation, la Commission peut les autoriser par une décision unique. Dans ce cas, le responsable de chaque traitement adresse à la Commission un engagement de conformité dudit traitement à la description figurant dans l’autorisation.

A titre d’exemple, la CNIL s’est prononcée le 21 septembre 2004 sur une demande émanant du GIE PREVENTEL, sollicitant une autorisation, en vertu de l’article 25-I-4 de la loi du 6 août 2004, pour l’abaissement du seuil d’inscription des personnes au fichier des impayés, en matière de téléphonie fixe ou mobile. Cette demande était motivée par la volonté de lutter contre les impayés constatés lors de la souscription d’abonnement post-payés de faible montant. La CNIL a autorisé le traitement projeté, en limitant à 30 euros minimum le seuil d’inscription.

Une demande d’autorisation émanant de la Banque de France a également été soumise à la CNIL le 2 décembre 2004, dans le cadre des dispositions de l’article 25 de la loi du 6 août 2004, visant le phénomène des « chèques flambants » (chèques émis massivement et en quelques jours à partir d’un même compte).

La personne sollicitant une telle autorisation doit ainsi communiquer à la Commission :

• l’identité et l’adresse du responsable du traitement,

• la ou les finalités du traitement, ainsi que la description générale de ses fonctions,

• le cas échéant, les interconnexions, rapprochements ou toute autre forme de mise en relation avec d’autres traitements,

• les données à caractère personnel traitées, leur origine et les catégories de personne concernées par le traitement,

• la durée de conservation des informations traitées (ce point précis faisant l’objet d’un examen très attentif de la part de la CNIL),

• le ou les services chargés de mettre en œuvre le traitement ainsi que les catégories de personnes qui, en raison de leurs fonctions ou pour les besoins du service, ont directement accès aux données enregistrées,

• les destinataires ou catégories de destinataires habilités à recevoir communication des données,

• la fonction de la personne ou le service auprès duquel s’exerce le droit d’accès, ainsi que les modalités relatives à l’exercice de ce droit,

• les dispositions prises pour assurer la sécurité des traitements et des données, et, le cas échéant, l’indication du recours à un sous-traitant,

• le cas échéant, les transferts de données à caractère personnel envisagés à destination d’un Etat non membre de la Communauté Européenne.

Devront également être jointes les pièces justifiant des mentions d’informations apportées aux personnes physiques concernées.

L’autorisation délivrée, le cas échéant, par la CNIL pour la mise en œuvre d’un tel traitement, reprend la dénomination et la finalité du traitement, le service auprès duquel s’exerce le droit d’accès, les catégories de données à caractère personnel enregistrées et les destinataires habilités à recevoir communication de ces données.

La CNIL se prononce dans un délai de deux mois à compter de la réception de la demande d’autorisation.

En cas d’absence de réponse dans ce délai, la demande d’autorisation est réputée rejetée.

La CNIL avait dégagé dans son rapport, antérieur à la loi du 6 août 2004, relatif aux listes noires, différents principes applicables à de tels fichiers centraux. Elle préconisait ainsi l’information des personnes visées, non seulement au stade de la collecte des données, mais également lors de la réalisation de l’incident susceptible de donner lieu à une inscription, avec un délai au cours duquel une régularisation était possible, et une nouvelle fois lors de l’inscription effective de cet incident.

Elle recommandait par ailleurs une sectorisation accrue de ces fichiers, avec une limitation d’accès aux seuls professionnels du secteur concerné, afin de respecter le principe de proportionnalité. En outre, la CNIL encourage le responsable du traitement à s’assurer du caractère certain du manquement imputé à la personne concernée, et de limiter l’inscription à des éléments susceptibles d’une appréciation objective.

Ce principe de sectorisation a été confirmé par un arrêt du Conseil d’Etat en date du 28 juillet 2004, « eu égard au risque de discrimination et d’atteinte à la vie privée que comporte la diffusion par l’intermédiaire du réseau Internet de fichiers automatisés recensant des personnes à risque« .

Enfin, la CNIL considère que les durées de conservation des données enregistrées doivent être proportionnées au motif d’inscription, et que des procédures de mises à jour régulières et de suppression des informations doivent être mises en œuvre.

Par ailleurs, si le transfert de données au profit d’un autre Etat de l’Union Européenne ou d’un Pays de l’Espace Economique Européen est désormais libre de toute formalité, dès lors qu’il obéit à l’ensemble des dispositions de la loi du 6 janvier 1978, le transfert en dehors de l’Union Européenne est, lui, en principe interdit, même si certaines exceptions ont été ménagées par la loi du 6 août 2004.

Un tel transfert peut ainsi être autorisé lorsque le Pays destinataire assure, selon la Commission Européenne, un niveau de protection suffisant à l’égard du traitement dont ces données font l’objet. Dans le cas contraire, il peut néanmoins être autorisé, avec le consentement exprès de la personne concernée, par décision de la CNIL, lorsque le traitement garantit un niveau suffisant de protection, ou, notamment, lorsque le transfert est nécessaire à l’exécution d’un contrat entre le responsable du traitement et la personne concernée.

Dans tous les cas, la CNIL examinera de manière très attentive, dans la demande d’autorisation qui lui est soumise, les modalités d’un tel transfert, qui peut faire l’objet d’une demande de conseil préalable auprès de la CNIL.

Dans ce cadre, la CNIL a récemment examiné plusieurs traitements de « credit scoring », présentés, notamment, par des établissements bancaires. La CNIL définit le « credit scoring » comme un logiciel « de scores de crédit associant à des informations personnelles relatives au demandeur de crédit (niveau de ressources financières, nombre de personnes à charge, stabilité de résidence ou dans l’emploi) des pondérations particulières issues de données statistiques, se traduisant par des probabilités de défaut« .

Ces traitements de « credit scoring » étant susceptibles d’exclure des personnes du bénéfice d’un contrat de crédit, ils sont soumis aux dispositions de l’article 25-I-4 de la loi du 6 août 2004.

La CNIL a adopté, le 2 février 2006, une autorisation unique pour « l’évaluation et la sélection des risques en matière d’octroi de crédit (score)« . Cette autorisation porte notamment sur les traitements mettant en œuvre ces outils pour l’octroi de crédit aux personnes physiques, par le biais des agences commerciales des établissements financiers concernés, par le biais d’Internet, ou par celui de magasins permettant l’achat à crédit d’un bien visé.

Cette autorisation prévoit que le refus de crédit intervenant dans le cadre d’un tel traitement sera impérativement accompagné d’une information de la personne physique sur les droits dont elle dispose en vertu de la loi Informatique et Liberté (nouvelle étude de la demande, information sur les principales difficultés du dossier, etc.).

La CNIL prend en outre le soin de préciser qu’aucune des informations utilisées pour établir le score ne doit, à elle seule, avoir « un effet d’exclusion absolu disqualifiant« . Il est à noter que les scores d’alerte ou d’appétence destinés à l’envoi de propositions commerciales ne sont pas couverts par cette autorisation.

Enfin, la CNIL a, pour la première fois, mis en œuvre le pouvoir de sanction pécuniaire issu de la loi du 6 août 2004 à l’encontre du CREDIT LYONNAIS, en lui infligeant une amende de 45.000 euros pour entrave à son action et inscription abusive de clients sur le fichier des « retraits CB », tenu par la Banque de France. Le CREDIT LYONNAIS n’avait pas respecté des conditions d’inscription dans ce fichier liées au seul usage de la carte bancaire, et qui ne sauraient être étendues, notamment, aux utilisations de chèques sans provision.

Blandine POIDEVIN

Avocat

Chargée d’enseignement à l’Université de Lille 2

Viviane GELLES

Avocat