Messages les plus consultés

vendredi 13 juillet 2012

Les règles juridiques applicables à la constitution de fichiers de clients indésirables et listes noires

De nombreux organismes privés (entreprises, associations, syndicats professionnels) ou publics, quels que soient leurs domaines d’activité, constituent des fichiers recensant les mauvais payeurs, fraudeurs, ou personnes à risques. Ces listes d'exclusions, ou listes négatives, sont communément appelées "listes noires".

La position de la CNIL concernant ces types de fichiers a évolué avec le temps. Alors que la constitution de ces fichiers était quasiment interdite, car interdisant des catégories de personnes d’avoir accès à des produits ou services, la position de la Commission s’est assouplie, de manière assez pragmatique, afin de prendre en compte le développement de la fraude au paiement sur internet par exemple. C'est ainsi que, dans un rapport de 2003, la CNIL a publié plusieurs propositions et principes (information des personnes, proportionnalité, pertinence des informations collectées, durée de conservation raisonnable et sécurité des données) visant à encadrer de façon "plus réaliste" une pratique qui se généralisait dans tous les secteurs d'activité. (1)

Cependant, ces listes ont un impact direct sur la vie privée des personnes concernées, étant susceptibles de les exclure socialement (refus de vente ou de fourniture d’un service). La constitution de ce type de fichiers reste donc très encadrée par la loi.

Une récente délibération de la CNIL, concernant le Syndicat national des maisons de ventes volontaires (SYMEV) qui avait créé une liste noire d'acheteurs défaillants, sans respecter les conditions posées par la loi, nous donne l'occasion de rappeler les obligations légales pesant sur les organismes souhaitant constituer ces types de fichiers et les sanctions applicables en cas de non respect de ces obligations.


1. Quels types de fichiers sont constitutifs de "listes noires" ?

Une liste noire est un fichier rassemblant des données à caractère personnel (nom, adresse, numéro de carte bancaire, etc.) sur des personnes mises sous surveillance par un organisme, ou avec lesquelles l’organisme ne souhaite plus traiter en raison de la survenance antérieure d'incidents (par exemple, fraude ou incident de paiement). Une liste noire peut être interne à un organisme ou mutualisée entre plusieurs entités juridiques.

    1.1 Les fichiers concernés
Il existe une grande diversité de finalités et de contenus des listes mises en oeuvre. On retiendra notamment, parmi ces listes de personnes à risques ou indésirables :
    - les fichiers de clients douteux ou fichiers d'anomalies : par exemple lorsqu’un même client passe plusieurs commandes sur un site de e-commerce mais saisit plusieurs numéros de cartes bancaires et de téléphone et plusieurs adresses de domicile ;
    - les fichiers de fraudeurs : ces fichiers concernent des personnes ayant fourni de fausses informations (telles que fausse adresse ou numéro de carte bancaire, ou faux bulletins de paye), ou les fichiers de lutte contre la fraude au crédit ou à l'assurance ;
    - les fichiers d'auteurs de comportements répréhensibles : par exemple, les fichiers de conducteurs de véhicules de location ayant commis des infractions ;
    - les fichiers de mauvais payeurs : par exemple, les fichiers d'incidents de paiement ou de locataires mauvais payeurs. Ces fichiers sont courants en matière de vente en ligne ; dans ce cas l'acheteur ayant connu un incident de paiement se voit refuser la possibilité d'acheter ultérieurement sur le site web créditeur.

On peut citer également le fichier Preventel mis en oeuvre par le GIE Prévention Télécommunications. Ce fichier recense notamment les impayés dans le secteur de la téléphonie mobile. Les opérateurs de téléphonie mobile (tels Orange France, SFR, Bouygues Telecom, Auchan Telecom, etc.), membres du GIE, consultent le fichier Preventel chaque fois qu'une personne souhaite s'abonner à leurs services. Si la personne est fichée, l'abonnement peut lui être refusé ou un dépôt de garantie peut lui être demandé. (2)

    1.2 Les fichiers ne constituant pas des "listes noires"

Toutes ces listes ne sont cependant pas considérées comme des listes d'exclusion au sens de la loi.

Par exemple, les fichiers internes à une société, mis en oeuvre pour assurer le respect des obligations comptables, le traitement d'impayés, et le recouvrement des créances, peuvent être constitués sans autorisation de la CNIL. De même, un établissement ouvert au public (tel un établissement scolaire) peut constituer une liste de sites web bloqués à la consultation (réseaux sociaux, messageries, sites pour adultes, etc.).

Ces types de fichiers, ne comprenant pas de données à caractère personnel et ne visant pas à empêcher quelqu'un de bénéficier d'un droit, d'une prestation ou d'un contrat, ne sont pas considérés comme des listes noires.


2. Les obligations légales relatives à la constitution de "listes noires"


La constitution de listes de clients indésirables n’est pas illicite, à condition de respecter les dispositions légales que nous rappelons ci-après.

Un organisme privé ou public qui crée un fichier de clients indésirables met en oeuvre un traitement de données à caractère personnel (nom, prénom, adresse, numéro de téléphone, adresse e-mail, etc.). Un traitement de données personnelles consiste dans le fait de collecter, enregistrer, conserver, modifier, diffuser ou détruire des données personnelles.

Si l'organisme en charge du fichier est situé en France, celui-ci est tenu de respecter les obligations relatives aux traitements de données personnelles définies par la loi Informatique et Libertés, en sa qualité de responsable de traitement. (3)

    2.1 Les formalités préalables à la constitution d’un fichier de clients indésirables
La mise en oeuvre d’un fichier de clients indésirables (ou à risques) est soumise à l'autorisation préalable de la CNIL (et non à une simple déclaration). Le traitement ne pourra être mis en oeuvre avant d’avoir reçu cette autorisation, sachant que la CNIL peut demander des informations ou des engagements complémentaires à l’organisme demandeur si elle estime que la demande d’autorisation est incomplète ou qu’elle manque de précisions. (4)

Ainsi, l’exploitant d’un site de vente en ligne qui souhaiterait constituer un fichier automatisé de lutte contre la fraude au paiement ou un fichier de mauvais payeurs devra faire une demande d’autorisation préalable à la constitution d’un tel fichier à la CNIL.

Par ailleurs, des entités juridiques distinctes ont la possibilité de faire une demande d’autorisation de constitution de listes mutualisées. Ces organismes pourront ensuite communiquer entre eux des informations ou fichiers. Toutefois, afin d'éviter le risque d'exclusion résultant d'une centralisation d'impayés provenant de plusieurs secteurs d'activités confondus et de garantir la proportionnalité du traitement, la CNIL préconise que l'accès à ces listes soit limité aux professionnels d'un secteur déterminé.

Par exemple, les professionnels de la vente en ligne, tous secteurs confondus ne pourraient pas en principe constituer de telles listes. De même, si les professionnels de l'immobilier peuvent alimenter et consulter une liste commune de locataires mauvais payeurs, les particuliers propriétaires de biens immobiliers (non professionnels) ne peuvent y avoir accès.

    2.2 Les conditions de constitution du fichier
Pour qu’un fichier d’indésirables, ou liste noire puisse être accepté par la CNIL, celui-ci devra être régulièrement constitué et respecter les conditions posées par la réglementation.

Le caractère déterminé, explicite et légitime de la finalité du fichier - Tout fichier (ou traitement) doit avoir une finalité définie et précise (ex: lutte contre la fraude à l'assurance). Ainsi, un fichier ne peut porter que sur des données collectées pour des finalités déterminées, explicites et légitimes. Ces données doivent être adéquates, pertinentes et non excessives au regard de la finalité pour laquelle elles sont collectées.

A ce titre, la mise en oeuvre d'une liste noire doit être proportionnée et l'inscription sur une telle liste ne peut se justifier que pour un motif particulièrement grave, motivé et objectif. Ainsi, lorsque le fichier vise à recenser des informations sur des impayés non régularisés, la créance doit être certaine, liquide et exigible. Un seuil d'inscription peut être défini, notamment en cas de liste noire mutualisée à plusieurs organismes. Par exemple, les abonnés aux services de téléphonie mobile, débiteurs, ne peuvent être inscrits sur le fichier Preventel qu’à partir d’un montant impayé de 30€.

La conservation des données pour une durée "raisonnable" - Les données personnelles ne peuvent être conservées que pour une durée raisonnable. Au-delà de cette durée, les données doivent être soit effacées, soit anonymisées. Par durée raisonnable, on entend la durée nécessaire au traitement. Par exemple, en matière d'incidents de paiements, les données doivent être supprimées dès que les sommes dues ont été réglées. A défaut de régularisation, la CNIL préconise une durée de conservation comprise entre 2 et 5 ans (en fonction de la finalité du traitement, de l'identité du responsable de traitement, du caractère mutualisé ou non des informations, etc.).

L’obligation de sécurité des données - Compte tenu de la sensibilité de ce type de fichier, l'organisme qui met en oeuvre le traitement est soumis à une obligation de sécurité très forte pour empêcher que les données traitées soient erronées, modifiées, effacées par erreur, ou que des tiers non autorisés aient accès au traitement. L’organisme est tenu de mettre en oeuvre des mesures de sécurité physique (accès contrôlé aux locaux hébergeant les serveurs) et techniques (serveurs protégés par des firewalls, accès par mot de passe, éventuellement cryptage des données, etc.).

L'information et les droits des personnes concernées - Même en matière de fichiers de clients indésirables ou de fraude, la collecte de données personnelles ne peut être réalisée à l’insu de la personne concernée. Celle-ci doit notamment connaître l'identité du responsable de traitement, la finalité du traitement, l'identité des destinataires des données et des éventuels transferts de données hors Union européenne.

En matière de liste noire, l'information doit en principe se faire à plusieurs moments : (i) lors de la collecte des données (ex: au jour de l'inscription de l'internaute sur le site web ou de la conclusion du bail par l'insertion d'une clause au contrat), (ii) lors de la réalisation de l'incident susceptible de donner lieu à une inscription (information individuelle par courrier) et (iii) lors de l'inscription effective (un délai raisonnable doit être prévu afin de permettre à la personne concernée de faire valoir ses observations).

Enfin, les personnes concernées bénéficient d’un droit d'accès (pour consultation), de rectification (en cas d'homonymie ou de régularisation de créance non prise en compte), de contestation et d'opposition (demande de suppression ou de désinscription en cas d'usurpation d'identité) au traitement de leurs données.


3. Quelles sanctions en cas de non-respect de la réglementation sur les données personnelles ?

Le non-respect par un organisme des règles applicables à la constitution et à la mise en oeuvre d’un traitement de données à caractère personnel est passible de sanctions qui peuvent être prononcées directement par la CNIL, ou par les juridictions pénales après transmission du dossier au procureur de la République.

    3.1 Les pouvoirs de contrôle de la CNIL
La CNIL dispose de pouvoirs de contrôle et de sanction à l'encontre des responsables de traitement en cas de non-respect des dispositions légales en matière de traitement de données personnelles.

Des contrôles sur place (dans les locaux de l’entreprise), peuvent être réalisés de façon inopinée ou à la suite de plaintes. Lors de ces contrôle, les agents de la CNIL (pouvant être accompagnés d’agents de la DGCCRF) peuvent demander communication de tout document, recueillir tout renseignement utile et accéder aux serveurs, aux programmes informatiques et aux données afin de vérifier la conformité des traitements à la loi Informatique et Libertés.

    3.2 Les sanctions applicables
Les manquements à la loi Informatique et Libertés sont passibles de sanctions pénales. Ainsi, le fait de procéder à un traitement de données personnelles (i) sans respecter les formalités préalables, y compris par négligence ou (ii) malgré l'opposition de la personne concernée, est puni de 5 ans d’emprisonnement et 300.000€ d’amende.

Les sanctions prononcées par la CNIL - Lorsque des manquements à la loi sont relevés, la CNIL peut prononcer un avertissement ou mettre l'organisme en demeure de faire cesser le manquement constaté dans un délai qu’elle fixe. Si l'organisme ne se conforme pas à la mise en demeure, la CNIL peut prononcer une sanction pécuniaire d'un montant maximum de 300.000€, une injonction de cesser le traitement ou un retrait de l’autorisation accordée.

Par exemple, en juin 2006, la CNIL a prononcé une sanction de 45.000€ à l’encontre du Crédit Lyonnais pour entrave à son action et inscription abusive de clients sur le fichier des "retraits de cartes bancaires (CB)", tenu par la Banque de France. En l’espèce, le Crédit Lyonnais avait inscrit des clients dans ce fichier relatif aux seuls incidents liés à l'usage de la carte bancaire, alors que les incidents concernaient l'utilisation de chèques sans provision et le défaut de règlement d'échéances de paiement de crédit. Ces incidents auraient pu justifier l'inscription des clients au fichier central des chèques (FCC) ainsi qu'au fichier des incidents de remboursement des crédits aux particuliers (FICP) mais en aucun cas au fichier des retraits "CB". (5)

Récemment, le 24 mai 2012, la CNIL a prononcé un avertissement rendu public à l'encontre du Syndicat national des Maisons de Ventes Volontaires (SYMEV). Le syndicat avait constitué une "liste noire" mutualisée informant les maisons de ventes volontaires aux enchères publiques de l'identité d'acheteurs (ou adjudicataires) défaillants. Dans cette affaire, la CNIL rappelle que si la constitution de listes noires n'est pas en soi interdite, sa mise en oeuvre doit respecter les principes posés par la loi, dès lors qu'elle est susceptible d'exclure des personnes de la faculté de participer à des ventes aux enchères. Or, la CNIL a constaté que la liste litigieuse avait été constituée sans son autorisation et à l'insu des personnes fichées. (6)

Les sanctions pénales - La Cour d'appel de Bourges a rendu une décision en janvier 2007 à la suite de la transmission du dossier par la CNIL au procureur de la République. Dans cette affaire, la Ligue européenne de défense des victimes de notaires avait publié sur un site internet une liste nominative de 2500 notaires, la page d'accueil du site indiquant que : la profession de notaires faisait courir “les plus grands risques aux clients” et que “le fait d’être inscrit sur la liste de la Ligue européenne de défense des victimes de notaires n’impliqu(ait) aucun préjugé ni pré-jugement ; cela implique que notre association a un dossier concernant un client ou plusieurs clients de l’étude de notaire”.

Or, le traitement de la liste nominative de ces notaires n’avait fait l’objet d’aucune demande d’autorisation préalable auprès de la CNIL. Plusieurs notaires s'étaient opposés, sans succès, à leur mention sur le site web. La Cour en a conclu que “le procédé informatique utilisé aboutissant de fait à la création d’une liste noire des notaires et s’apparentant comme tel à de la délation, est à l’origine d’un préjudice certain pour (les notaires fichés) qui, outre l’opprobre et la suspicion jetée publiquement, ont pu voir des particuliers se détourner (d'eux pour avoir été) injustement mis en cause". La Ligue et sa gérante ont été condamnées respectivement à 3.000€ et 1.500€ d'amende ainsi qu'au versement de 9.700€ aux parties civiles (100€ à chacun des 97 notaires plaignants). (7)


Ainsi, la constitution de fichiers de clients indésirables, à risques, de fraudeurs, etc. n’est pas interdite si la finalité du traitement est déterminée, explicite et légitime (telle la lutte contre la fraude). Il est cependant nécessaire de se conformer aux obligations légales de demande d’autorisation préalable à la CNIL et de constitution et mise en oeuvre dans le respect des dispositions de la loi Informatique et Libertés, sous peine d’être passible de sanctions pénales en cas de non respect de ces dispositions.

Outre les listes noires, les organismes peuvent avoir recours à la technique dite du "profilage" consistant à appliquer un profil à une personne physique et la placer ainsi dans des catégories de groupes prédéfinies, notamment à des fins d'analyse ou de prédiction de ses préférences, comportements et attitudes personnels. Cette pratique, toute aussi sensible dans la mesure où elle peut avoir pour conséquence d'exposer les personnes concernées à des risques de discrimination et d'atteinte à leur dignité, n'est pas soumise aux mêmes règles que celles des listes noires. (8)


* * * * * * * * * * *

(1) Les fichiers de type liste noire étaient admis dans les secteurs de la banque et du crédit (fichier des interdits bancaires par exemple), mais soumis à des conditions de suivi (inscription et radiation) strictes. Voir rapport de la CNIL de novembre 2003 : "Les listes noires : le fichage des "mauvais payeurs" et des "fraudeurs" au regard de la protection des données personnelles" (http://www.ladocumentationfrancaise.fr/var/storage/rapports-publics/034000689/0000.pdf)
(2) Voir site internet du GIE Prévention Télécommunications : http://www.preventel.fr/.
(3) Loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifiée, dite Loi Informatique et Libertés.
(4) En application de l’article 25 I (4e) de la loi Informatique et Libertés : “Tous traitements susceptibles, du fait de leur nature, de leur portée ou de leurs finalités, d’exclure des personnes du bénéfice d’un droit, d’une prestation ou d’un contrat en l’absence de toute disposition législative ou réglementaire" est soumis à une demande d’autorisation préalable à la CNIL.
(5) Délibération n°2006-174 du 28 juin 2006 prononçant une sanction pécuniaire à l'encontre du Crédit Lyonnais.
(6) Délibération de la formation restreinte n°2012-079 du 24 mai 2012 portant avertissement public à l'encontre du Syndicat National des Maisons de Ventes Volontaires (SYMEV).
(7) CA Bourges 2e ch., 11 janvier 2007, Gisèle L. et autres c/ Ministère Public.
(8) Exemples de profilage : dans un communiqué du 25/10/2011, la CNIL a dénoncé les techniques dites de " profilage communautaire" consistant à créer des fichiers faisant apparaître, directement ou indirectement, l'appartenance religieuse ou l'origine raciale vraie ou supposée des personnes. A ce titre, l'application pour iPhone dénommée "Juif ou pas juif", retirée de la vente en septembre 2011 est un exemple de ciblage communautaire. Dans un autre registre, la CNIL a souhaité encadrer de façon stricte la technique du "score" (ou instrument d'aide à la décision d'octroi ou de refus de crédit (analyse des risques) utilisé par les établissements de crédit) et a publié plusieurs délibérations à ce sujet (délibérations n°2006-019 du 2/02/2006 et délibération n°2008-198 du 9/07/2008).



Bénédicte DELEPORTE - Avocat
Betty SFEZ - Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Juillet 2012

Aucun commentaire:

Publier un commentaire