(Journal officiel du 11 août 1988)
La Commission nationale de l'informatique et des libertés,
Vu la convention du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel;
Vu la loi n° 78-17 du 6 janvier 1978, relative à l'informatique, aux fichiers et aux libertés, et notamment ses articles 2, 3, 5, 15, 16, 19, 27 et 34 et suivants;
Vu le décret n° 78-774 du 17 juillet 1978, pris pour l'application de la loi susvisée ;
Vu la délibération n° 80-10 du 1er avril 1980 portant adoption d'une recommandation relative à la mise en oeuvre du droit individuel d'accès aux fichiers automatisés ;
Vu les dispositions du code du commerce relatives à la durée de conservation des livres et documents créés à l'occasion d'activités commerciales ;
Vu la norme simplifiée n° 13, modifiée par les délibérations n° 85-14 du 30 avril 1985 et 88-82 du 5 juillet 1988, relative à la gestion des crédits ou des prêts consentis à des personnes physiques par les établissements de crédit ;
Vu la délibération n° 85-15 du 30 avril 1985 portant adoption d'une recommandation relative à la gestion des crédits ou des prêts consentis à des personnes physiques par les établissements de crédit ;
Après avoir entendu M. Alain Simon, commissaire en son rapport, et Mme Charlotte-Marie Pitrat, commissaire du gouvernement en ses observations ;
Considérant que :
- les établissements de crédit utilisent fréquemment la technique du " score " lors de l'examen des demandes de prêt ; cette procédure, dont la finalité est l'appréciation du risque du crédit par des moyens automatisés, a pour résultat la constitution d'un profil de l'emprunteur par chaque organisme ;
- les établissements de crédit procèdent à des échanges d'informations concernant les clients qui n'ont pas effectué le règlement d'un certain nombre de leurs échéances ; ces échanges de données, qui s'effectuent fréquemment de manière automatisée, conduisent à la constitution de fichiers communs recensant des incidents de paiement qui sont consultés lors de l'examen des demandes de prêt ;
- la présente recommandation a pour objet de préciser les garanties minimales à respecter lors de la mise en oeuvre, par les déclarants, de traitements ne relevant pas de la norme n° 13 ;
Rappelle :
Sur les formalités de déclaration :
- que le calcul automatisé de l'appréciation du risque et les échanges d'informations concernant les incidents de paiement constituent des traitements automatisés d'informations nominatives au sens de l'article 5 de la loi du 6 janvier 1978 ;
- que ces catégories de traitement ne répondent pas aux conditions de l'article 17 de la loi susvisée ; qu'elles ne peuvent donc faire l'objet de formalités préalables simplifiées par référence à la norme n° 13 susvisée et doivent donc donner lieu à déclaration ordinaire ou demande d'avis auprès de la Commission nationale de l'informatique et des libertés, dans les termes des articles 15, 16 et 19 de la loi du 6 janvier 1978 ; les demandes d'avis ou les déclarations ordinaires peuvent être effectuées selon un modèle établi en concertation entre la CNIL. et les associations représentatives des établissements de crédit ;
- que ces déclarations doivent comporter, conformément à l'article 19 (alinéa 3) de la loi, les informations traitées et les caractéristiques du processus d'établissement du score ;
- que les organismes procédant à des cessions d'informations relatives aux incidents de paiement doivent mentionner expressément dans leur déclaration la nature des informations transmises, ainsi que leurs destinataires ;
- que les fichiers communs d'incidents de paiement (fichiers d'échanges entre professionnels du crédit) doivent faire l'objet d'une déclaration ordinaire de la part du responsable du traitement ;
Sur le calcul automatisé de l'appréciation du risque :
- que, conformément à l'article 2 de la loi du 6 janvier 1978, aucune décision accordant ou refusant un crédit ne peut avoir pour seul fondement un traitement automatisé d'informations donnant une définition du profil ou de la personnalité de l'intéressé ;
Sur la durée de conservation :
- que les informations relatives aux incidents de paiement ne constituent pas des documents comptables au sens des dispositions du code de commerce susvisées, et doivent donc faire l'objet d'une durée de conservation particulière ;
Sur le droit d'accès :
- que, conformément aux dispositions des articles 34 et suivants de la loi, toute personne à laquelle un refus de crédit est opposé bénéficie du droit d'accès aux informations utilisées lors de l'examen de sa demande et peut, le cas échéant, en exiger la rectification ;
Recommande :
Sur l'information des personnes :
- que toutes mesures soient prises afin d'assurer l'information des intéressés, conformément à l'article 27 de la loi du 6 janvier 1978, sur les modalités d'exercice de leur droit d'accès et de rectification, et sur les personnes physiques et morales destinataires des informations ; que notamment les personnes qui sollicitent un prêt soient informées qu'en cas d'incident de paiement, des informations les concernant sont susceptibles d'être inscrites dans un fichier accessible par l'ensemble des professionnels du crédit ;
- que les clients dont le nom doit faire l'objet d'une inscription dans un fichier commun recensant des incidents de paiement soient informés d'une telle inscription avant celle-ci ou au moment où il y est procédé ;
Sur les données enregistrées :
- que lors d'une telle inscription, toutes les précautions soient prises pour éviter les risques de confusion dus à des homonymies, notamment par la prise en compte des noms, prénoms, date et lieu de naissance des débiteurs ou de tous autres éléments garantissant leur identification ;
- que ne donnent lieu à une telle inscription que les cas présentant un niveau grave d'impayé (la gravité d'un dossier peut s'apprécier par référence à la norme de la commission bancaire) ;
Sur la durée de conservation :
- que la durée de conservation des données enregistrées dans les fichiers communs recensant des incidents de paiement soit pertinente et non excessive au regard notamment de la somme due, du nombre d'impayés et de la diligence dont a fait preuve le débiteur pour régulariser son dossier ; qu'en tout état de cause, cette durée n'excède pas trois ans pour les dossiers qui ont été soldés et cinq ans pour les créances qui ont été passées en perte ;
Sur la motivation des refus de crédit :
- que lorsqu'un établissement de crédit tient compte, pour refuser un crédit, de la présence d'informations relatives au demandeur dans un fichier commun recensant des incidents de paiement, il communique à tout requérant la nature et l'origine de ces informations ;
Sur le droit d'accès :
- que toute personne puisse interroger les organismes responsables des fichiers communs recensant des incidents de paiement en vue de savoir si des informations la concernant sont inscrites dans le fichier et, le cas échéant, d'en obtenir communication ;
- que les organismes détenteurs de ces fichiers doivent préciser au demandeur la nature des informations enregistrées, le nom de l'établissement qui a procédé à l'inscription et les modalités d'exercice du droit d'accès de celui-ci.
La présente recommandation annule et remplace la délibération n° 85-15 du 30 avril 1985.
Le Président : Jacques FAUVET
