G. LA COMMISSION NATIONALE DE L'INFORMATIQUE ET DES LIBERTÉS
1. Des réserves de principe sur la création d'un registre positif
Dans son rapport d'activité pour 2011, la Commission nationale de l'informatique et des libertés (CNIL) rappelle qu'elle a pris part à l'ensemble des réunions et des groupes de travail du comité de préfiguration du registre positif ; elle a, en particulier, contribué aux travaux sur le respect des dispositions de la loi dite « Informatique et Libertés » (proportionnalité des données collectées, durée de conservation limitée, etc.).
Le rapport du comité Constans ayant été publié en août 2011 puis soumis à consultation publique, la CNIL réunie en séance plénière en septembre 2011 a, dans ce cadre, souhaité à nouveau exprimer ses réserves :
- sur le principe même de l'introduction d'un registre positif ;
- et sur le recours au NIR , préconisé par le comité.
À l'appui de cette position, la CNIL indique que les situations actuelles de surendettement semblent davantage résulter d'une accumulation de causes dont certaines sont imprévisibles (augmentation des dépenses énergétiques, etc.) et d'une dégradation de la situation économique de l'intéressé suite à un « accident de la vie » (chômage, maladie, divorce, etc.) que d'une souscription abusive de crédits.
En outre, la CNIL estime que la centrale belge n'a pas eu, jusqu'à présent, d'effet significatif sur le surendettement. Après une diminution du nombre de contrats défaillants en 2006 et 2007, on constate une nouvelle hausse à compter de 2008, ce qui permet clairement d'établir un lien entre le phénomène du surendettement et la situation économique.
En ce qui concerne la création d'un identifiant dérivé du NIR, jugé par le comité Constans comme la seule option permettant une identification fiable au sein du futur registre, la CNIL réaffirme que le NIR doit, selon elle, être strictement réservé à la sphère sociale . Elle souligne les dérives possibles notamment en raison du risque d'interconnexion et de détournement de finalité de cet identifiant. La CNIL considère, en outre, que l'utilisation d'un identifiant dérivé du NIR ne devrait être utilisé qu'en dernier recours c'est-à-dire si aucune autre solution ne pouvait être envisagée et sous réserve que le NIR fasse l'objet d'un « double hachage ».
En tout état de cause, la CNIL estime être allée au bout de sa propre réflexion sur ce sujet et considère, depuis 2007, que seul le législateur a compétence pour se prononcer sur l'utilité sociale de la constitution de registres positifs dans le secteur du crédit.
|
Le respect des principes de valeur législative par la CNIL L'article 6 de la loi du 6 janvier 1978 précitée dispose notamment que les données à caractère personnel « sont collectées pour des finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités » et qu'elles sont « adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées ». Il s'agit des concepts de finalité et de proportionnalité qui sont à la base de l'examen d'un dispositif par la CNIL. |
2. La nécessité d'une autorisation législative pour créer un registre national ou interconnecter les fichiers existants : un exemple concret
Entendu par votre groupe de travail, notre collègue Jean-Paul Amoudry, membre de la CNIL désigné par le Sénat et vice-président de cette autorité, tout en confirmant la position résumée ci-dessus, a illustré la nécessité d'une autorisation législative pour créer un registre positif en faisant référence à la délibération n° 2007-044 du 8 mars 2007 par laquelle la CNIL a rejeté la demande de la société Experian d'un traitement automatisé ayant pour finalité la mise en place d'une centrale de crédit.
Ce traitement avait pour objet la mutualisation de certaines informations, détenues par des établissements de crédit sur leurs clients bénéficiaires de crédits à un titre non professionnel et sur les caractéristiques des crédits qu'ils leur ont accordés, ces données étant réparties entre plusieurs fichiers informatiques qui correspondent aux établissements d'où elles proviennent.
En cas de réception d'une demande d'informations portant sur une personne, le traitement envisagé par la société Experian consistait à réunir, sous la forme d'un rapport de crédit, l'ensemble des données personnelles détenues à son sujet, quelle qu'en soit la source. Les établissements destinataires des informations devaient avoir adhéré à la centrale de crédit pour être autorisés à avoir communication, à l'occasion de l'instruction de la demande de crédit d'un particulier, des informations le concernant qui y sont enregistrées.
La CNIL a refusé la mise en place de ce registre positif en faisant valoir que même en l'absence d'une base de données centrale - les fichiers correspondant à chaque établissement financier étant logiquement séparés - le traitement envisagé permettait de consulter simultanément l'ensemble des fichiers. Elle a souligné que des informations couvertes par un secret légalement protégé auraient pu ainsi être transférées de façon massive, en l'absence de toute base législative, à une société de services qui ne relève pas de la loi bancaire et dont l'activité n'est pas soumise à la règle du secret bancaire.
Ce précédent fournit donc, au plan juridique, une illustration de la nécessité d'une autorisation législative pour créer un registre positif. Il éclaire également votre groupe de travail sur l'existence de fichiers privés, dont la mutualisation avait ainsi été envisagée dès 2007.
|
Extraits de la délibération de la CNIL
n° 2007-044 du 8 mars 2007
« (...) La CNIL a été saisie par la société Experian d'une demande d'autorisation portant sur un traitement automatisé de données à caractère personnel dont la finalité déclarée est de favoriser le développement maîtrisé du crédit, notamment auprès de populations qui en sont traditionnellement exclues, sans risquer le surendettement et tout en offrant aux établissements de taille moyenne les moyens d'une concurrence plus équilibrée par rapport aux grands établissements ou groupes d'établissements, lesquels disposent de sources d'informations beaucoup plus étendues. « Sur les caractéristiques du traitement - Le traitement, dénommé "centrale de crédit", a pour objet la mutualisation de certaines informations, détenues par des établissements de crédit sur leurs clients bénéficiaires de crédits à un titre non professionnel et sur les caractéristiques des crédits qu'ils leur ont accordés. Ces données sont réparties entre plusieurs fichiers informatiques qui correspondent aux établissements d'où elles proviennent. « En cas de réception d'une demande d'informations portant sur une personne, le traitement réunit, sous la forme d'un rapport de crédit, l'ensemble des données personnelles détenues à son sujet, quelle qu'en soit la source. Les établissements destinataires des informations doivent avoir adhéré à la "centrale de crédit" d'Experian pour être autorisés à avoir communication, à l'occasion de l'instruction de la demande de crédit d'un particulier, des informations le concernant qui y sont enregistrées. « Celles-ci portent sur son niveau d'endettement auprès des autres établissements adhérant à la "centrale de crédit", sur les caractéristiques des crédits que ces derniers lui ont déjà consentis, ainsi que sur les conditions dans lesquelles ces crédits sont remboursés. « La demande d'autorisation prévoit le recueil et la conservation de données relatives : « - à l'identification précise de l'emprunteur (noms, prénoms, alias, sexe, date et lieu de naissance) ; « - à ses adresses professionnelle et personnelle ; « - au crédit : notamment l'organisme prêteur ayant adhéré à la centrale, le taux d'intérêt, le montant des apports, le détail de la clôture du crédit (sous la forme crédit remboursé par le garant, crédit remboursé par l'emprunteur, autre), le détail du financement (sous la forme crédit immobilier / crédit personnel / crédit consommation), l'historique du crédit sur 36 mois (état des remboursements du mois, solde des paiements du mois ...). « En outre, un indice de "similitude avec les informations d'identité présentées dans le crédit retrouvé" et les commentaires de l'emprunteur concerné, éventuellement conservés dans une zone bloc notes, fait partie des informations communiquées par Experian. « Les données transmises par les adhérents d'Experian sont conservées pendant trois ans après la date de fin du crédit. Ainsi, dans le cas du crédit immobilier, la durée de conservation des informations peut être de plusieurs dizaines d'années. « Les données sont traitées dans des fichiers informatisés distincts en fonction de l'établissement qui les a transmises à la société Experian, mais qui ont vocation à être mis en relation à tout moment pour permettre l'élaboration des rapports de crédit. Dès lors, ce projet constitue un traitement automatisé de données personnelles, caractérisé par des finalités et des moyens informatiques déterminés par la société Experian, qui, conformément au 1 de l'article 3 de la loi du 6 janvier 1978 susvisée, en est ainsi le responsable. « La "centrale de crédit" constitue, en outre, ce qu'il est convenu d'appeler un "fichier positif" dès lors que, par opposition aux fichiers - dits négatifs - de signalements d'incidents de paiement lors du remboursement d'un crédit, le traitement permettrait le partage d'informations sur des crédits octroyés, indépendamment de la survenance ou non de difficultés de paiement. « L'absence d'une base de données centrale - les fichiers correspondant à chaque établissement financier étant logiquement séparés - est à cet égard sans incidence, puisque le traitement envisagé permet de consulter simultanément l'ensemble des fichiers. « La Commission estime que le traitement envisagé relève des dispositions du 4° du I de l'article 25 de la loi du 6 janvier 1978 et que sa mise en oeuvre doit être autorisée par la CNIL dans la mesure où il serait susceptible d'exclure des personnes du bénéfice d'un contrat de crédit en l'absence de toute disposition législative ou réglementaire prévoyant une telle exclusion. « (...) La Commission observe que des informations couvertes par un secret légalement protégé seraient transférées de façon massive, en l'absence de toute base législative, à une société de services qui ne relève pas de la loi bancaire et dont l'activité n'est pas soumise à la règle du secret bancaire. « Elle relève qu'aucune disposition légale ne définit un régime juridique particulier pour les traitements qui, ayant pour objet la mutualisation de données personnelles sur les encours de crédit, seraient ouverts à l'adhésion d'établissements financiers n'ayant entre eux aucun lien juridique ni intérêt commun, excepté la volonté de partager, sous réserve de réciprocité, certains renseignements sur leurs clients respectifs bénéficiant d'emprunts à titre non professionnel et sur les crédits qu'ils leur ont accordés. « La Commission rappelle avoir indiqué à plusieurs reprises que seul le Législateur aurait compétence pour se prononcer sur l'utilité sociale de la constitution de "fichiers positifs" dans le secteur du crédit, et notamment pour préciser les finalités et le contenu de ces bases de données, les conditions dans lesquelles les emprunteurs personnes physiques pourraient choisir d'accepter ou non, de façon libre et éclairée, d'adhérer à un tel dispositif, les précautions à prendre pour encadrer l'accès des établissements de crédit aux données ainsi collectées afin d'en prévenir toute utilisation à d'autres fins, ainsi que les conséquences des cas où un établissement conditionnerait l'attribution d'un crédit à l'acceptation par son client de l'enrichissement de sa "centrale de crédit". « La Commission estime, dans ces conditions, que la collecte et le traitement des données ne remplissent pas la condition de licéité posée à l'article 6 de la loi du 6 janvier 1978. (...) » |
3. 10 % des plaintes reçues par la CNIL concernent le FICP
Constatant que les dysfonctionnements du FICP représentent 10 % des plaintes qui lui parviennent, la CNIL souligne la nécessité de choisir un identifiant fiable pour prévenir le risque d'explosion des saisines que pourrait entraîner la création d'un registre positif concernant dix fois plus de personnes que le FICP.
Notre collègue Jean-Paul Amoudry a rappelé, lors de son audition, que les solutions alternatives à l'utilisation du NIR avaient été jugées peu fiables par le comité de préfiguration et que, dans ces conditions, les experts avaient travaillé dès 2011 sur le procédé de « double hachage » - c'est-à-dire de cryptage - de ce dernier.
On peut faire observer que la CNIL, tout en émettant des réserves à l'égard de l'utilisation du NIR comme clef d'interrogation d'un éventuel registre positif, admet implicitement que la fiabilité d'un tel identifiant présente l'avantage considérable de limiter les risques d'engorgement de ses services.