Risque clients particuliers l indispensable respect de la loi informatique et libertes

30 juillet 2007

La création de fichiers ou de traitements informatiques qui peuvent avoir pour conséquence d’exclure une personne du bénéfice d’un droit, d’une prestation ou d’un contrat, sont possibles, à condition de respecter strictement les règles posées par la CNIL : autorisation préalable, confidentialité… Les risques encourus, des sanctions financières aux sanctions pénales, sont majeurs.

Inspirées par les mécanismes existant dans le cadre des relations entre professionnels, les sociétés qui proposent leurs produits et services aux particuliers, ou aux professions libérales souhaitent de plus en plus recourir à des systèmes leur permettant de les garantir contre les risques d’impayés. En effet, avant d’entrer en relation avec d’autres entreprises, les professionnels peuvent vérifier la solvabilité de leurs futurs clients à l’aide de nombreux instruments, le plus ancien de ces instruments étant le registre du commerce. De tels instruments n’existant pas, à une telle échelle pour les particuliers, les entreprises qui souhaitent anticiper le risque client particulier peuvent gérer leur risque sur la base par exemple d’informations collectées sur ces clients au cours des relations contractuelles précédentes ou encore recourir aux services de sociétés spécialisées qui évaluent, voire même garantissent le risque clients particuliers. Dans le cadre de leurs activités, ces sociétés utilisent, elles aussi, les informations dont elles disposent pour analyser le risque.

Toutefois, il convient d’être particulièrement vigilant au respect des principes posés par la loi Informatique et libertés. Cette loi a fait l’objet d’une profonde réforme au cours de l’année 2004, dont l’aspect principal est l’accroissement des pouvoirs de la Commission Nationale de l’Informatique et des Libertés (CNIL). Parmi ces pouvoirs, celui qui permet à la CNIL de prononcer des sanctions financières est sans doute le plus médiatisé.

Ces sanctions financières viennent s’ajouter au risque de sanctions pénales qui peuvent être prononcées par un juge en cas de violation de la loi Informatique et Libertés : les peines maximales prévues par le Code pénal sont extrêmement lourdes puisqu’elles atteignent 5 ans d’emprisonnement et 1,5 million d’euros d’amende lorsqu’un personne morale est reconnue coupable de l’infraction.

DECLARATION OU DEMANDE D’AUTORISATION

La loi Informatique et Libertés s’applique à la collecte et l’enregistrement en informatique, mais également dans des fichiers papiers, d’informations sur les individus qu’ils soient particuliers mais également artisans, commerçants ou professions libérales, même lorsque ces trois dernières catégories de clients contractent dans le cadre de leur activité professionnelle.

Ainsi, au mois de juillet 2006, un tribunal correctionnel a condamné un organisme qui avait créé et diffusé une liste noire portant sur des notaires. Les listes noires sont par ailleurs à l’origine de nombreuses plaintes déposées auprès de la CNIL.

La création de fichiers ou traitements informatiques comportant des données sur des individus doit tout d’abord faire l’objet, préalablement à leur création, d’une déclaration auprès de la CNIL. Le fait, y compris par négligence, de ne pas procéder à cette déclaration est passible de sanctions pénales.

Toutefois, la loi Informatique et Libertés impose aux entreprises et organismes qui mettent en œuvre certains traitements de recueillir l’autorisation préalable de la CNIL ; il s’agit notamment des traitements informatiques ou papiers qui contiennent des informations relatives à des infractions ou à des condamnations, ainsi que les traitements informatiques qui peuvent avoir pour conséquence d’exclure une personne du bénéfice d’un droit, d’une prestation ou d’un contrat.

C’est sur le fondement de cette dernière disposition que la CNIL s’appuie pour soumettre à son autorisation préalable les « listes noires » de fraudeurs ou de mauvais payeurs, mais également tous les traitements informatisés de gestion du risque client, tel que par exemple les scores d’octroi en matière de crédit.

ASSURER LA CONFIDENTIALITE DES DONNEES

Afin d’obtenir l’autorisation de la CNIL l’entreprise qui souhaite mettre en place des traitements de gestion des risques doit prendre des engagements parmi lesquels figure tout d’abord l’établissement de mesures de sécurité et de confidentialité destinées à protéger les données. L’entreprise doit notamment mettre en place des mesures permettant de gérer les risques d’homonymie. Les données enregistrées doivent présenter un lien direct avec l’analyse du risque et avoir été collectées dans le respect de la loi ; elles doivent être supprimées à l’issue d’une certaine période : il s’agit là du « droit à l’oubli ».

Bien entendu, dans le cadre de l’étude du dossier de demande d’autorisation, la CNIL vérifie avec une attention particulière les transmissions et échanges de données. En effet, si la CNIL admet la possibilité pour les entreprises de se communiquer des informations contenues dans des listes noires (par exemple au sein d’un groupe), elle a posé, il y a plusieurs années déjà, le principe de la sectorisation des listes noires qui consiste à limiter les échanges d’informations contenues dans ces listes entre professionnels d’un même secteur d’activité.

Enfin, la CNIL est particulièrement vigilante à l’information des clients qui doivent être en mesure de savoir que les impayés ou fraudes dont ils sont responsables pourront figurer dans un traitement spécifique et être communiqués à des partenaires.

Conformément aux dispositions de la loi Informatique et Libertés, les personnes figurant dans ces listes disposent du droit d’obtenir la communication des informations les concernant enregistrées dans les fichiers et traitements.

Enfin, les entreprises doivent également apporter une attention particulière à la gestion des réclamations clients qui peuvent, si le client n’est pas satisfait de la réponse qui lui a été apportée, entraîner le dépôt d’une plainte auprès de la CNIL.

Publication:Revue Banque