Actualités

01netPro

Les listes noires et leur traitement automatique

Développées en dehors de tout cadre légal spécifique, les listes noires sont assujetties aux principes de la loi informatique, fichiers et libertés. La Cnil veille au respect de ces grands principes.

Alain Bensoussan

01 Informatique

le 25/05/2007 à 00h00

envoyer
par mail

imprimer
l'article

Une autorisation nécessaire

Qu'il s'agisse de recenser les mauvais payeurs pour les écarter dans le cadre d'une action de prévention (“ listes noires ”) ou d'obtenir un paiement par le biais d'une relance, la Commission nationale de l'informatique et des libertés (Cnil) ne fait aucune distinction. Il s'agit de traitements automatisés d'informations à caractère personnel qui ont une incidence sur la vie privée des individus, surtout lorsqu'ils sont mutualisés. La Cnil y est donc particulièrement vigilante. Ainsi, plusieurs hypermarchés ont récemment été mis en demeure pour avoir utilisé des listes noires de mauvais payeurs directement accessibles par le biais des caisses des magasins, sans autorisation préalable de la Cnil, ni information des clients⁽¹⁾.

Les fichiers concernés

Depuis le mois d'août 2004, la Cnil peut s'opposer à la mise en œuvre de traitements qui, bien que légitimes, risquent de faire peser un risque particulier sur la vie privée des individus, cas des listes noires qui, de par leur portée ou leur finalité, sont susceptibles “ d'exclure les personnes du bénéfice d'un contrat ”⁽²⁾. Ainsi, ne peuvent être mis en œuvre ou modifiés sans autorisation, les “ listes noires ” ou fichiers dits “ d'exclusion ” comme :
les fichiers d'alerte établis pour les personnes à risques (une même personne qui effectue des commandes successives, avec plusieurs numéros de carte bancaire ou numéros de téléphone, associés ou non à une ou plusieurs adresses de domicile ou de livraison peut paraître suspecte) ;
les fichiers qui recensent les personnes indésirables (bénéficiaires des minima sociaux ou habitants de certains quartiers), les auteurs d'impayés, les fraudeurs, les personnes ayant fourni de fausses informations (comme de faux bulletins de paye) ;
les fichiers qui enregistrent l'ensemble des crédits souscrits par une personne et les défauts de paiement associés ;
les fichiers centraux détenus par les organismes centralisateurs ou par des grandes entreprises (syndicat professionnel de l'assurance, téléphonie et grande distribution) ;
les fichiers mutualisés qui procèdent du regroupement de fichiers d'initiative privée (c'est le cas notamment dans le secteur du crédit à la consommation).

(1) Cnil, En bref 30/10/2006, www.cnil.fr/index.php?id=2139
(2) Art. 25-I-4 de la loi du 6 janvier 1978 modifiée le 6 août 2004

Les faits saillants : transparence exigée

Lorsque la Cnil donne son autorisation, il convient que le fichier soit créé dans la plus grande transparence (obligation d'information des personnes fichées) et en respectant la proportionnalité (incident “ caractérisé ” entrant dans un seuil prédéterminé). La finalité légitime de prévention des impayés ne doit pas se transformer en exclusion injustifiée^(*).

(*) Cnil, rapport “ Listes noires ” publié en 2003, www.cnil.fr/index.php?id=1047

La tendance : contrôles et sanctions pécuniaires

La Cnil n'hésite pas à opérer des contrôles sur place lorsque le responsable du traitement ne se conforme pas à la mise en demeure qui lui est adressée^(*). C'est à l'issue de ces contrôles qu'elle engage une procédure de sanction pécuniaire au titre de l'article 45 de la loi Informatique et libertés modifiée.

(*) Lire 01 Informatique n 1903, p. 49.

À retenir

Hors autorisation de la Cnil, le “ ficheur ” encourt une peine de cinq ans de prison et de 300 000 euros d'amende s'il a procédé ou fait procéder à des traitements de données à caractère personnel sans respecter les formalités, y compris par négligence.
Les personnes ainsi fichées peuvent, en outre, saisir la Cnil de plaintes ou de réclamations. Elles peuvent également, sur la base d'une action en responsabilité civile, demander réparation d'un éventuel préjudice subi.
Les fichiers internes mis en œuvre par toute entreprise pour assurer le traitement d'impayés, le respect de ses obligations comptables^(*) et le recouvrement de ses créances, en revanche, peuvent être constitués sans autorisation de la Cnil. Elles peuvent ainsi garder la trace des incidents de paiement survenus, sans qu'un tel dispositif ne heurte les principes de la loi du 6 janvier 1978 modifiée.

(*) Art. L. 123-22 du Code de commerce.