26 février 2010

Informatique et libertés Secteur établissement public Dispense de déclaration des traitements de gestion des rémunérations La CNIL a publié deux délibérations(1) décidant la dispense de déclaration des traitements de gestion des rémunérations mis en oeuvre : par l’Etat, les collectivités locales, les établissements publics et les personnes morales de droit privé gérant un service public ; par les personnes morales de droit privé autres que celles gérant un service public. Cette dispense est à manier avec prudence car le fait de ne pas respecter « y compris par négligence », les normes d’exonération est puni de cinq ans d’emprisonnement et de 300 000 € d’amende. Délibération 2004-096 du 09 décembre 2004 (Dispense de déclaration n°1) Délibération 2004-097 du 09 décembre 2004 (Dispense de déclaration n°2) (Mise en ligne Décembre 2004)

Informatique et libertés Secteur collectivité territoriale Dispense de déclaration des listes de chambres d’hôtes tenues par les communes La tenue des listes de chambres d’hôtes par les communes est désormais dispensée de déclaration préalable auprès de la Cnil. Cette dernière considère en effet qu’il s’agit de traitements courants qui ne sont pas susceptibles de porter atteinte à la vie privée ou aux libertés des personnes. La commission estime qu’il y a lieu de faire application des dispositions du II de l’article 24 de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, et de dispenser ces traitements de toute déclaration préalable dès lors qu’ils répondent aux conditions figurant dans le tableau annexé à sa délibération du 21 février 2008. Ainsi pour être dispensés, les traitements doivent avoir pour seule finalité la tenue et la communication au public de la liste des chambres d’hôtes de la commune. C’est le cas pour la communication de la liste aux comités départementaux de tourisme et aux offices de tourisme, l’élaboration de statistiques relatives aux déclarations de chambres d’hôtes et communication de données statistiques au préfet de région, au président du conseil régional et au président du conseil général ou encore de l’envoi aux loueurs de chambres d’hôtes de courriers d’information en lien avec leur activité, notamment concernant la collecte et le versement de la taxe de séjour lorsque la commune l’a instituée. Enfin, il peut également s’agir de l’alimentation d’un fichier communal de gestion de la taxe de séjour. Délib. Cnil 2008-044 du 21 février 2008 (Mise en ligne Février 2008)

Informatique et libertés Secteur Banque Le ratio « Mac Donough » de solvabilité de la clientèle bancaire La Cnil a émis des recommandations concernant la conformité du ratio de solvabilité « Mac Donough » à la loi informatique et libertés modifiée et notamment ses conséquences sur la banque de détail. Le nouveau ratio de solvabilité de la clientèle bancaire a fait l’objet d’un accord sectoriel négocié au plan international dans le cadre des « accords Bâle II ») visant à mesurer de façon fine l’ensemble des risques auxquels les banques sont exposées (risque de crédit, risques opérationnels, etc.) au moyen de systèmes informatiques de surveillance et de notation de la clientèle plus sophistiqués. A cette occasion, elle a été amenée à rappeler les règles relatives aux formalités préalables à la création ou de la modification de systèmes de « scoring » de la clientèle. Cnil, Note d’information du 3 mars 2005 (Mise en ligne Mars 2005)

Informatique et libertés Secteur Banque La Cnil a réalisé un audit des principaux sites internet de banque en ligne Au cours du premier semestre 2005, la Cnil a procédé à une série de contrôles dans le secteur de la banque en ligne (1). Ce contrôle a été effectué à partir de grilles d’audit soumises aux responsables de dix sites internet bancaires. Cette opération a permis d’évaluer la qualité de la confidentialité et de la sécurité des sites bancaires et de mettre en évidence leurs éventuelles faiblesses, pointées par la Cnil. Fort de ces constats, la Cnil établit une liste des 7 bonnes pratiques à adopter notamment : – la vérification de l’orthographe de l’adresse du site, – la prohibition de tout accès aux comptes à partir d’un cybercafé, – l’interdiction formelle de cliquer sur un lien reçu par email (phishing). Un tel audit représente une nouvelle forme de l’action de la Cnil, dans le cadre de sa mission de contrôle et d’information. Si la portée de cet audit est incertaine d’un point de vue strictement juridique, cette action démontre une volonté apparente de la Cnil de contrôler certains traitements, tout en limitant son intervention à un aspect plus pédagogique que coercitif. Bien que les résultats de cet audit soient anonymisés, cette démarche révèle une évolution dans l’action de la Cnil et son implication dans toutes ses missions. Cela doit par conséquent alerter les responsables de traitement sur deux risques émergents : – D’une part, dans le contexte actuel de renforcement des pouvoirs de la Cnil, de tels audits constituent très certainement un préalable à une phase de contrôles assortie de sanctions, – D’autre part, ces audits donnent une importante publicité aux pratiques des responsables de traitement et à leurs éventuelles lacunes ; cette tendance de la Cnil à l’information du public est donc source de risques pour l’image d’entreprises dont les traitements ne seraient pas conformes à la loi. Rapport d’audit de la Cnil (Mise en ligne Novembre 2005)

Informatique et libertés Secteur Banque La Cnil lutte contre le blanchiment de capitaux La Cnil propose aux organismes financiers un cadre juridique auquel ils peuvent se référer pour déclarer certains de leurs traitements automatisés ou non. Les traitements mis en œuvre dans le cadre de la lutte contre le blanchiment de capitaux et le financement du terrorisme doivent être déclarés à la cellule ministérielle Tracfin. Ils peuvent conduire à l’exclusion de certaines personnes et sont soumis à autorisation de la Cnil. La Cnil a adopté une autorisation unique visant à facilité la tâche des organismes financiers. Ceux qui ont déclaré être conforme aux dispositions de la Cnil, pourront déclarer en ligne leur conformité à l’autorisation unique n° AU-003 en indiquant le nom des logiciels utilisés. Certains traitements restent soumis à une autorisation au cas par cas (comme par exemple : les listes noires des personnes présumées à risque). Délibération n°2005-297 du 1er décembre 2005 (Mise en ligne Décembre 2005)

Informatique et libertés Secteur Banque Une autorisation unique relative au scoring Après avoir concerté les organisations professionnelles ainsi que la Commission bancaire, la Cnil a adopté le 2 février 2006 une autorisation unique relative au traitement d’analyse des demandes de crédit des personnes physiques (score). Ces traitements sont susceptibles d’être discriminatoires c’est-à-dire d’exclure certaines personnes au bénéfice d’une prestation. A cet égard, les traitements de score relèvent de la procédure de l’autorisation préalable. Cependant, afin d’alléger les formalités relatives à l’autorisation préalable, la Cnil a adopté le 2 février 2006 une autorisation unique relative aux « traitements d’aide à l’acceptation des demandes de crédit qui font intervenir des modèles de score ». Les établissements de crédit, qui s’engagent à respecter les termes de cette autorisation, sont dispensés de les décrire de façon complète. Ils peuvent déclarer en ligne sur le site de la Cnil qu’ils se conforment à l’autorisation unique n° AU-005. Cette autorisation prévoit que tout refus d’une demande de crédit devra être suivi d’une information du demandeur sur ses droits. Elle fixe également une liste limitative des informations susceptibles d’être utilisées pour établir le score. Enfin, cette autorisation évoluera afin de prendre en compte les aménagements les plus usuels que sont susceptibles de subir les modèles de score d’octroi. Sous réserve de vérifier l’adéquation du traitement avec la norme d’autorisation n° AU-005, cette dernière aurait vocation à s’appliquer et les établissements de crédit pourront déclarer en ligne leur conformité à ladite norme d’autorisation. Délibération n°2006-019 du 2 février 2006 (Mise en ligne Février 2006)

Informatique et libertés Secteur Banque Transferts bancaires internationaux La presse américaine a révélé l’existence d’un programme de surveillance du réseau Swift de transactions financières par les autorités américaines. Swift est une société qui offre à ses clients du secteur bancaire et financier un système de messagerie sécurisé et standardisé assorti de services financiers. L’essentiel des transferts bancaires internationaux transite par cette société. La Cnil cherche à déterminer si des transferts de données ont été opérés à partir de la France et dans quelle mesure les autorités américaines ont eu accès à des données concernant des personnes résidant en France. A l’issue de ces recherches, la Cnil décidera s’il y a lieu ou non de prendre des mesures pour sanctionner et faire cesser les infractions aux règles de protection des données. Cnil, Communiqué de presse du 30 octobre 2006 (Mise en ligne Novembre 2006)

Informatique et libertés Secteur Banque Les fichiers détenus par les banques et organismes de crédit intéressent la Cnil… La Cnil est de plus en plus fréquemment saisie par des particuliers qui s’interrogent sur le respect des droits sur leurs données personnelles par les banques ou organismes de crédit. En effet, certains particuliers se sont rendus compte que plus de dix ans après un incident de paiement, ils figuraient encore dans les fichiers d’incident de remboursement de leur organisme de crédit, ce qui les empêchait d’obtenir un nouveau crédit. De façon plus générale, le nombre de plaintes de particuliers s’étonnant de figurer dans les fichiers de certaines banques ne cesse de croître. La Cnil, tout en continuant à intervenir pour sanctionner les banques non respectueuses des dispositions de la loi Informatique et libertés, vient de publier un guide pour aider les particuliers à défendre leurs droits sur leurs données personnelles auprès des banques. Qu’il s’agisse : de l’inscription de clients au fichier national des incidents de remboursement des crédits aux particuliers (FICP) ; de transferts bancaires internationaux ; de traitement d’analyse des demandes de crédit des personnes physiques (score) ; des outils de profilage mis en œuvre dans le cadre de la lutte contre le blanchiment de capitaux et le financement du terrorisme ; des rations de solvabilité… Les banques doivent mettre l’ensemble de leurs traitements en conformité à la loi Informatique et libertés sous peine de lourdes sanctions, notamment à la suite d’un contrôle sur place de la Cnil. Cnil, Guide « Banque-crédit : êtes vous fiché ? » Paru dans la JTIL n°18/2007 (Mise en ligne Novembre-Décembre 2007)

Informatique et libertés Secteur Banque La Cnil organise le traitement des impayés par chèque bancaire Par délibération rendue le 10 avril 2008, la Cnil a adopté une autorisation unique relative aux traitements automatisés de données à caractère personnel mis en œuvre par les commerçants dans le cadre de la prévention et la gestion des impayés par chèque bancaire. Ce dispositif s’applique à toute personne dont l’exercice d’actes de commerce est la profession habituelle, conformément aux prescriptions de l’article L.121-1 du code de commerce. Seuls sont susceptibles de faire l’objet d’un engagement de conformité à l’autorisation unique AU-014 les traitements intégrant : « un dispositif de détection des chèques impayés non régularisés, remis en paiement au commerçant concerné; et/ou un dispositif d’alerte relatif à l’utilisation répétée d’un chéquier sur un laps de temps très court (au maximum 3 jours), afin de procéder, le cas échéant, à la vérification de l’identité du client et des raisons de cette utilisation répétée du chéquier, à l’exclusion de tout blocage automatique de paiement par chèque dans le système de caisse « . Les traitements ne répondant pas aux conditions édictées par la présente autorisation devront faire l’objet d’une demande d’autorisation spécifique. Par ailleurs, la Cnil restreint l’application de l’autorisation unique aux traitements impliquant un partage de données au sein « d’une même personne morale de même marque de commerce, les traitements mutualisés de données faisant intervenir plusieurs personnes morales imposent par conséquence à celles-ci le dépôt d’une demande d’autorisation préalable. La conservation des données par les commerçants est strictement limitée. Les informations afférentes aux incidents de paiements régularisés doivent être détruites dans les 48 heures suivant la notification de la régularisation de l’incident. Les informations relatives à des incidents non régularisés sont susceptibles d’être stockées pendant 3 ans à compter de la survenance de l’incident. Il incombe au responsable du traitement de prendre toutes mesures utiles pour préserver la sécurité, la confidentialité et l’intégrité des données traitées, également de procéder à l’information des clients sur les principales caractéristiques du traitement interne de prévention et de gestion des impayés par chèque bancaire mis en œuvre par l’établissement, également des « droits dont ils disposent, par l’affichage permanent, clair et lisible au niveau de chaque caisse enregistreuse, d’une note d’information à leur attention« , conformément aux stipulations de l’article 32 de la loi du 6 janvier 1978 modifiée. Délibération 2008-097 du 9 juillet 2008 (Mise en ligne Avril 2008)

Informatique et libertés Secteur Banque Credit scoring : simplification des formalités imposées aux établissements de crédit L’autorisation unique AU-005 relative à certains traitements de données à caractère personnel mis en œuvre par les établissements de crédit pour aider à l’évaluation et à la sélection des risques en matière d’octroi de crédit a fait l’objet d’aménagements par la Cnil en vue d’en étendre l’application, d’en favoriser l’utilisation par les établissements de crédit et de préciser les obligations incombant aux responsables de traitements automatisés. Par délibération en date du 9 juillet 2008 (délib. 2008-198 du 9-7-2008), la Cnil prévoit que les traitements automatisés ne répondant pas aux exigences définies par l’autorisation unique modifiée devront faire l’objet d’une demande d’autorisation, laquelle ne devra exposer que les caractéristiques du projet différant des prescriptions de l’AU-005. A contrario, les traitements automatisés constitués conformément aux stipulation de l’autorisation unique seront susceptibles d’être mis en oeuvre à la seule condition de l’envoi à la Cnil d’un engagement de conformité par l’établissement de crédit concerné. Prenant acte des modifications législatives et des impératifs des professionnels de la banque, la Cnil entend simplifier les formalités requises des responsables de traitements dits de credit scoring, subordonnant la mise en oeuvre de ces traitements à l’engagement de respecter les dispositions de l’autorisation unique modifiée. Délibération 2008-198 du 9 juillet 2008 (Mise en ligne Décembre 2008)

Informatique et libertés Secteur Banque La Commission européenne rend public le rapport sur le réseau Swift La Commission européenne a rendu public, le 17 février 2009, le premier rapport annuel établi par le juge Bruguières concernant les pressions qu’a subi la société Swift de la part de l’administration nord américaine pour obtenir la fourniture des données financières personnelles des clients européens des banques qui utilisent ses services, dans le cadre du « programme de traque du financement du terrorisme » (TFTP). Ce rapport confirme que les procédures appliquées par le département du Trésor respectent les engagements pris en 2007 et permettent de garantir la protection des données personnelles. Il préconise aussi des recommandations destinées à assurer la pérennité et le renforcement de ces mesures. Bruxelles, communiqué du 17 février 2009, IP/09/264 (Mise en ligne Février 2009)

Informatique et libertés Secteur Banque Collecte d’informations statistiques par la Banque centrale européenne Le contrôleur européen de la protection des données vient de rendre un avis sur la recommandation pour un règlement du Conseil modifiant le règlement (CE) n°2533/98 du 23 novembre 1998 concernant la collecte d’informations statistiques par la Banque centrale européenne. Avis paru au JOUE C 192 du 15 août 2009 Paru dans la JTIL n°29/2009 p.5 (Mise en ligne Septembre 2009)