Délibération 90-36 du 20 mars 1990

Commission Nationale de l'Informatique et des Libertés
Délibération n°90-36 du 20 mars 1990
Délibération portant avis sur la mise en oeuvre par la Banque de France d'un traitement automatisé d'informations nominatives, relatif à la gestion d'un fichier national des chèques déclarés volés ou perdus (F.N.C.V.)
Etat: VIGUEUR
La Commission Nationale de l'Informatique et des Libertés , Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, Vu la loi n° 73-7 du 3 janvier 1973 sur la Banque de France, Vu la loi n° 84-46 du 24 janvier 1984 relative à l'activité et au contrôle des établissements de crédit, Vu le décret-loi du 30 octobre 1935, modifié notamment par les lois du 3 janvier 1972 et du 3 janvier 1975, unifiant le droit en matière de chèques, Vu le décret n° 78-774 du 17 juillet 1978 pris pour l'application de la loi du 6 janvier 1978, Vu la demande d'avis de la Banque de France en date du 13 juillet 1989 et les compléments qui lui ont été apportés ; Vu la charte constitutive relative au fichier national des chèques déclarés volés ou perdus, Vu le projet de contrat avec une société privée en vue de la mise en oeuvre et de l'exploitation du F.N.C.V., Vu le projet d'arrêté du Conseil Général de la Banque de France, Vu le projet d'arrêté interministériel autorisant la participation des services de police et de gendarmerie à la gestion d'un traitement automatisé des chèques déclarés volés ou perdus mis en oeuvre par la Banque de France, Vu le projet de lettre de la Banque de France au Conseil National du Commerce, Après avoir procédé à l'audition de Monsieur DE LAROSIERE, Gouverneur de la Banque de France, Après avoir entendu Monsieur Jean HERNANDEZ, commissaire, en son rapport et Madame Charlotte-Marie PITRAT, commissaire du Gouvernement en ses observations :
Considérant que le traitement automatisé d'informations nominatives présenté par la Banque de France et dénommé Fichier National des Chèques déclarés volés ou perdus (F.N.C.V.) a pour objet d'assurer la centralisation des déclarations de perte ou de vol de chèques auprès de la Police, de la Gendarmerie ou des établissements teneurs de comptes afin d'informer les commerçants et les prestataires de services de l'existence de ces chèques, de manière à prévenir et déceler l'utilisation frauduleuse de ces formules et à renforcer l'efficacité de la lutte contre la délinquance liée à l'utilisation des chèques volés ou perdus en mettant à la disposition des services de Police et de Gendarmerie des informations afférentes aux plaintes correspondantes ; Considérant que le dispositif de centralisation repose sur la base d'un partenariat entre l'institut d'émission et un opérateur privé unique ; que ce dispositif comprend un fichier de base recensant l'ensemble des données enregistrées géré par la Banque de France, et des serveurs de consultation contenant uniquement les informations nécessaires à l'identification des chèques déclarés volés ou perdus dont l'exploitation est confiée à un partenaire privé de la Banque de France, dans le cadre d'un contrat de prestations de services ; Considérant qu'il n'appartient pas à la Commission, dans les limites de ses compétences fixées par la loi du 6 janvier 1978, de se prononcer sur les modalités du choix du partenaire privé ainsi que sur l'équilibre économique et financier de l'opération ; Considérant, qu'en tout état de cause, la Commission regarde la Banque de France comme seule responsable de l'institution et de la mise en oeuvre de l'ensemble du dispositif ; Considérant que le fichier de base du F.N.C.V. enregistrera les informations suivantes : - coordonnées bancaires du titulaire du compte complétées par les numéros des formules et contrôlées par la clé RI ou une clé interne propre à l'établissement teneur de comptes, - date et heure de la saisie de la déclaration de vol ou perte, nature de l'événement (vol ou perte), origine de la déclaration (services de police et de gendarmerie ou établissements teneurs de comptes), - références du procès-verbal de dépôt de plaintes, date et heure de la saisie des données ; - caractéristiques des formules de faux chèques,
Considérant que les informations recensées dans le fichier de base sont accessibles aux seules forces de Police et de Gendarmerie et aux établissements teneurs de comptes qui participent à l'enregistrement des données, pour les oppositions concernant leurs propres clients ; Considérant que les commerçants et les prestataires de services adhérant au système n'ont accès qu'à des informations agrégées ou traduites sous forme de signaux qui doivent leur permettre d'apprécier l'opportunité d'accepter un paiement par chèque ; Considérant que les informations ainsi collectées et diffusées sont adéquates, pertinentes et non excessives au regard de la finalité du traitement ; Considérant que les établissements de crédit et la Banque de France sont soumis au secret professionnel sanctionné par l'article 378 du code pénal, en vertu de l'article 39 de la loi du 3 janvier 1973 sur l'Institut d'Emission et de l'article 57 de la loi du 24 janvier 1984 dite loi bancaire, Considérant cependant que les personnes ayant déclaré le vol ou la perte de leurs chèques pourront autoriser la police, la gendarmerie ou leur banque à transmettre les informations relatives à ces chèques à la Banque de France à charge pour celle-ci de les inclure dans le fichier de base ; qu'à cette fin, les clients des banques seront amenés à émarger un document interne permettant de recueillir leur accord ou leur refus ; qu'il en sera de même des formulaires utilisés par les forces de l'ordre ; Considérant cependant que lors de la mise en oeuvre du dispositif, il sera procédé à la prise en compte des fichiers d'oppositions pour perte ou vol déjà constitués par les établissements participant au dispositif : que la procédure envisagée prévoit que les établissements informeront les intéressés de la faculté de s'opposer à la transmission au F.N.C.V. dans un délai d'un mois ; que les informations restituées aux commerçants le seront sous une forme agrégée ; qu'en conséquence, selon les indications du ministère de la justice et sous réserve de l'appréciation souveraine des cours et tribunaux, l'article 378 du code pénal ne trouvera pas à s'appliquer.
Considérant, que pour assurer l'efficacité du dispositif et son caractère dissuasif à l'égard de la délinquance, il importe que l'alimentation et la mise à jour du fichier comme sa consultation s'accompagnent de mesures de sécurité suffisantes et que ces mesures soient appréciées après une durée de fonctionnement adéquate ; Considérant, s'agissant de l'alimentation et de la mise à jour du fichier, qu'il est prévu de procéder à l'attribution non individualisée de cartes à mémoire aux services de police et de gendarmerie ainsi qu'aux établissements bancaires participant au dispositif ; que l'utilisation de la carte à mémoire ne se justifie que sur la base d'une attribution individualisée, le code porteur étant réputé être celui de l'utilisateur, ainsi personnellement responsable des opérations effectuées ; Considérant qu'il est prévu que les données saisies par les forces de l'ordre et non confirmées par l'établissement teneur de compte disparaissent au bout de quatre jours ouvrés bancaires, sauf si l'ensemble des informations concernant l'incident a été enregistré et s'il s'agit d'un vol ; Considérant que l'efficacité du dispositif dépend du délai dans lequel l'enregistrement des déclarations de pertes ou de vol par les services de police et de gendarmerie est confirmé par l'enregistrement des oppositions bancaires et que ce délai ne saurait excéder raisonnablement deux jours ouvrés bancaires ; Considérant que cette confirmation doit également intervenir dans le cas d'un vol ; Considérant, pour ce qui est de la consultation du fichier, que l'identification de la ligne appelante prévue initialement n'est pas encore mise en service et n'a pas donné lieu à un avis de la Commission ; que la Banque de France a été en conséquence conduite à proposer une procédure nouvelle d'habilitation des commerçants pour la consultation du système ; Considérant que cette procédure repose sur l'attribution de mots de passe après fourniture par les intéressés de leur raison sociale, de leur adresse et de leur n° SIREN ; que le contrôle de l'exactitude de ces informations se borne à une simple vérification de la cohérence du n° SIREN ; qu'un tel numéro peut être facilement usurpé et qu'il convient d'effectuer en conséquence un rapprochement de l'ensemble des informations fournies avec celles figurant dans le fichier SIREN sous réserve toutefois d'une procédure complémentaire de vérification dans le cas où ce fichier n'a pas été mis à jour s'agissant notamment de l'adresse du commerçant concerné ;
Considérant par ailleurs que les droits d'accès et de rectification sont assurés ; Considérant que la Banque de France sollicite de la Commission la dispense prévue à l'article 38 de la loi du 6 janvier 1978 ; que le nombre des communications ne permet pas aux serveurs de consultation d'en conserver la trace ni, a fortiori, le contenu d'autant que les interrogations s'effectuent de manière totalement automatisée ; Considérant que la Banque de France rappelle aux commerçants que les informations transmises sont susceptibles d'être modifiées à tout moment, qu'elles sont destinées à une exploitation immédiate et qu'il appartient par conséquent aux commerçants de procéder à une nouvelle interrogation, chaque fois qu'ils envisagent d'accepter un chèque en paiement ; qu'il convient, dans ces conditions d'accorder une telle dispense à l'article 38 ; Considérant qu'eu égard aux objectifs poursuivis, il n'est pas opportun de mentionner dans l'acte réglementaire, soumis à publication, la durée de conservation des informations ;
EMET UN AVIS FAVORABLE à la mise en oeuvre du traitement sous réserve : - que les titulaires de comptes donnent leur accord pour les oppositions à venir à l'enregistrement d'informations les concernant dans le F.N.C.V. et que la formulation des imprimés utilisés par les forces de l'ordre et les établissements teneurs de compte soit modifiée en ce sens ; - que les agents des services de police et de gendarmerie ainsi que des établissements bancaires participant au système soient dotés de cartes à mémoire individuelles ; - qu'un rapprochement entre les informations fournies par les commerçants sur leur identité et le fichier SIREN soit effectué dans tous les cas ; - que dans l'éventualité où ce contrôle de cohérence effectué sur le fichier SIREN de l'INSEE n'aboutit pas à l'identification certaine du commerçant, un code d'accès ne lui soit attribué que lorsqu'il aura fait la preuve de son identité par des moyens probants ou après une mise à jour du fichier SIREN ; - que les documents de déclaration de vol et de perte fassent mention des dispositions de l'article 27 de la loi du 6 janvier 1978 ; - que l'effacement des données saisies par les forces de l'ordre intervienne au bout de deux jours ouvrés bancaires, à défaut de confirmation par une opposition bancaire, y compris lorsque l'ensemble des informations concernant un vol de chéquiers a été saisi par les forces de l'ordre. - que le projet d'arrêté du Conseil Général de la Banque de France soit mis en conformité avec la présente délibération ; - de procéder un an après la mise en oeuvre du traitement à l'examen des conditions de fonctionnement du dispositif, s'agissant notamment des mesures de sécurité adoptées. Le Président, Jacques FAUVET



Nature de la délibération: Avis favorable avec réserves
Date de la publication sur legifrance: 14 octobre 2015