Délibération 2014-299 du 7 août 2014

Commission Nationale de l'Informatique et des Libertés
Délibération n°2014-299 du 7 août 2014
Délibération de la formation restreinte n° 2014-299 du 7 août 2014 prononçant un avertissement à l’encontre de la société X
Etat: VIGUEUR

La Commission nationale de l'informatique et des libertés, réunie en sa formation restreinte sous la présidence de M. Jean-François CARREZ ;

Et

Composée de M. Alexandre LINDEN, Vice-président, Mme Marie-Hélène MITJAVILE, M. Sébastien HUYGUE, M. Maurice RONAI, M. Claude DOMEIZEL membres ;

Vu la Convention n° 108 du Conseil de l'Europe du 28 janvier 1981 pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;

Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi n° 2011-334 du 29 mars 2011, notamment ses articles 45 et suivants ;

Vu le décret n° 2005-1309 du 20 octobre 2005 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifié par le décret n° 2007-451 du 25 mars 2007 ;

Vu la délibération n° 2013-175 du 4 juillet 2013 portant adoption du règlement intérieur de la Commission nationale de l'informatique et des libertés ;

Vu les plaintes n°13009978 du 26 mars 2013 ; n°13014098 du 3 mai 2013 ; n°13018901 du 19 juin 2013 ; n°13017970 du 11 juin 2013 ; n°13019886 du 26 juin 2013 ; n°13025325 du 19 août 2013 ; n°13027172 du 10 septembre 2013 ; n°13017844 du 11 juin 2013 ; n°13020103 du 1er juillet 2013 ; n°13029069 du 30 septembre 2013 ; n°13037144 du 13 décembre 2013 ; n°13032970 du 6 novembre 2013 ;

Vu les plaintes n°13014556 du 14 mai 2013 ; n°13033552 du 13 novembre 2013 ; n°13035824 du 2 décembre 2013 ; n°13031895 du 24 octobre 2013 ; n°13011608 du 10 avril 2013 ; n°13017151 du 04 juin 2013 ; n°13021083 du 8 juillet 2013 ; n°13015424 du 21 mai 2013 ;

Vu les plaintes n°12024963 du 13 août 2012 et n°13034180 du 18 novembre 2013 ;

Vu la décision n°2014-068C du 14 avril 2014 de la Présidente de la Commission nationale de l'informatique et des libertés ordonnant une mission de vérification auprès de la société X ;

Vu le procès-verbal de contrôle sur place n°2014-068/2 du 24 avril 2014 effectué au sein de la société X ;

Vu la décision de la Présidente de la Commission portant désignation d'un rapporteur, en date du 19 mai 2014 ;

Vu le rapport de M. Jean-Luc VIVET, commissaire rapporteur, notifié à la société X par porteur contre reçu le 4 juin 2014 ;

Vu les observations écrites versées par la société X le 4 juillet 2014 par voie électronique et le 7 juillet 2014 en version papier, ainsi que les observations orales formulées lors de la séance de la formation restreinte ;

Vu les autres pièces du dossier ;

Ayant entendu, lors de la séance de la formation restreinte du 17 juillet 2014 :
- M. Jean-Luc VIVET, Commissaire, en son rapport ;
- Mme Catherine POZZO DI BORGO, Commissaire du Gouvernement adjoint ;
- M. X ;
- Maîtres Y et Z, Avocats, conseils de la société X ;

Les représentants de la société X ayant eu la parole en dernier ;

A adopté la décision suivante :

I. FAITS ET PROCEDURE

La société X exerçant sous le nom commercial Y (ci-après la société), issue de la fusion des sociétés V et W, intervient en matière de crédit aux particuliers.

A ce titre, elle participe au fonctionnement du fichier national des incidents de remboursement des crédits aux particuliers (FICP) régit par les dispositions de l'arrêté du 26 octobre 2010.

Entre mars 2013 et février 2014, la Commission Nationale de l'Informatique et des Libertés (ci-après CNIL ou Commission) a été saisie de plaintes de particuliers dénonçant les modalités de leur inscription au FICP par la société.

Huit clients de la société ont dénoncé le bien-fondé de leur inscription par la société au FICP alors que douze autres clients rapportaient avoir vu leur inscription maintenue malgré la régularisation de leur créance.

L'instruction de ces plaintes par les services de la Commission a permis de confirmer les faits dénoncés dont la société s'est notamment justifiée par l'existence de dysfonctionnements internes ou l'inadaptation de ses procédures avant de procéder aux levées d'inscription qui s'imposaient.

Entre août 2012 et mars 2013, la CNIL a également reçue deux autres plaintes de clients de la société ayant réceptionné par courrier des documents contenant des données à caractère personnel relatives à des tiers.

En réponse aux demandes de la CNIL, la société a reconnu que ces documents confidentiels avaient été adressés par erreur aux mauvais destinataires et a détaillé les correctifs mis en œuvre pour y remédier.

Le 24 avril 2014, un contrôle réalisé au sein des locaux du siège social de la société a notamment permis d'examiner les procédures mises en œuvre relatives au fonctionnement du FICP.

Au vu de ces éléments, la Présidente de la Commission a désigné, le 19 mai 2014, M. Jean-Luc VIVET, en qualité de commissaire rapporteur sur le fondement de l'article 46 de la loi du 6 janvier 1978 modifiée.

A l'issue de son instruction, considérant que la société avait manqué aux obligations lui incombant en application de la loi du 6 janvier 1978 modifiée , le rapporteur a fait notifier à la société par porteur, le 4 juin 2014, un rapport proposant à la formation restreinte de la Commission de prononcer à son encontre un avertissement public.
Etait également jointe au rapport une convocation à la séance de la formation restreinte du 17 juillet 2014 indiquant à la société qu'elle disposait d'un délai d'un mois pour communiquer ses observations écrites.

Les 4 et 7 juillet 2014, la société a produit des observations écrites sur le rapport, réitérées à l'oral lors de la séance de la formation restreinte du 17 juillet 2014.

A l'issue de cette procédure, et après en avoir délibéré, la formation restreinte a adopté la décision dont la teneur suit.

II. MOTIFS DE LA DECISION

1. Sur le manquement à l'obligation de mettre à jour les données

L'article 6-4°de la loi du 6 janvier 1978 modifiée prévoit qu'un traitement ne peut porter que sur des données à caractère personnel qui sont exactes, complètes et, si nécessaire, mises à jour et que les mesures appropriées doivent être prises pour que les données inexactes ou incomplètes au regard des finalités pour lesquelles elles sont collectées ou traitées soient effacées ou rectifiées.

S'agissant du fonctionnement du fichier national des incidents de remboursement des crédits aux particuliers (FICP), l'article 6-II de l'arrêté du 26 octobre 2010 dispose que pour chaque incident de paiement précédemment déclaré, les établissements et organismes mentionnés à l'article 1er signalent à la Banque de France, (...), le paiement intégral des sommes dues, que celui-ci ait été effectué par le débiteur principal ou par une caution (...), au plus tard le quatrième jour ouvré suivant la date du paiement intégral.

Il ressort de l'instruction menée par le rapporteur que douze plaignants ont vu leur inscription au FICP maintenue plusieurs mois après régularisation de leur incident de paiement, étant précisé que l'un des plaignants a vu son inscription perdurer pendant 32 mois.

En défense, la société reconnait les faits et évoque des dysfonctionnements principalement liés à la gestion de certains abandons de créance et à la migration d'outils informatiques.

Elle précise que le nombre de plaintes reçues par la Commission est limité au regard du volume d'inscription et de radiation au FICP traitées mensuellement et détaille les mesures correctives adoptées afin d'éviter la réitération des faits litigieux.

La formation restreinte prend acte des correctifs apportés pour l'avenir et retient toutefois que les levées d'inscription, à laquelle la société doit procéder d'elle-même dans un délai restreint commençant à courir à compter de la régularisation de la créance, n'ont en l'espèce été obtenues qu'après la double intervention, d'une part, des plaignants, qui ont entrepris de nombreuses démarches préalables auprès de la société pour tenter d'obtenir leur radiation puis, d'autre part, de la Commission.

Or, il n'appartient ni aux personnes concernées ni à la CNIL de solliciter ces radiations mais à la banque d'y procéder.

La formation restreinte constate que de tels dysfonctionnements ne sauraient exonérer la société de sa responsabilité mais témoignent au contraire de procédures insuffisamment efficaces dans leur mise en œuvre.

En conséquence, la formation restreinte considère que la société a manqué à son obligation de mise à jour des données et que le manquement à l'article 6-4° de loi du 6 janvier 1978 modifiée est caractérisé.

2. Sur le manquement à l'obligation d'effectuer un traitement licite des données

L'article 6-1°de la loi du 6 janvier 1978 modifiée dispose qu'un traitement ne peut porter que sur des données à caractère personnel qui sont collectées et traitées de manière loyale et licite.

Aux termes de l'article 5 de l'arrêté précité du 26 octobre 2010, les établissements bancaires concernés doivent constater qu'un incident de paiement est caractérisé et en informer régulièrement le débiteur avant de pouvoir déclarer son inscription au FICP.

En l'espèce, la société ne conteste pas avoir procédé à l'inscription de huit plaignants sans avoir préalablement constaté un incident de paiement au sens de la règlementation précitée.

Dans le cadre de l'instruction des dossiers par les services de la CNIL, la société a fait état de difficultés techniques ponctuelles, d'erreurs ou de l'inadaptation de certaines procédures automatisées afin de justifier de ces inscriptions indues.

En défense devant la formation restreinte, la société a repris les arguments développés au point précédent relatifs aux dysfonctionnements liés à la gestion de certains abandons de créance et à la migration d'outils informatiques et à la faible volumétrie des plaintes reçues par la Commission.

Sur la base de ces éléments, la formation restreinte retient que la société a procédé à l'inscription de huit plaignants au FICP alors même que les conditions visées à l'arrêté précité permettant leur inscription n'étaient pas réunies. Dans ce cas également, les désinscriptions n'ont été obtenues que sur intervention de la Commission.

Au regard des conséquences graves que comporte, pour les personnes concernées, l'inscription au FICP, les erreurs répétées ou difficultés ponctuelles ne peuvent en aucune façon justifier d'une inscription indue dans ce fichier.

La formation restreinte considère que la société a manqué à son obligation de procéder à un traitement licite des données et la formation restreinte considère que le manquement à l'article 6-1° de la loi du 6 janvier 1978 modifiée est caractérisé.

3. Sur le manquement à l'obligation d'assurer la sécurité et la confidentialité des données

L'article 34 de la loi de la loi du 6 janvier 1978 modifiée dispose que le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès.

Ainsi qu'il a été confirmé par la mission de contrôle sur place, deux clients de la société se sont vu communiquer par cette dernière des documents confidentiels contenant des données nominatives relatives à des tiers.

En défense, la société argue d'erreurs ponctuelles survenues lors de l'impression et de la mise sous pli des courriers et présente les correctifs déployés pour y remédier.

Sur la foi de ces éléments, la formation restreinte retient que les faits précités constituent une atteinte à la confidentialité de données bancaires dont la société ne saurait s'exonérer de sa responsabilité en se retranchant derrière des erreurs humaines.

Par ailleurs, il n'est pas contesté que les mesures correctrices déployées par la société à l'issue de la première plainte du 13 août 2012 n'ont pas empêché la réitération des faits litigieux comme en témoigne la réception par la CNIL de la seconde plainte portant sur des faits identiques.

La formation restreinte retient en conséquence que la société a manqué à son obligation d'assurer la sécurité et la confidentialité des données de ses clients et que le manquement à l'article 34 de la loi du 6 janvier 1978 modifiée est caractérisé.

III. SUR LA SANCTION ET LA PUBLICITE

La formation restreinte considère que la société a manqué aux obligations lui incombant en application des dispositions susvisées de la loi du 6 janvier 1978 modifiée et décide de prononcer à son encontre un avertissement en application de l'article 45 de la loi n°78-17 du 6 janvier 1978 modifiée.

Eu égard aux dysfonctionnements relatifs à la gestion des inscriptions et désinscriptions au FICP et au manquement relatif à la confidentialité des données des clients de la société, la formation restreinte décide de rendre publique cette sanction.

PAR CES MOTIFS

La formation restreinte de la CNIL, après en avoir délibéré, décide :
- De prononcer un avertissement à l'encontre de la société X ;
- De rendre publique sa décision sur le site Internet de la CNIL et sur le site Légifrance.


Le Président

Jean-François CARREZ




Nature de la délibération: SANCTION
Date de la publication sur legifrance: 28 août 2014