La Commission nationale de l'informatique et des libertés,
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 91 / 308 / CE du Conseil du 10 juin 1991 modifiée relative à la prévention de l'utilisation du système financier aux fins du blanchiment de capitaux ;
Vu la directive 95 / 46 / CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et la libre circulation de ces données ;
Vu le code monétaire et financier ;
Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel, notamment le 4° du I de l'article 25 ;
Vu le décret n° 2005-1309 du 20 octobre 2005 pris pour l'application de la loi du 6 janvier 1978 modifiée par la loi n° 2004-810 du 6 août 2004 ;
Vu la délibération n° 2008-198 du 9 juillet 2008 modifiant l'autorisation unique AU-005 relative à certains traitements de données à caractère personnel mis en œuvre par les établissements de crédit pour aider à l'évaluation et à la sélection des risques en matière d'octroi de crédit ;
Vu la demande d'autorisation déposée par Crédit agricole SA relative à un traitement automatisé de données à caractère personnel dénommé SOPRANO ;
Sur le rapport de M. Jean-Paul AMOUDRY, commissaire, et les observations de Mme Elisabeth ROLIN, commissaire du Gouvernement,
Formule les observations suivantes :
Le traitement de données à caractère personnel soumis par Crédit agricole SA à l'examen de la commission a pour but d'apporter une aide à la pré-attribution et à la décision en matière d'octroi de financements professionnels à court ou moyen terme aux agriculteurs et aux autres professionnels exerçant une activité indépendante ou en société. Il est dénommé SOPRANO.
Ce traitement sera utilisé pour sélectionner les entreprises et les demandes de crédit qui correspondent à un niveau de risque de défaillance jugé satisfaisant. Il est, par voie de conséquence, susceptible d'exclure, au moins de façon temporaire, une personne du bénéfice d'un contrat de crédit là où aucun texte législatif ou réglementaire ne prévoit une telle exclusion.
Dès lors, ce traitement relève du 4° du I de l'article 25 de la loi du 6 janvier 1978 et doit, à ce titre, être autorisé par la CNIL.
La demande d'autorisation est présentée par Crédit agricole SA pour le compte de l'ensemble des caisses régionales qui souhaiteront mettre en œuvre le traitement SOPRANO sous leur responsabilité.
En vertu de l'article 25-II de la loi du 6 janvier 1978 modifiée, la commission peut autoriser par une décision unique une catégorie de traitements répondant aux mêmes finalités, portant sur des catégories de données identiques et ayant les mêmes catégories de destinataires. Il en résulte que chaque établissement du groupe Crédit agricole mettant en œuvre un traitement conforme à cette décision unique d'autorisation pourra déclarer ce traitement en adressant à la commission un engagement de conformité par lequel il s'engage à respecter les termes de la délibération de la CNIL.
Par sa délibération n° 2008-198 du 9 juillet 2008 susvisée modifiant l'autorisation unique AU-005, la commission a autorisé les traitements mis en œuvre par les établissements de crédit pour aider à l'évaluation et à la sélection des risques en matière d'octroi de crédit sous réserve que les finalités de ces traitements, les catégories de données utilisées et leurs destinataires n'excèdent pas le cadre qui y est défini, que ces traitements remplissent également les conditions qui y sont fixées, et que les responsables de ces traitements adressent à la CNIL un engagement de conformité à l'autorisation unique AU-005.
L'analyse des caractéristiques du traitement SOPRANO fait apparaître deux différences par rapport à l'autorisation unique AU-005 qui, de ce fait, sont soumises à l'examen de la CNIL.
En premier lieu, le traitement intègre un module dit de qualification ou de pré-attribution qui permet de calculer périodiquement, pour chaque client, outre son degré d'appétence au produit, des plafonds de crédit d'investissement (investissement et court terme) immédiatement disponibles, calculés sur la base de variables citées dans l'autorisation unique.
Ce montant sera communiqué à certains clients ou sera pris en compte en présence de demande de financement entrant dans les limites du plafond prédéfini, afin d'accélérer la procédure d'octroi de crédit.
En deuxième lieu, lorsque la demande de financement est présentée par une personne morale, les données personnelles enregistrées, dont la liste est conforme à celle de l'AU-005, se rapporteront non pas au demandeur de crédit mais aux personnes physiques qui ont créé une personne morale pour exercer leur activité professionnelle ou qui la représentent.
Ces caractéristiques n'appellent pas d'observations particulières de la part de la CNIL.
Les autres aspects du traitement sont conformes à l'autorisation unique précitée.
Autorise, dans ces conditions, les caisses régionales du groupe Crédit agricole à mettre en œuvre le traitement SOPRANO, sous réserve qu'elles adressent à la CNIL, conformément aux dispositions de l'article 25-III de la loi du 6 janvier 1978, un engagement de conformité valant engagement de respecter les termes de la présente autorisation de la CNIL.