La Commission nationale de l’informatique et des libertés (Cnil) a infligé une amende de 45 000 euros à l’encontre du Crédit Lyonnais pour entrave à son action et inscription abusive de clients sur le fichier des « retraits CB », tenu par la Banque de France. C’est la première fois qu’elle met en œuvre son pouvoir de prononcer des sanctions pécuniaires, inscrit dans la loi du 6 août 2004 réformant la loi « Informatique et libertés » du 6 janvier 1978.

Cette mesure fait suite à quatre plaintes de particuliers. Dans la première, un client du Crédit lyonnais lui reprochait de maintenir à tort son inscription au Fichier des incidents de remboursements de crédits aux particuliers (FICP), géré par la Banque de France, alors qu’il avait remboursé sa dette. La Cnil a mis plus d’un an à obtenir des explications claires et précises sur les raisons de ce dysfonctionnement. Le Crédit lyonnais ne communiquant pas de réponse satisfaisante par courrier, la Commission a dû effectuer des vérifications sur place. A l’issue de la deuxième mission de contrôle, la Cnil a pu obtenir les traces informatiques de l’inscription du client au FICP et de la régularisation des incidents de paiement. C’est à cette occasion qu’elle a appris que le retard de la mainlevée de l’inscription au fichier était dû à un incident technique dans les systèmes informatiques du Crédit Lyonnais. La Cnil a estimé que cette rétention d’informations manifeste constituait une entrave à son action.

La Commission a été saisie de trois autres plaintes de particuliers à l’encontre du Crédit Lyonnais concernant une inscription au fichier des retraits de cartes bancaires CB, fichier qui centralise les utilisations de ce moyen de paiement sans provision disponible sur le compte du titulaire. Si les personnes en question avaient bien émis des chèques sans provision ou n’avaient pas réglé leur échéance de crédit, elles n’avaient pas utilisé leur carte bancaire. Le Crédit lyonnais n’avait donc pas respecté les conditions d’inscription à ce fichier déterminées par des incidents de fonctionnement liés à l’usage de la carte. Non seulement il ne s’est pas conformé à l’arrêté de la Banque de France réglementant ce fichier mais il a également enfreint l’article 6-4 de la loi « Informatique et libertés » qui prévoit qu’un traitement ne peut porter que sur des données personnelles adéquates, pertinentes et non excessives par rapport aux finalités prévues.

En plus de l’amende de 45 000 euros d’amende, la Cnil a ordonné une publication judiciaire de sa décision sous forme d’extrait, en raison de la mauvaise foi de la banque. La délibération de la Cnil a été transmise au Crédit lyonnais à la fin du mois de juillet. A la mi-août, ce dernier a procédé à la publication dans La Tribune et Le Figaro, signifiant ainsi qu’il n’intenterait pas de recours contre la décision de la Cnil. Le Crédit lyonnais reconnaît les dysfonctionnements qu’on lui reproche et déclare avoir mis en place des procédures informatiques et de contrôle pour améliorer la gestion de l’information relatives à ses clients. Avec cette première sanction, la Cnil envoie un message aux « mauvais » ficheurs : elle n’hésitera pas à utiliser l’arme de la répression si elle la juge utile. D’ailleurs, d’autres sanctions devraient être prononcées dans les semaines à venir.