Une fois n’est pas toujours coutume ces derniers temps, le Conseil d’Etat vient d’approuver une délibération de la Commission nationale de l’informatique et des libertés. Dans un arrêt du 30 décembre dernier, il a validé l’analyse très critique de la Cnil en matière de fichiers positifs de crédit en confirmant son refus d’autoriser le projet d’Experian.

La Cnil s’est toujours montrée hostile à ces bases de données dont la finalité déclarée porte sur la maîtrise de l’octroi de crédit et la lutte contre le surendettement, grâce à l’échange d’informations mutualisées détenues par les établissements de crédit sur leurs clients. L’autorité de contrôle craint que l’exploitation d’une telle base de données n’aille au-delà de la finalité annoncée et dérive vers le démarchage de clientèle. Par ailleurs, elle se montre inquiète à l’égard de la communication de données protégées par le secret bancaire et détenues dans cette affaire par une société de service non soumise à un tel secret. De manière générale, elle estime que seul le législateur est compétent pour se prononcer sur l’utilité sociale de tels fichiers dans le secteur du crédit et pour l’encadrer. En attendant une telle loi, la Cnil veille à limiter son autorisation à des cas où l’échange d’informations reste très ponctuel et intervient entre organismes pour lesquels existe une communauté de risques financiers. Dans le projet d’Experian, ces conditions n’étaient pas réunies.

Dans une délibération du 8 mars 2007, l’autorité de contrôle a refusé d’autoriser la création d’une centrale de crédits. Selon son analyse, ces bases de données étant susceptibles d’exclure les personnes du bénéfice d’un droit, en l’occurrence d’un crédit, elles ne peuvent être mises en place sans son aval, en vertu de l’article 25 de la loi Informatique et libertés. Le Conseil d’Etat a confirmé cette position.

A l’instar de la Cnil, le Conseil d’Etat a par ailleurs considéré que la collecte d’informations n’était pas licite. La Commission rappelle que cette communication de données couvertes par le secret bancaire ne peut être pratiquée que si le client l’a acceptée de manière expresse et après avoir reçu une information précise sur les conséquences d’une telle levée du secret, sur les modalités et les finalités. Ce qui n’est pas le cas. De plus, la Cnil remarque que le consentement est demandé avant l’octroi du crédit. Ce qui ne place pas le client dans une situation confortable pour refuser de signer. Le Conseil considère enfin que les données ainsi collectées ne sont ni adéquates, ni pertinentes et peuvent avoir un caractère excessif par rapport à la finalité prévue. Le Conseil d’Etat remarque enfin qu’il n’existe aucun engagement des établissements financiers de ne pas utiliser ces données à d’autres fins, d’autant plus qu’une longue durée de conservation est prévue : trois ans après le remboursement du crédit.