Les avocats du net

 
 


 

Jurisprudence : Vie privée

jeudi 06 mai 2010
Facebook Viadeo Linkedin

Conseil d’Etat Section du contentieux Jugement du 30 décembre 2009

Experian / Cnil

autorisation - cnil - collecte - données personnelles - fichier - informatique et libertés - traitement - vie privée

Vu la requête sommaire et le mémoire complémentaire enregistrés les 4 juin et 4 septembre 2007 au secrétariat du contentieux du Conseil d’Etat, présentés pour la société Experian, dont le siège est à Paris ; la société Experian demande au Conseil d’Etat :
1°) d’annuler pour excès de pouvoir la délibération n°2007-044 du 8 mars 2007 par laquelle la Commission nationale de l’informatique et des libertés a refuser la création par la société d’un traitement automatisé ayant pour finalité la mise en place d’une centrale de crédit ;
2°) d’enjoindre à la Commission nationale de l’informatique et des libertés de délivrer à la société Experian l’autorisation demandée dans un délai de deux mois à compter de la notification de la décision à intervenir ;

Vu les autres pièces du dossier ;

Vu la convention n° 108 du Conseil de l’Europe pour a protection des personnes à l’égard du traitement automatisé des données à caractère personnel signée à Strasbourg le 28 janvier 1981 ;

Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et la libre circulation de ces données ;

Vu le code monétaire et financier ;

Vu la loi n° 78-17 du 6 janvier 1978 ;

Vu la loi n° 79-587 du 11 juillet 1979 ;

Vu le décret n° 2005-1309 du 20 octobre 2005 ;

Vu le code de justice administrative ;

[…]

DISCUSSION

Considérant que la société Experian, société de services, a présenté le 12 décembre 2006 à la Commission nationale de l’informatique et des libertés une demande d’autorisation portant sur un traitement automatisé de données à caractère personnel, consistant dans la mise en oeuvre d’une « centrale de crédit » ayant pour objectif, selon les écritures de la société, de favoriser le développement du crédit notamment auprès des populations qui en sont traditionnellement exclues, sans risquer le surendettement ; que ce traitement ce caractérise par le partage, entre des établissements de crédit, d’informations sur l’état des encours de crédit d’une personne physique ; que par délibération du 8 mars 2007 la Commission nationale de l’informatique et de libertés a refusé la création de ce traitement ; que la société Experian Western Europe, venant aux droits de la société Experian, demande l’annulation de cette délibération ;

Sur légalité externe

Considérant qu’aux termes de l’article 25 de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés : « I. Sont mis en oeuvre après autorisation de la Commission nationale de l’informatique et des libertés, à l’exclusion de ceux aux articles 26 et 27 : (…) / 4° Les traitements automatisés susceptibles, du fait de leur nature, leur portée ou de leurs finalités, d’exclure des personnes du bénéfice d’un droit, d’une prestation ou d’un contrat en l’absence de toute disposition législative ou réglementaire (…) » ; que le traitement présenté par la société Experian Western Europe permet aux établissements bancaires qui ont adhéré à cette « centrale » de disposer, avant tout octroi de prêt ou de crédit à un client, des renseignements sur les crédits attribués à celui-ci par l’ensemble des autres établissements bancaires et donc, de refuser sur la base des informations ainsi collectées ce crédit ou ce prêt ; qu’ainsi, ce traitement, dès lors qu’il est susceptible d’avoir ce résultat, est au nombre de ceux qui, au sens du 4° du I de l’article 25 de la loi du 6 janvier 1978, sont susceptibles par leur nature d’exclure des personnes du bénéfice d’un droit, d’une prestation, d’un contrat ; que dès lors, le traitement en cause ne pouvait être mis en œuvre qu’après autorisation de la Commission nationale de l’informatique et des libertés ;

Considérant qu’en application des articles 2 et 3 du décret du 20 octobre 2005 pris pour l’application de la loi du 6 janvier 1978, d’une part, la commission délibère valablement lorsque la majorité de ses membres en exercice sont présents et, d’autres part, ses délibérations sont prises à la majorité des membres présents ou, pour les autorisations portant sur la création de traitements mentionnés à l’article 25 de la loi du 6 janvier 1978, à la majorité des membres composant la commission ; que, par suite, le moyen tiré de ce que les textes applicables imposeraient pour la validité des délibérations la présence de la totalité des membres de la commission doit être écarté ;

Considérant que la délibération en date du 8 mars 2007, qui énonce les éléments de fait et de droit sur lesquels elle se fonde, est suffisamment motivée au regard de exigences des articles 1er et 3 de la loi du 11 juillet 1979 ;

Considérant que, contrairement à ce qui est soutenu, la mission de conseil et d’information exercée par la Commission nationale de l’informatique et des libertés en application du 1° et du d) du 2° de l’article 11 de la loi du 6 janvier 1978, qui est distincte de l’exercice de la mission définie au a) du 2° du même article selon laquelle elle autorise les traitements mentionnés à l’article 25, est une mission générale dont les termes ne posent pas une règle de procédure applicable à l’instruction des dossiers individuels ; que, par suite, la société requérante ne saurait utilement invoquer l’encontre de la décision contestée la circonstance que celle-ci serait fondée sur des motifs qui n’auraient pas été étudiés au cours des contacts intervenus entre la société Experian Western Europe et des membres de la commission lors de l’instruction de la demande ;

Sur la légalité interne

Considérant, en premier lieu, que si la société requérante soutient que la Commission aurait commis une erreur de droit en estimant que le transfert d’informations couvertes par le secret bancaire ne peut être autorisé que par le législateur et que le traitement était illicite au sens de la loi du 6 janvier 1978 comme portant sur des données ne pouvant être collectées, il ressort des termes mêmes de la décision attaquée que la commission ne s’est pas fondée sur de tels motifs pour refuser la délivrance de l’autorisation sollicitée ;

Considérant, en deuxième lieu, qu’aux termes de l’article 6 de la loi du 6 janvier 1978 : « Un traitement ne peut porter que sur des données caractère personnel qui satisfont aux conditions suivantes : / 1° Les données sont collectées et traitées de manière loyale et licite ; / 2° Elles sont collectées pour des finalités déterminées, explicite et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités (…) » ;

Considérant qu’il ressort des pièces du dossier que la « centrale de crédit » exploitée par la société requérante est alimentée par les données fournies par les établissements bancaires adhérents ; que les informations sont recueillies par ces derniers auprès de leurs clients à l’occasion d’une demande de prêt ou d’ouverture de crédit ;

Considérant que le client d’une banque peut toujours renoncer à la protection du secret bancaire à condition d’y consentir librement et de manière expresse au vu d’une information complète lui permettant de prendre sa décision de manière éclairée ; qu’en l’espèce, d’une part, le client est invité à donner son accord au transfert d’informations le concernant ; qui sont couvertes par le secret bancaire, avant qu’il lui soit répondu à sa demande de prêt ou de crédit ; que, d’autre part, la notice d’information qui lui est remise ne précise ni les données exactes qui seront transmises à la « centrale de crédit », ni les utilisations de ces données par les établissements qui en seront destinataires, ni le délai de conservation de ces données dans la « centrale de crédit » ; qu’ainsi, la Commission nationale de l’informatique et des libertés, en estimant que les conditions qui viennent d’être rappelées pour que le consentement de l’emprunteur soit libre et éclairé n’étaient pas réunies et, qu’en conséquence, les informations sur la situation financière de ce dernier n’étaient pas recueillies de manière licite, n’a pas fait une inexacte application de dispositions précitées de la loi du 6 janvier 1978 ;

Considérant, en troisième lieu, que selon le 3° de l’article 6 de l’article loi du 6 janvier 1978, les données à caractère personnel pouvant faire l’objet d’un traitement doivent être « adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs » ;

Considérant qu’il ressort des pièces du dossier qu’il n’existe aucun engagement de la par des établissements bancaires adhérents de la « centrale de crédit » de ne pas utiliser les données qui leur seront communiquées pour une autre finalité que l’appréciation financière des demandeurs de crédit ; que cette incertitude sur l’utilisation ultérieure des données est aggravée par les caractéristiques du projet qui maintient, sans justification évidente, les données sur les emprunteurs dans les fichiers de la centrale trois ans après la fin du remboursement du crédit, alors, au surplus, que le projet prend en compte les crédits immobiliers dont la durée est très longue ; qu’en conséquence, la commission n’a pas fait une inexacte application des dispositions de l’article 6 de la loi du 6 janvier 1978 en estimant que les données ainsi recueillies qui pouvaient être utilisées à d’autres fins que celle pour laquelle la demande d’autorisation a été présentée, et notamment à des fins commerciales, n’étaient ni adéquates, ni pertinentes et avaient un caractère excessif par rapport au but en vue duquel la collecte des données est envisagée ;

Considérant que la société requérante ne critique pas utilement la délibération
de la Commission nationale de l’informatique et des libertés au regard du principe de libre concurrence, de celui de libre prestation de service et des objectifs de la directive 95/46/CE du 24 octobre 1995 ;

Considérant que la circonstance, qui n’est d’ailleurs étayée par aucun élément et aucune argumentation, que la Commission nationale de l’informatique et des libertés aurait délivré des autorisations pour des projets de traitements semblables ne constituerait pas, par elle-même, une violation du principe d’égalité ;

Considérant qu’il résulte de tout ce qui précède que la société Experian Western Europe n’est pas fondée à demander l’annulation de la délibération de la Commission nationale de l’informatique et libertés en date du 8 mars 2007 ; que, par voie de conséquence, ses conclusions à fin d’injonction ne peuvent qu’être rejetées ;

DECISION

Article 1er : La requête de la société Experian Western Europe est rejetée.

Article 2 : La présente décision sera notifiée à la société Experian Western Europe, la Commission nationale de l’informatique et de libertés et à la ministre l’économie, de l’industrie et de l’emploi.

Notre présentation de la décision

 
 

* Nous portons l'attention de nos lecteurs sur les possibilités d'homonymies particuliérement lorsque les décisions ne comportent pas le prénom des personnes.