Quels Sont Les Principes Posés Par La Commission Nationale De L'Informatique Et Des Libertés (CNIL) Que Les Banques Doivent Respecter Dans La Gestion De Leurs Fichiers Clients ?

Quels sont les principes posés par la Commission Nationale de l’Informatique et des Libertés (CNIL) que les banques doivent respecter dans la gestion de leurs fichiers clients ?

Pour répondre au mieux aux besoins des clients, il est important de bien les connaître d’où l’enrichissement de nos fichiers informatiques. Dans un souci de respect des libertés individuelles et fondamentales, dès 1978 le législateur est venu encadrer les fichiers automatisés de traitement de données personnelles. C’est ainsi que la CNIL (Commission Nationale Informatique et Liberté) a été créée.

Pour prendre en compte les évolutions technologiques, une loi de 2004 (qui transpose une directive de 1995) est venue modifier la loi de 1978.

Face à de nouveaux paramètres tels que le blanchiment, la recrudescence de la fraude, mais également les obligations bancaires, les banques doivent s’adapter tout en continuant à respecter le « KYC » (Know Your Consumer), règle fondamentale du métier.

Les banques doivent également respecter les règles posées par la législation sur la protection des personnes physiques à l’égard des traitements de données à caractère personnel.

Pour répondre à la question de savoir quels sont les principes posés par la CNIL que doivent respecter les banques dans la gestion de leurs fichiers clients, une première partie portera sur les obligations déclaratives ou d’autorisation des banques et une seconde sur la conduite à tenir dans l’alimentation des données sur les clients.

I. Les obligations déclaratives ou d’autorisation

A. Les obligations déclaratives

La CNIL a proposé depuis un certain temps déjà aux banques deux normes simplifiées de déclaration de traitement :

• Norme 12 : tenue des comptes de la clientèle ;

• Norme 13 : gestion des crédits ou des prêts consentis à des personnes physiques.

Pour pouvoir faire l'objet de la procédure de déclaration simplifiée, ces traitements doivent présenter quelques caractéristiques prédéfinies, qui permettent de garantir que :

• Il ne porte que sur des données objectives contrôlables par les intéressés lors de l'exercice du droit individuel d'accès ;

• Il n'applique à ces données que des logiciels dont les résultats puissent être facilement contrôlés ; il ne sera pas procédé à des cessions ou locations du fichier ; il n’y aura pas d’échanges ou d’interconnexions non nécessaires ; la sécurité et le secret sont assurés.

B. Les demandes d’autorisations

En matière de traitements soumis à autorisations, deux types de traitement sont concernés : le credit scoring, et le blanchiment.

La CNIL a adopté deux « autorisations uniques » permettant aux banques de s’assurer que leurs fichiers correspondent aux normes acceptables.

1. En matière de « credit scoring », les principes retenus par l’autorisation unique sont :

Premièrement, tout refus d’une demande de crédit décidé après prise en compte d’une réponse négative produite par un traitement de score doit être suivi d’une information du demandeur sur ses droits, en application de l’article 10 de la loi (nouvelle étude de la demande, information sur les principales difficultés du dossier).

Deuxièmement, en ce qui concerne la situation personnelle de l’emprunteur, seuls les éléments suivants peuvent entrer dans le score : âge, sexe, nationalité (sous la forme Français, ressortissant d’un autre État de l’Union européenne, autre nationalité), situation familiale, régime matrimonial, département de résidence, type d’habitat, situation de logement (sous la forme propriétaire, locataire, hébergé à titre gracieux), ancienneté dans le logement, catégorie socioprofessionnelle, situation professionnelle, ancienneté professionnelle, mais aussi types de téléphones utilisés, existence d’une adresse électronique, nature des relations entre les co-emprunteurs (sous la forme vie de couple, relations amicales, relations familiales, relations professionnelles).

Troisièmement, aucune variable ne doit recevoir une pondération telle qu’elle puisse à elle seule avoir un effet d’exclusion absolu ou disqualifiant.

2. En matière de lutte contre le blanchiment, l’organisme financier, pour bénéficier de l’autorisation unique, ne doit traiter au titre de la lutte anti-blanchiment que :

• d’une part les informations classiques qui président à la décision d’ouverture de compte : nom, prénom, nationalité, domicile, etc.,

• d’autre part uniquement les opérations telles qu’elles sont précisément définies par la législation anti-blanchiment, comme devant donner lieu à examen particulier ou à déclaration de soupçon.

3. Pour les éventuels autres fichiers soumis à autorisation préalable :

La CNIL s’est

...