Votre navigateur ne reconnait pas le javascript. Veuillez le mettre à jour.Sanction de la CNIL pour CARREFOUR BANQUE

Sanction CNIL pour CARREFOUR BANQUE 1

Sanction CNIL pour CARREFOUR BANQUE

Délibération SAN-2017-001 du 26 janvier 2017


Commission Nationale de l'Informatique et des LibertésDélibération n°SAN-2017-001 du 26 janvier 2017Délibération de la formation restreinte SAN - 2017-001 du 26 janvier 2017 prononçant un avertissement public à l’encontre de la société CARREFOUR BANQUEEtat: VIGUEUR La Commission nationale de l'informatique et des libertés, réunie en sa formation restreinte composée de M. Jean-François CARREZ, Président, M. Alexandre LINDEN, Vice-président, Mme Dominique CASTERA, M. Philippe GOSSELIN et M. Maurice RONAI, membres ;

Vu la Convention n° 108 du Conseil de l'Europe du 28 janvier 1981 pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;

Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi n° 2011-334 du 29 mars 2011, notamment ses articles 45 et suivants ;

Vu le décret n° 2005-1309 du 20 octobre 2005 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifié par le décret n° 2007-451 du 25 mars 2007 ;

Vu la délibération n° 2013-175 du 4 juillet 2013 portant adoption du règlement intérieur de la Commission nationale de l'informatique et des libertés ;

Vu la décision n° 2014-034C du 28 janvier 2014 de la Présidente de la Commission nationale de l'informatique et des libertés de charger le secrétaire général de procéder ou de faire procéder à une mission de vérification auprès de la société CARREFOUR BANQUE ;

Vu la décision de la Présidente de la Commission portant désignation d'un rapporteur, en date du 21 octobre 2016 ;

Vu le rapport de M. Jean-Luc VIVET, commissaire rapporteur, notifié à la société CARREFOUR BANQUE le 8 novembre 2016 ;

Vu la demande de huis clos présentée par la société CARREFOUR BANQUE le 28 novembre 2016 à laquelle il a été fait droit par courrier du 1er décembre 2016 ;

Vu les observations écrites de la société CARREFOUR BANQUE reçues le 6 décembre 2016, ainsi que les observations orales formulées lors de la séance de la formation restreinte ;

Vu les autres pièces du dossier ;

Ayant entendu, lors de la séance de la formation restreinte du 15 décembre 2016,

- M. Jean-Luc VIVET, commissaire, en son rapport ;
- En qualité de représentants de la société CARREFOUR BANQUE : [...]
- En qualité de conseil de la société : [...]

Mme Nacima BELKACEM, Commissaire du Gouvernement, n'ayant pas formulé d'observation ;

Les représentants de la société CARREFOUR BANQUE ayant pris la parole en dernier ;

A adopté la décision suivante :

I- Faits et procédure

La société CARREFOUR BANQUE (ci-après la société ) est une filiale bancaire européenne de CARREFOUR SA. Créée en 1989, elle est spécialisée dans la distribution de crédits. Elle dispose d'un Correspondant Informatique et Libertés depuis le 11 août 2016.

Le 16 octobre 2015, la Commission nationale de l'informatique et des libertés (ci-après la CNIL ou la Commission ) a été saisie par une plaignante ayant souscrit un prêt à la consommation auprès de la société et dénonçant son inscription auprès de la Banque de France dans le cadre du Fichier national des Incidents de Remboursement des Crédits aux Particuliers, dit FICP (PL 15028539).

Après avoir interrogé la Banque de France sur cette inscription le 22 octobre 2015, les services de la Commission ont eu communication du relevé de situation de la plaignante dans le FICP. Il faisait état d'un incident recensé au titre d'un crédit renouvelable avec une date de référence au 3 octobre 2012.

Par courrier du 30 décembre 2015, les services de la Commission ont demandé à la société d'apporter des éléments d'informations quant à la situation litigieuse liée à l'inscription de la plaignante au FICP.

En réponse, la société a notamment indiqué par courrier en date du 25 février 2016 que :
- l'inscription au FICP de la plaignante, le 12 mai 2012, faisait suite au non-paiement de deux échéances de crédit consécutives pour les mois de février et mars 2012 puis à l'envoi d'une lettre de préavis ;
- à la suite du rejet le 06 juillet 2012 par la banque de la plaignante, d'un premier prélèvement de régularisation générant la levée de son inscription au FICP, cette dernière a été réinscrite au FICP le 21 août 2012 ;
- une nouvelle inscription de la plaignante au FICP a été réalisée le 5 octobre 2012, à la suite du rejet par la banque de la plaignante d'un second prélèvement de régularisation effectué le 29 août 2012 et ayant également généré la levée de son inscription au FICP.

Dans ce même courrier, la société a également mentionné qu' en 2012, les prélèvements de régularisation effectués sur les dossiers de crédit généraient la levée automatique de l'inscription au FICP de l'emprunteur défaillant et que cette anomalie a été corrigée fin 2012.

A la suite d'une nouvelle interrogation de la Banque de France le 30 mars 2016, il a été indiqué aux services de la Commission le 4 avril suivant que la plaignante faisait l'objet d'une inscription au FICP au titre d'un crédit renouvelable avec une date de référence au 13 mai 2012.

Afin de donner suite à la plainte et de constater les conséquences de l'anomalie technique sur les données des clients, une délégation de la CNIL a procédé à une mission de contrôle au sein des locaux de la société CARREFOUR BANQUE le 9 août 2016 en application de la décision n° 2014-034C du 28 janvier 2014 de la Présidente de la Commission. Le procès-verbal n° 2014-034/3 du 9 août 2016 a été notifié à la société le 10 août 2016.

A la suite de ce contrôle, la société a fait parvenir des éléments complémentaires par courriers des 15 septembre et 10 octobre 2016, notamment sur la procédure dite de prélèvements de régularisation .

Ces échanges ont permis de confirmer l'existence d'un dysfonctionnement des inscriptions au FICP, intervenu en mai 2010, à la suite de mesures déployées par la société afin d'anticiper la réforme de ce fichier introduite par la loi n° 2010-737 du 1er juillet 2010. Ce dysfonctionnement a engendré la radiation systématique de chaque personne concernée, sur la seule présentation d'un prélèvement bancaire de régularisation, indépendamment de toute régularisation des montants dus. En cas de rejet dudit prélèvement, celui-ci était identifié comme un nouvel incident de paiement caractérisé au sens de l'arrêté du 26 octobre 2010 modifié concernant le fonctionnement du fichier national des incidents de remboursement des crédits aux particuliers. Il engendrait une nouvelle inscription au FICP avec la date du dernier rejet comme date de référence.

Dans son courrier en date du 15 septembre 2016, la société a notamment indiqué avoir :
- constaté ce dysfonctionnement en novembre 2011 et mis en place un correctif en novembre 2012 ;
- identifié 38 329 personnes impactées par ce dysfonctionnement qui a eu pour effet de modifier la date de fin d'inscription au FICP, dont 5644 personnes toujours concernées et devant faire l'objet de mesures de reprises à compter du 19 septembre suivant.
Interrogée par les services de la CNIL, la société a précisé dans son courrier du 10 octobre 2016 que sur les 38 329 personnes impactées, 32 685 clients ne sont plus déclarés au FICP en raison du règlement des sommes dues ou de l'écoulement du délai de cinq ans prévu par l'article 8 de l'arrêté du 26 octobre 2010 susvisé qui dispose que : Les informations [...] sont conservées dans le fichier pendant cinq ans à compter de la date à laquelle l'incident est devenu déclarable. Elles sont radiées dès la réception de la déclaration du paiement intégral des sommes dues, effectué en application du II de l'article 6. Les renseignements centralisés sont modifiés ou effacés par la Banque de France dès la réception de l'indication fournie par l'établissement ou l'organisme mentionné à l'article 1er que la déclaration initiale était erronée . Elle a en outre indiqué avoir effectué les mesures de reprise (mise à jour de la date d'inscription au FICP) annoncées dans son précédent courrier s'agissant des 5644 personnes qui étaient toujours concernées par les conséquences du dysfonctionnement.

Aux fins d'instruction de ces éléments, la Présidente de la Commission a désigné M. Jean-Luc VIVET en qualité de rapporteur, le 21 octobre 2016, sur le fondement de l'article 46 de la loi du 6 janvier 1978 modifiée.

A l'issue de son instruction, le rapporteur a notifié à la société le 8 novembre 2016 par huissier, un rapport détaillant le manquement à la loi qu'il estimait constitué en l'espèce. Ce rapport proposait à la formation restreinte de la CNIL de prononcer un avertissement, dont il sollicitait par ailleurs qu'il soit rendu public. Etait également jointe au rapport une convocation à la séance de la formation restreinte du 15 décembre 2016 indiquant à l'organisme qu'il disposait d'un délai d'un mois pour communiquer ses observations écrites.

La société CARREFOUR BANQUE a produit le 6 décembre 2016 des observations écrites sur le rapport, réitérées oralement lors de la séance de la formation restreinte du 15 décembre 2016.

II- Motifs de la décision

Sur le manquement à l'obligation de traiter des données exactes et mises à jour

L'article 6-4°de la loi du 6 janvier 1978 modifiée prévoit qu'un traitement ne peut porter que sur des données à caractère personnel qui sont exactes, complètes et, si nécessaire, mises à jour et que les mesures appropriées doivent être prises pour que les données inexactes ou incomplètes au regard des finalités pour lesquelles elles sont collectées ou traitées soient effacées ou rectifiées .

Les dispositions de l'arrêté du 26 octobre 2010 modifié concernant le fonctionnement du fichier national des incidents de remboursement des crédits aux particuliers prévoient, quant à elles, une procédure d'inscription au FICP des incidents de remboursement des crédits et, symétriquement, de radiation lorsque la situation a été régularisée.

Il appartient à la formation restreinte de décider si la société CARREFOUR BANQUE a manqué à l'obligation lui incombant de traiter des données exactes et mises à jour.

En défense, la société ne conteste pas l'existence d'un dysfonctionnement dans son système d'information et précise que ce dernier est apparu à la suite de la réforme du FICP .

Elle indique avoir demandé à son prestataire, la société [...] , en charge de l'ensemble des étapes d'inscription et de radiation au FICP, de procéder à l'adaptation de son système d'information et d'y apporter un correctif, lequel est intervenu en novembre 2012.

La société considère à ce titre, que l'obligation pesant sur son prestataire, s'agissant de la résolution du dysfonctionnement, est une obligation de moyens et non une obligation de résultat. Elle estime en effet que le concept d'erreur est inhérent au domaine informatique.

La société précise également avoir pris les mesures correctives nécessaires dès septembre 2016 d'une part, en identifiant les personnes concernées dont la date d'inscription au FICP avait été décalée et d'autre part, en informant immédiatement la Banque de France de la situation afin de modifier leur date d'inscription au FICP. Elle indique avoir ainsi mis en œuvre une solution technique intermédiaire consistant en une demande de radiation du FICP des personnes concernées, une fois le délai de cinq ans atteint.

La société rappelle qu'elle ne peut pas elle-même modifier la date de première inscription au FICP et que sur les 38 329 personnes potentiellement impactées par le dysfonctionnement, seules 5 644 personnes restaient concernées en septembre 2016.

La société fait valoir l'absence de préjudice causé à la plaignante résultant du dysfonctionnement et précise que l'inscription de cette dernière au FICP était légitime. Elle indique par ailleurs qu'aucune autre plainte n'a été reçue par la Commission ou par elle-même sur ce sujet.

La société estime, en outre, avoir coopéré avec la Commission en répondant rapidement à ses interrogations et présente une liste d'engagements comprenant notamment une procédure d'analyse d'impact concernant les éventuels incidents.

Enfin, elle considère que le prononcé d'un avertissement public ne se justifierait qu'en cas de pluralité de manquements et de plaintes. Elle estime également qu'une publication produit des effets illimités dans le temps, renforçant le caractère punitif de la sanction.

En premier lieu, la formation restreinte relève que la société reconnait l'existence d'un dysfonctionnement dans son système d'information, ce dernier ayant conduit à la désinscription et à la réinscription à une date inexacte de plusieurs milliers de personnes au FICP, et ce parfois à plusieurs reprises.

En deuxième lieu, la formation restreinte considère que la société a manqué de diligence dans les mesures mises en œuvre puisque le correctif technique mettant fin à cette anomalie n'est intervenu qu'en novembre 2012, soit un an après le constat de son existence par la société.

La formation restreinte considère en outre qu'il appartenait à la société de prendre les mesures nécessaires afin de tirer les conséquences de ce dysfonctionnement technique en terme d'exactitude des données. Or, ce n'est qu'après le contrôle de la CNIL que la société a régularisé la situation des personnes concernées, en septembre 2016, alors même qu'elle avait connaissance du problème technique depuis novembre 2011 et de ses conséquences sur les données à caractère personnel des clients, ainsi que l'établit son courrier à la CNIL du 18 juin 2015 relatif à une précédente plainte (PL 15001372).

La formation restreinte estime que le nombre de personnes impactées par ce dysfonctionnement et identifiées par la société - 38 329 entre mai 2010 et novembre 2012 - reste conséquent plus de 4 ans après la découverte de l'anomalie, à savoir 5 644 en septembre 2016. Elle souligne que la radiation des 32 685 personnes du fichier et par conséquent la diminution du nombre de personnes impactées résultent non pas d'une action de la société visant à rectifier les dates d'inscription inexactes au FICP mais uniquement de l'écoulement du temps ou de la régularisation des incidents de paiement.

La formation restreinte en déduit que cette situation a conduit au traitement, de manière persistante, de données inexactes dans le FICP en termes de date d'inscription, jusqu'à ce que la CNIL diligente une mission de contrôle sur place en août 2016.

En dernier lieu, la formation restreinte relève que si les engagements que la société a pris pour l'avenir sont de nature à témoigner d'une démarche de conformité, ils sont néanmoins sans incidence sur le manquement caractérisé dans la présente affaire.

En conséquence, la formation restreinte considère que la société a manqué à son obligation de traiter des données exactes et mises à jour et que le manquement à l'article 6-4° de loi du 6 janvier 1978 modifiée est caractérisé.

Sur la sanction et la publicité
Le manquement commis par la société CARREFOUR BANQUE justifie à lui seul que soit prononcé à son encontre un avertissement.

Compte tenu d'une part, du nombre de personnes concernées par le traitement de données à caractère personnel inexactes, à savoir 38 329 personnes dont 5 644 clients toujours impactés en septembre 2016, d'autre part, de la persistance de ce manquement durant plus de quatre ans après le constat de l'anomalie technique l'ayant engendré et enfin, de la dimension nationale du fichier en cause et de son rôle dans la prévention du surendettement des ménages, la formation restreinte considère que les faits dont elle est saisie sont d'une particulière gravité et doivent être portés à la connaissance des professionnels du secteur et des particuliers afin de leur rappeler leurs obligations et droits respectifs. La formation restreinte décide donc de rendre publique sa décision.

PAR CES MOTIFS


La formation restreinte de la CNIL, après en avoir délibéré, décide :

- de prononcer un avertissement à l'encontre de la société CARREFOUR BANQUE ;
- de rendre publique sa délibération, qui sera anonymisée à l'expiration d'un délai de deux ans à compter de sa publication.


Le Président

Jean-François CARREZ

Cette décision est susceptible de faire l'objet d'un recours devant le Conseil d'Etat dans un délai de deux mois à compter de sa notification.



Nature de la délibération: SANCTION
Date de la publication sur legifrance: 31 janvier 2017

Date de l'article :