Les débats en cours
Experian fait valoir que les adhérents devront garantir la confidentialité et la
sécurité des informations qui leur seront transmises ainsi qu’une utilisation des informations conforme à la finalité déclarée du traitement. À cette fin, Experian fait signer
à chaque client une « charte Experian » dont le non respect engage la responsabilité
de l’adhérent. Chaque adhérent sera responsable de l’emploi qu’il fera des résultats
et à ce titre s’engage à ne pas interroger la base à d’autres fins que celles prévues.
Chaque adhérent devra, pour se connecter à la base centralisée, utiliser obligatoirement les codes identifiants qu’Experian lui aura remis préalablement et s’assurer que
seules les personnes habilitées à interroger la base auront accès aux données.
Les engagements pris par Experian ne sont pas de nature à apaiser les craintes de la Commission à l’égard d’une telle initiative.
Un fichier commun de lutte contre la fraude est par nature beaucoup plus sensible qu’un fichier commun d’impayés car si l’impayé est un fait objectif et de nature
civile, la fraude est évidemment beaucoup plus subjective et de nature pénale. En
outre, l’article 30 de la loi du 6 janvier 1978 réserve le traitement d’informations
nominatives concernant des infractions aux juridictions et autorités publiques agissant dans le cadre de leurs attributions légales ainsi que, sur avis conforme de la
CNIL, aux personnes morales gérant un service public.
La Commission a considéré que cette disposition ne fait nullement obstacle à
ce qu’un organisme dans le cadre de sa gestion interne puisse, sous certaines garanties contrôlées par la CNIL, conserver trace d’un agissement lui ayant porté préjudice
pour se prémunir de tout éventuel renouvellement à son égard (cf. 15e rapport d’activité 1994, p. 134). Par contre, paraissent entrer dans les prévisions de l’article 30
de la loi, la centralisation de toutes les fraudes ou tentatives de fraude — classées en
différentes catégories selon le degré de gravité que les établissements leur confèrent
— et surtout la diffusion de telles informations — quelle qu’en soit la forme, fût-ce sous
celle réduite attestant l’existence ou l’absence d’une fraude précédemment signalée
par autrui — à des tiers n’ayant subi aucun préjudice direct.
Ainsi, si la Commission est parfaitement consciente de la légitimité pour les
professionnels du crédit de souhaiter s’organiser à cet égard, comme elle l’a déjà
précisé dans son rapport d’ensemble sur « La prévention de la fraude et des impayés
dans le crédit à la consommation » (cf. 21e rapport d’activité 2000, p. 168), elle
observe que l’article 226-19 du code pénal punit de cinq ans d’emprisonnement et
de 2 000 000 F d’amende le fait, hors les cas prévus par la loi, de mettre ou de
conserver en mémoire informatisée des informations nominatives concernant des
infractions, des condamnations ou des mesures de sûreté. La mise en œuvre d’un traitement regroupant notamment les délits de faux ou d’escroquerie que les établissements de crédit imputeraient à des personnes nominativement désignées et la
diffusion de telles « listes noires » à l’ensemble des professionnels pourraient tomber
sous la prévision de ce texte.
De surcroît, le secteur du crédit étant régi par le secret bancaire, la centralisation et l’accessibilité à des tiers d’informations nominatives couvertes par le secret
professionnel soulèvent une autre difficulté juridique d’importance. En effet, si Experian a fait valoir qu’il reviendrait à chaque adhérent d’obtenir préalablement à
e
CNIL 22 rapport d'activité 2001
149