des rations de solvabilité…
Les banques doivent mettre l’ensemble de leurs traitements en conformité à la loi Informatique et libertés sous peine de lourdes sanctions, notamment à la suite d’un contrôle sur place de la Cnil.
Cnil, Guide "Banque-crédit : êtes vous fiché ?"
Paru dans la JTIL n°18/2007
Une nouvelle sanction pécuniaire prononcée par la Cnil
La Commission nationale de l’informatique et des libertés (Cnil) a prononcé une sanction pécuniaire à l’encontre de la Caisse régionale de Crédit Agricole Mutuelle de centre France à la suite d’une plainte concernant l’inscription d’un de ses clients au Fichier national des incidents (lire la suite) de remboursement des crédits aux particuliers (FICP) plus de seize ans après la survenance de l’incident de paiement. La Cnil a demandé à l’établissement bancaire que la personne concernée soit « défichée ». Au lieu de cela, il l’a fiché une seconde fois. La Cnil a constaté que ce dysfonctionnement n’était pas isolé et avait eu des conséquences sur plusieurs autres clients de l’établissement bancaire. Ce dernier n’ayant communiqué à la Cnil aucune mesure significative organisationnelle et technique de nature à ce que ces manquements ne se reproduisent pas à l’avenir, la Cnil a sanctionné l’établissement bancaire d’une amende de 20 000 euros au titre de l’article 45 de la loi du 6 janvier 1978 modifiée.
Délibération n°2006-245 du 23 novembre 2006
Transferts bancaires internationaux
La presse américaine a révélé l’existence d’un programme de surveillance du réseau Swift de transactions financières par les autorités américaines. Swift est une société qui offre à ses clients du secteur bancaire et financier un système de messagerie sécurisé et standardisé assorti de services financiers. L’essentiel des transferts bancaires internationaux transite par cette société. La Cnil cherche à déterminer si des transferts de données ont été opérés à partir de la France et dans quelle mesure les autorités américaines ont eu accès à des données concernant des personnes résidant en France. A l’issue de ces recherches, la Cnil décidera s’il y a lieu ou non de prendre des mesures pour sanctionner et faire cesser les infractions aux règles de protection des données.
Une autorisation unique relative au scoring
Après avoir concerté les organisations professionnelles ainsi que la Commission bancaire, la Cnil a adopté le 2 février 2006 une autorisation unique relative au traitement d’analyse des demandes de crédit des personnes physiques (score). Ces traitements sont susceptibles d’être discriminatoires c’est-à-dire d’exclure certaines personnes au bénéfice d’une prestation.
A cet égard, les traitements de score relèvent de la procédure de l’autorisation préalable. Cependant, afin d’alléger les formalités relatives à l’autorisation préalable, la Cnil a adopté le 2 février 2006 une autorisation unique relative aux « traitements d’aide à l’acceptation des demandes de crédit qui font intervenir des modèles de score ». Les établissements de crédit, qui s’engagent à respecter les termes de cette autorisation, sont dispensés de les décrire de façon complète. Ils peuvent déclarer en ligne sur le site de la Cnil qu’ils se conforment à l’autorisation unique n° AU-005. Cette autorisation prévoit que tout refus d’une demande de crédit devra être suivi d’une information du demandeur sur ses droits.
Elle fixe également une liste limitative des informations susceptibles d’être utilisées pour établir le score. Enfin, cette autorisation évoluera afin de prendre en compte les aménagements les plus usuels que sont susceptibles de subir les modèles de score d’octroi. Sous réserve de vérifier l’adéquation du traitement avec la norme d’autorisation n° AU-005, cette dernière aurait vocation à s’appliquer et les établissements de crédit pourront déclarer en ligne leur conformité à ladite norme d’autorisation.
Délibération n°2006-019 du 2 février 2006
La Cnil lutte contre le blanchiment de capitaux
La Cnil propose aux organismes financiers un cadre juridique auquel ils peuvent se référer pour déclarer certains de leurs traitements automatisés ou non. Les traitements mis en œuvre dans le cadre de la lutte contre le blanchiment de capitaux et le financement du terrorisme doivent être déclarés à la cellule ministérielle Tracfin. Ils peuvent conduire à l’exclusion de certaines personnes et sont soumis à autorisation de la Cnil. La Cnil a adopté une autorisation unique visant à facilité la tâche des organismes financiers. Ceux qui ont déclaré être conforme aux dispositions de la Cnil, pourront déclarer en ligne leur conformité à l’autorisation unique n° AU-003 en indiquant le nom des logiciels utilisés. Certains traitements restent soumis à une autorisation au cas par cas (comme par exemple : les listes noires des personnes présumées à risque).
Délibération n°2005-297 du 1er décembre 2005
La Cnil a réalisé un audit des principaux sites internet de banque en ligne
Au cours du premier semestre 2005, la Cnil a procédé à une série de contrôles dans le secteur de la banque en ligne (1). Ce contrôle a été effectué à partir de grilles d’audit soumises aux responsables de dix sites internet bancaires. Cette opération a permis d’évaluer la qualité de la confidentialité et de la sécurité des sites bancaires et de mettre en évidence leurs éventuelles faiblesses, pointées par la Cnil. Fort de ces constats, la Cnil établit une liste des 7 bonnes pratiques à adopter notamment :
- la vérification de l’orthographe de l’adresse du site,
- la prohibition de tout accès aux comptes à partir d’un cybercafé,
- l’interdiction formelle de cliquer sur un lien reçu par email (phishing).
Un tel audit représente une nouvelle forme de l’action de la Cnil, dans le cadre de sa mission de contrôle et d’information. Si la portée de cet audit est incertaine d’un point de vue strictement juridique, cette action démontre une volonté apparente de la Cnil de contrôler certains traitements, tout en limitant son intervention à un aspect plus pédagogique que coercitif. Bien que les résultats de cet audit soient anonymisés, cette démarche révèle une évolution dans l’action de la Cnil et son implication dans toutes ses missions.
Cela doit par conséquent alerter les responsables de traitement sur deux risques émergents :
- D’une part, dans le contexte actuel de renforcement des pouvoirs de la Cnil, de tels audits constituent très certainement un préalable à une phase de contrôles assortie de sanctions,
- D’autre part, ces audits donnent une importante publicité aux pratiques des responsables de traitement et à leurs éventuelles lacunes ; cette tendance de la Cnil à l’information du public est donc source de risques pour l’image d’entreprises dont les traitements ne seraient pas conformes à la loi.
Rapport d'audit de la Cnil
Le ratio « Mac Donough » de solvabilité de la clientèle bancaire
La Cnil a émis des recommandations concernant la conformité du ratio de solvabilité « Mac Donough » à la loi informatique et libertés modifiée et notamment ses conséquences sur la banque de détail. Le nouveau ratio de solvabilité de la clientèle bancaire a fait l’objet d’un accord sectoriel négocié au plan international dans le cadre des « accords Bâle II ») visant à mesurer de façon fine l'ensemble des risques auxquels les banques sont exposées (risque de crédit, risques opérationnels, etc.) au moyen de systèmes informatiques de surveillance et de notation de la clientèle plus sophistiqués. A cette occasion, elle a été amenée à rappeler les règles relatives aux formalités préalables à la création ou de la modification de systèmes de « scoring » de la clientèle.
Cnil, Note d'information du 3 mars 2005
