Listes noires ou comment contourner la loi

Nous connaissons tous (ou presque) les fichiers qui recensent les incidents de paiement sur les crédits (FICP) ou les incidents de paiement sur les chèques (FCC). Nous croyons tous que le législateur, dans sa bienveillance, a prévu, qu’une fois l’incident régularisé, nos coordonnées seront effacées de ces fichiers. Et nous avons raison… Sauf que ce n’est pas si simple et que certaines « listes noires » semblent écrites à l’encre indélébile.

Publication initiale le 12/07/2012

Vous venez d’acquérir la certitude que vous n’êtes plus inscrit dans l’un de ces deux fichiers. Quelle chance ! Vous allez donc pouvoir demander à votre banque qu’elle vous confie un chéquier et une carte bancaire et, par la même occasion, vous ferez une demande de prêt afin d’acquérir un véhicule récent.

Si on vous refuse le chéquier et/ou la CB, on vous dira que vous n’êtes plus inscrit au FCC mais qu’il n’existe pas de droit à obtenir ces moyens de paiement.

Si on vous refuse le prêt, on vous dira que vous n’êtes plus inscrit au FICP mais qu’il n’existe pas de droit à crédit et que, même avec des revenus suffisants et aucune dette, il est impossible de répondre favorablement à votre demande.

Si vous êtes solvable, il est possible que vos coordonnées figurent dans une liste noire… mais qui aura le courage de vous le dire ?

Ce n’est un secret pour personne : il existe de nombreux fichiers (qui n’ont pas été créés en vertu d’une disposition législative) de personnes considérées comme « à risque ». Chaque domaine a les siens (banque, téléphonie, fournisseurs d’énergie, fournisseurs d’accès à internet, assureurs, loueurs de véhicules,…).

Ces traitements ne sont pas toujours assurés par un bataillon d’informaticiens ; certains fichiers sont tout simplement créés sous Excel.

Comment savoir si nos coordonnées sont enregistrées dans ces fichiers ? Comment obtenir la liste des données nous concernant et gérées par ces traitements ?

La CNIL contrôle la mise en œuvre de ces traitements, rédige des recommandations et parfois même prononce des avertissements publics.

La CNIL rappelle en effet

— Que les listes noires (ou traitements d’exclusion) peuvent être internes à un organisme ou mutualisés entre plusieurs entités à condition que toutes les entités soient du même secteur (pas d’accès pour les banques au fichier des impayés de la téléphonie, pas d’accès pour les FAI au fichier des impayés locatifs,…). L’objectif est de ne pas générer de « mise au pilori électronique ».

— Que ceux qui ont accès à ces informations sont « les personnes habilitées travaillant pour le compte du responsable de traitement ». Du fait de la concentration que l’on constate dans certains secteurs (et dans celui du crédit notamment), il y a de quoi s’inquiéter quant au nombre de personnes pouvant potentiellement avoir accès à ce fichier. Si on imagine le cas d’un grand groupe bancaire ayant plusieurs filiales dédiées à des activités spécifiques (crédit à la consommation, crédit-bail, affacturage,…). Si on sait que ce groupe a élaboré des partenariats avec des confrères afin de créer des plates-formes communes pour l’acceptation des dossiers, la gestion ou le recouvrement. Si on sait aussi qu’il a recours à la sous-traitance pour certaines activités… ça en fait du monde susceptible de savoir que vous avez eu des impayés (certes régularisés) ou que votre petite entreprise a fait l’objet d’un redressement judiciaire il y a 5 ans.

Nous connaissons tous des personnes qui sont arrivées au terme de leur procédure de rétablissement personnel ou qui ont fait l’objet d’un redressement judiciaire depuis plusieurs années mais qui ne peuvent obtenir un crédit alors même qu’elles présentent toutes les garanties de solvabilité. Quand les coordonnées de la personne sont radiées du FICP ou du FIBEN, une liste noire prend souvent le relais et conserve trace de l’incident.

— Que les gestionnaires de ces traitements doivent prendre toutes les mesures nécessaires pour tenir compte du risque d’homonymie. Il s’agit d’enregistrer suffisamment de données (département et ville de naissance notamment) pour éviter qu’une personne soit confondue avec une autre. La Centrale d’Information sur les Impayés (aujourd’hui disparue) l’avait semble-t-il oublié (voir Cas. Crim. 19/12/1995 – n° 94-81431). Il s’agit également d’insérer un indicateur quand la preuve a été apportée que cette personne a fait l’objet d’une usurpation d’identité.

— Que les incidents recensés doivent répondre à des critères objectifs (montant, durée de l’incident,…) et doivent être effacés dès régularisation. Afin de garantir un droit à l’oubli, ce délai de conservation peut varier de 2 à 5 ans.

— Que les listes noires ne sont pas illégales mais ne peuvent être secrètes. Les personnes susceptibles d’être inscrites sur ces listes doivent en être informées dès l’entrée en relation avec l’organisme qui procède aux inscriptions (l’article 32 de la loi du 6 janvier 1978 modifiée). Une information complémentaire devant être fournie lors de l’enregistrement de l’incident qui va générer une inscription en laissant un délai raisonnable de régularisation. La CNIL recommande aussi que soit prévue une suspension de l’inscription en cas de contestation.

— Que l’inscription doit pouvoir être contestée auprès du responsable du traitement et devant les juridictions compétentes.

— Que toute personne justifiant de son identité peut obtenir du responsable du traitement la liste des données la concernant (l’article 39 de la loi du 6 janvier 1978 modifiée).

— Que les informations de la liste noire doivent être mises à jour en temps réel.

— Que ces traitements sont soumis à l’autorisation préalable de la CNIL (l’article 25, I, 4° de la loi du 6 janvier 1978 modifiée).

Dans les faits, on dira qu’il existe 4 types de fichiers :

— Les fichiers dont l’existence et les modalités de fonctionnement sont prévus par la législation (FICP, FCC, FICOBA, FNCI, FIBEN, AGIRA pour l’assurance automobile,…).

— Les fichiers régulièrement déclarés à la CNIL et dont les modalités de fonctionnement sont publiées (PREVENTEL pour la téléphonie, ,…et d’autres).

 — Les fichiers régulièrement déclarés à la CNIL et dont les modalités de fonctionnement ne font pas (à tort) l’objet d’une communication destinée au grand public. Il appartient donc au consommateur d’interroger l’organisme gestionnaire du fichier dans le cas où  toutes les informations ne figureraient pas sur les documents de l’entreprise ou sur son site internet.

— Les fichiers « sauvages » (qui n’ont pas fait l’objet d’une déclaration préalable à la CNIL). Exemple : la liste noire des mauvais payeurs dans les enchères publiques.

 

Il est interdit d’élaborer des fichiers recensant des infractions pénales (constituées ou supposées) sauf si ces traitements de données à caractère personnel sont mis en œuvre pour le compte de l’État. En conséquence, il n’est pas possible de créer une « liste noire de fraudeurs » puisque cela supposerait que le gestionnaire du fichier ait lui-même qualifié pénalement les agissements des personnes inscrites dans le fichier.

Rappelons aussi, qu’en vertu de l’article 226-16 du code pénal , « Le fait, y compris par négligence, de procéder ou de faire procéder à des traitements de données à caractère personnel sans qu’aient été respectées les formalités préalables à leur mise en œuvre prévues par la loi est puni de cinq ans d’emprisonnement et de 300 000 euros d’amende. »

En pratique 

— Il ne faut pas hésiter à demander à l’organisme avec lequel on est en relation de communiquer la liste des données qu’il détient sur nous. C’est un droit reconnu par l’article 39 de la loi du 6 janvier 1978. Le nom du service responsable du traitement et l’adresse à laquelle il est joignable sont obligatoirement mentionnés sur tous les documents contractuels de l’entreprise.

— En cas de non réponse (ou de réponse insatisfaisante), il faut saisir la CNIL. La Commission ne peut pas contrôler systématiquement tous les fichiers et tous les traitements et il n’est pas rare qu’elle diligente une enquête à la suite de plaintes déposées par des consommateurs / emprunteurs / salariés / adhérents / affiliés /…