Délibération n°2006-245 du 23 novembre 2006 prononçant une sanction pécuniaire à l’encontre de la Caisse régionale de crédit agricole mutuel de centre France
télécharger 25.8 Kb.
|
 Délibération n°2006-245 du 23 novembre 2006 prononçant une sanction pécuniaire à l’encontre de la Caisse régionale de crédit agricole mutuel de centre France 23 Novembre 2006 La Commission nationale de l’informatique et des libertés, réunie en formation restreinte, sous la présidence de M. Alex TÜRK, président ; Etant aussi présents M. Guy ROSIER, vice-président délégué, M. François GIQUEL, vice-président, M. Hubert BOUCHET, membre, Mlle Anne DEBET, membre et M. Bernard PEYRAT, membre ; Vu la Convention n° 108 du Conseil de l’Europe du 28 janvier 1981 pour la protection des personnes à l’égard du traitement automatisé des données à caractère personne ; Vu la loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel et modifiant la loi n° 78-17 du 6 janvier 1978 ; Vu le décret n° 2005-1309 du 20 octobre 2005 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi n° 2004-801 du 6 août 2004 ; Vu la délibération n°2006-147 du 23 mai 2006 fixant le règlement intérieur de la Commission nationale de l’informatique et des libertés ; Vu la délibération n° 2006-142 adoptée par la CNIL le 10 mai 2006 ; Vu la saisine n° 06001636 ; Vu le rapport de M. Philippe NOGRIX, commissaire, notifié à la Caisse régionale de crédit agricole mutuel de centre France le 20 octobre 2006 et les observations en réponse reçues le 20 novembre 2006. Après avoir entendu, lors de la réunion du 23 novembre 2006, M. Philippe NOGRIX, commissaire, en son rapport et Mme Pascale COMPAGNIE, commissaire du Gouvernement, en ses observations. Après avoir entendu, lors de la réunion du 23 novembre 2006, les observations orales de M. X, responsable conformité du Crédit Agricole Centre France, celui-ci ayant pris la parole en dernier. Constate les faits suivants : Par courrier du 22 janvier 2006, la CNIL a été saisie d’une plainte concernant une inscription au FICP effectuée par le Crédit Agricole Centre France depuis le 31 décembre 2004. La requérante a, en particulier, communiqué à la CNIL une attestation émanant de cet établissement bancaire, datée du 16 octobre 2003, indiquant que la créance dont elle était redevable était soldée. Interrogé par la CNIL, le Crédit Agricole Centre France a, par courrier du 2 mars 2006, indiqué que l’incident de paiement remontait au 1er octobre 1988 et que la dette de la requérante, réaménagée dans le cadre d’un plan de surendettement accordé par la Banque de France le 18 août 1998, avait été scrupuleusement remboursée. Le reliquat de la créance ayant été soldé par pertes le 13 février 2006, le Crédit Agricole Centre France a également indiqué dans son courrier qu’il allait être procédé à la mainlevée automatique de l’inscription de la requérante au FICP dans le délai d’un mois. En réponse et par courrier du 19 avril 2006, la CNIL a rappelé au Crédit Agricole Centre France qu’un dossier contentieux de 1988 ne saurait entraîner l’inscription du débiteur au FICP le 31 décembre 2004, soit plus de 16 ans après les incidents de paiement. Le 27 avril 2006, l’ex-époux de la requérante a également saisi la CNIL pour demander la mainlevée de son inscription au FICP, effectuée dans les mêmes conditions par le Crédit Agricole Centre France. Les 27 avril et 2 mai 2006, la Banque de France, interrogée par les services de la CNIL pour vérifier que la mainlevée des requérants avait été effectuée, a indiqué que non seulement leurs inscriptions n’avaient pas été levées, mais qu’une deuxième inscription identique apparaissait, effectuée par le même établissement bancaire pour le même incident de paiement caractérisé, pour la même durée. Ces faits constituent un manquement aux dispositions de la loi du 6 janvier 1978 modifiée le 6 août 2004 et du règlement du Comité de la réglementation bancaire n°90-05 du 11 avril 1990 modifié relatif au FICP. Il ressort tout d’abord de l’article 4 du règlement du Comité de la réglementation bancaire n° 90-05 du 11 avril 1990 modifié relatif au FICP que « Dès qu’un incident de paiement caractérisé est constaté, l’établissement de crédit informe le débiteur défaillant que l’incident sera déclaré à la Banque de France à l’issue d’un délai d’un mois à compter de la date d’envoi de cette information. Au terme de ce délai, sauf si les sommes dues ont été réglées ou si une solution amiable a été trouvée, le débiteur défaillant est informé par l’établissement de crédit de la teneur des informations que ce dernier transmet à la Banque de France ». Ainsi, le signalement doit être effectué dans les meilleurs délais. Le Crédit Agricole Centre France ayant procédé à l’inscription des requérants au FICP en 2004 pour un incident intervenu en 1988, soit seize ans après l’incident, il apparaît que le Crédit Agricole Centre France n’a pas respecté les dispositions de l’article 6-3° de la loi du 6 janvier 1978 modifiée le 6 août 2004 qui dispose qu’un traitement ne peut porter que sur des données à caractère personnel qui sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs. Il ressort par ailleurs des dispositions de l’article 6 du règlement du Comité de la réglementation bancaire n° 90-05 du 11 avril 1990 modifié relatif au FICP que « lorsqu’un incident caractérisé ayant affecté le remboursement d’un crédit donné est enregistré dans le fichier, il n’est procédé à aucune nouvelle déclaration au titre du même crédit […]». Il ressort également des dispositions de l’article 6-4° de la loi du 6 janvier 1978 modifiée que les données doivent être « exactes, complètes et, si nécessaire, mises à jour ; les mesures appropriées doivent être prises pour que les données inexactes ou incomplètes au regard des finalités pour lesquelles elles sont collectées ou traitées soient effacées ou rectifiées ». Ces faits mettent en cause les conditions dans lesquelles la sécurité des données sur les clients semble être assurée par la Caisse de Crédit Agricole Centre France alors que l’article 34 de la loi du 6 janvier 1978 modifiée dispose que le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés (l’ensemble des établissements de crédit ayant communication des personnes physiques inscrites au FICP) y aient accès. En conséquence, la Commission a, par délibération adoptée le 10 mai 2006, mis en demeure le Crédit Agricole Centre France, sous dix jours, de : procéder à la radiation des données concernant les requérants qui figuraient au Fichier des incidents de remboursement des crédits aux particuliers (FICP) géré par la Banque de France et d’en justifier ; justifier la raison pour laquelle les requérants ont fait l’objet d’une seconde inscription au FICP alors même qu’un engagement avait été pris de procéder à la mainlevée de leur inscription au FICP ; apporter des garanties permettant à la CNIL de considérer que les manquements qui ont été constatés ne pourront plus se reproduire à l’avenir. En réponse à la mise en demeure, le Crédit Agricole a indiqué par courrier du 8 juin 2006 qu’il a été procédé à la : « levée du fichage de ces clients, et nous serons en mesure de vous fournir la preuve matérielle dans les tous prochains jours. Un dysfonctionnement technique explique le maintien à tort de ce fichage FICP ». Les services de la CNIL n’ayant pas été destinataires, comme cela était pourtant indiqué par le Crédit Agricole Centre France, de la preuve matérielle du défichage des requérants, ceux-ci ont interrogé la Banque de France qui a indiqué, par courrier du 15 septembre 2006, qu’ils n’étaient plus inscrits au FICP. S’agissant de la mise en demeure de procéder à la radiation des données concernant les requérants qui figuraient au Fichier des incidents de remboursement des crédits aux particuliers (FICP) géré par la Banque de France et d’en justifier, la Commission considère que, bien qu’il aurait du en justifier directement auprès de la CNIL, le Crédit Agricole Centre France a bien procédé à la radiation des données concernant les requérants au FICP. La mise en demeure a donc été respectée sur ce premier point. S’agissant ensuite de la mise en demeure de justifier la raison pour laquelle les requérants ont fait l’objet d’une seconde inscription au FICP alors même qu’un engagement avait été pris de procéder à la mainlevée de leur inscription au FICP, la Commission relève que le Crédit Agricole Centre France s’est limité, dans sa réponse à la mise en demeure, à indiquer qu’un : « dysfonctionnement technique explique le maintien à tort de ce fichage FICP ». Cette réponse, pour le moins lapidaire, ne permet pas à la Commission de comprendre pour quelles raisons exactes les requérants ont été inscrits à tort, puis fichés une seconde fois, au FICP alors même que la Commission avait demandé leur radiation. Par courrier du 20 novembre 2006 adressé suite à la proposition de sanction, le Crédit Agricole a précisé que le dysfonctionnement technique était lié à une fusion informatique de novembre 2004 de l’ex-caisse du Cantal avec le système d’information de la caisse de Centre-France. Au surplus, le Crédit Agricole a évoqué une erreur humaine ayant conduit à l’oubli de la mainlevée du fichage des requérants. La Commission observe que ces précisions ne répondent en aucune manière à la question posée dans la mise en demeure relative à la raison pour laquelle les requérants ont fait l’objet, en raison d’un autre dysfonctionnement survenu en 2006, d’une seconde inscription au FICP alors même qu’un engagement avait été pris de procéder à la mainlevée de leur inscription au FICP. La Commission relève en outre, au regard de ce qui a été exposé oralement par le représentant du Crédit Agricole, que le dysfonctionnement évoqué n’était pas isolé et a eu des conséquences sur plusieurs centaines d’autres clients. Il ressort pourtant des dispositions de l’article 21 alinéa 2 de la loi du 6 janvier 1978 modifiée le 6 août 2004 que « les ministres, autorités publiques, dirigeants d’entreprises publiques ou privées, responsables de groupements divers et plus généralement les détenteurs ou utilisateurs de traitements ou de fichiers de données à caractère personnel ne peuvent s’opposer à l’action de la commission ou de ses membres et doivent au contraire prendre toutes mesures utiles afin de faciliter sa tâche ». La Commission considère par conséquent que le Crédit Agricole Centre France ne s’est pas conformé, sur ce second point, à la mise en demeure de la Commission. S’agissant enfin de la mise en demeure d’apporter des garanties permettant à la CNIL de considérer que les manquements qui ont été constatés ne pourront plus se reproduire à l’avenir, le Crédit Agricole Centre France indique dans son courrier du 8 juin 2006 que : « le compte de ces clients est en cours de clôture, et en conséquence, nous concernant, il n’y aura donc plus de risque de fichage au FICP ». La Commission considère que, au delà du dossier des requérants et compte-tenu de la gravité des manquements constatés, il appartenait au Crédit Agricole Centre France de présenter à la Commission des garanties, de nature organisationnelle et technique, lui permettant de considérer que les manquements ne se reproduiront pas à l’avenir concernant d’autres clients. Telle était bien la demande formulée par la Commission dans sa mise en demeure du 10 mai 2006. Dans son courrier du 20 novembre 2006, le Crédit Agricole a ajouté que : « le service concerné a (…) mis à jour les procédures internes du traitement des dossiers de surendettement en supprimant toute référence, dans le cas d'un plan de surendettement, à une éventuelle perte comptable, ce qui permettra de réaliser automatiquement la mainlevée de l’inscription au FICP ». La Commission considère que, dans la mesure où aucune information précise n’a été communiquée sur la nature du dysfonctionnement survenu en 2006, le Crédit Agricole n’a pas apporté des garanties suffisantes, par exemple concernant les mesures de sécurité utilisées en cas de migration informatique, de politique d’audit appliquée aux processus d’inscription ou de mainlevée au FICP ou bien encore concernant la formation des personnels. La Commission considère en outre que le Crédit Agricole Centre France n’a manifestement pas pris la mesure de la gravité des manquements constatés ni des conséquences qui peuvent en résulter pour les personnes concernées. Il considère par conséquent que le Crédit Agricole Centre France ne s’est donc pas conformé à la mise en demeure de la Commission sur ce dernier point. Il ressort de l’ensemble de ce qui précède que la Caisse régionale de crédit agricole mutuel de centre France : - n’a pas justifié la raison pour laquelle les requérants ont fait l’objet d’une seconde inscription au FICP ; - n’a pas apporté de garanties suffisantes permettant à la CNIL de considérer que les manquements constatés ne pourront plus se reproduire à l’avenir. En conséquence, la Commission décide de faire application des dispositions des articles 45 et suivants de la loi du 6 janvier 1978 modifiée le 6 août 2004 et de prononcer à l’encontre de la Caisse régionale de crédit agricole mutuel de centre France) sise 3 avenue de la Libération à Clermont-Ferrand (63), compte tenu de la gravité des manquements commis, une sanction pécuniaire de 20.000 euros. La présente décision sera rendue publique sur le site internet de la CNIL et communiquée à la Commission bancaire. Le président, Alex Türk Page |
similaire:
 | «Fédération Agricole d’Alsace et de Lorraine» aujourd’hui «Fédération du Crédit Mutuel Centre Est Europe» | | «poste par poste»(1), et l’assuré social peut exercer ses droits contre le responsable par préférence à la caisse subrogée(2) |
| «La Fondation du Crédit Agricole-Pays de France fête ses 35 ans», à compter du lundi 16 juin 2014 jusqu’au vendredi 19 septembre... | | |
| | ||
| | ||
| |