Les listes noires en questions
RSS CNIL - , 25/06/2012
Qu'est qu'une liste noire ?
Une liste noire ou un traitement d'exclusion est un fichier recensant des informations sur des personnes avec lesquelles un responsable de traitement ne souhaite plus entrer en relation ou auxquelles il entend appliquer une surveillance particulière en raison de la survenance antérieure d'un événement comme un impayé ou une fraude. Cette liste noire peut être interne à un organisme ou mutualisée entre plusieurs entités. Dans ce dernier cas, elle est soumise à des règles plus protectrices.
Une liste noire pour quelles finalités ?
Les listes noires visent à lutter contre les impayés ou contre la fraude (fraude à l'identité, fraude à l'octroi de crédit, impayés aux péages autoroutiers, etc.).
Quelles précautions prendre afin d'identifier les personnes ?
Le responsable de traitement doit prendre en compte le risque d'homonymie. Ainsi, les informations collectées doivent permettre une identification certaine de la personne concernée qui sera fichée afin que des tiers ne puissent être confondus avec elle. En cas d'usurpation d'identité, un signe distinctif devra figurer dans le fichier. La Commission recommande donc la collecte des nom, prénoms, date et lieu de naissance des personnes.
Quelles données collectées ?
Les données collectées doivent être adéquates, pertinentes et non excessives par rapport à la finalité du traitement. Cela signifie qu'elles doivent inclure l'événement justifiant l'inscription de la personne sur la liste (par exemple l'existence d'un impayé). Lorsque ce traitement vise à recenser des informations sur des impayés non régularisés, la créance doit être certaine, liquide et exigible.
Un seuil d'inscription peut être défini notamment en cas de liste noire mutualisée à plusieurs organismes. C'est notamment le cas du fichier Préventel mis en œuvre par le Groupement d'Intérêt Economique télécommunications qui regroupe des informations relatives aux impayés et anomalies en matière de téléphonie mobile. Les impayés sont déclarés à compter de 30 euros. Dans tous les cas, l'incident doit répondre à des critères objectifs, qui doivent être préétablis. Seul des agents ayant compétence pour vérifier le caractère certain du manquement imputé à la personne concernée et habilités à cet effet par l'organisme mettant en place la liste noire peuvent procéder à l'inscription des personnes concernées.
Peut-on mutualiser ces informations entre différents organismes ?
Il est possible de communiquer ces informations entre des entités juridiques distinctes. Toutefois, afin d'éviter le risque d'exclusion résultant d'une centralisation d'impayés provenant de tous les secteurs d'activités confondus et de garantir la proportionnalité du traitement, la CNIL retient un principe de sectorisation des listes noires mutualisées. Elle préconise que seuls les professionnels du secteur considéré aient accès aux informations. Il convient donc de mettre en œuvre des garanties techniques (contrôle d'accès, gestion des habilitations, etc.) ou contractuelles pour assurer le respect de la sectorisation. Cette analyse a été confirmée par le Conseil d'Etat dans une décision du 28 juillet 2004. Il a en effet considéré que la décision de la Commission visant à restreindre la diffusion d'informations relatives à des impayés locatifs à des professionnels de l'immobilier n'était pas entachée d'erreur d'appréciation.
Qui peut être destinataire des informations ?
Les personnes habilitées travaillant pour le compte du responsable de traitement.
Combien de temps les données peuvent-elles être conservées ?
Les incidents (comme les impayés) doivent être supprimés dès leur régularisation. A défaut de régularisation, les données ne peuvent être conservées que pour une durée limitée afin de garantir un droit à l'oubli. Celle-ci varie de 2 à 5 ans en fonction de la finalité du traitement, de l'identité du responsable de traitement, du caractère mutualisé ou non des informations, etc.
Comment informer les personnes concernées ?
En cas de mise en place d'une liste noire, les personnes concernées doivent en être informées conformément aux dispositions de l'article 32 de la loi du 6 janvier 1978 modifiée. Cette information doit se faire au moment de l'entrée en relation avec l'organisme susceptible de procéder à l'inscription. Elles doivent également être informées individuellement par courrier lorsque survient l'incident entrainant leur inscription sur la liste. Ce courrier doit notamment préciser les conséquences de cette inscription et les modalités d'exercice des droits des droits d'accès et de rectification, c'est-à-dire de radiation (procédure, service ou personne à contacter, adresse, etc.). La CNIL considère que seule cette information individuelle peut permettre à la personne concernée d'exercer ses droits notamment en cas d'usurpation d'identité. Indépendamment de la survenance d'un incident, il faut préciser, dès l'entrée en relation, l'existence des droits d'accès, de rectification et d'opposition pour motifs légitimes à faire valoir auprès du responsable du fichier.
En cas de liste noire mutualisée à plusieurs organismes, l'information des personnes doit être renforcée. La personne doit être informée individuellement au moment de la survenance de l'incident qu'elle est susceptible d'être inscrite sur une liste d'exclusion. Elle doit aussi être informée au moment de l'inscription effective sur la liste d'exclusion. Ainsi, l'inscription effective ne saurait être concomitante à la réalisation de l'incident. Un délai raisonnable de plusieurs jours doit être prévu afin de permettre à la personne concernée de faire valoir ses observations. Enfin, la Commission recommande la mise en place d'une procédure suspensive de l'inscription en cas de contestation par la personne concernée. Celle-ci peut par exemple prévoir un arrêt de la diffusion de l'information pendant le temps nécessaire au traitement de la contestation.
Comment contester une inscription ?
Les personnes concernées peuvent contester leur inscription auprès du responsable de traitement et exercer leur droit d'opposition pour motifs légitimes. L'appréciation du caractère légitime du motif invoqué par la personne concernée incombe au responsable de traitement et, le cas échéant, aux juridictions compétentes.
Est-il possible d'accéder à ces informations ?
Oui, conformément aux dispositions de l'article 39 de la loi du 6 janvier 1978 modifiée, toute personne justifiant de son identité peut demander à un responsable de traitement s'il dispose de données la concernant, et obtenir le cas échéant, la communication sous une forme accessible de ces données. En matière de liste noire, cette communication doit s'accompagner d'une information quant aux modalités de régularisation de l'impayé justifiant l'inscription sur la liste. Il est également possible de faire rectifier ces informations par exemple en cas d'homonymie ou en cas de régularisation de la créance non prise en compte.
Quelles mesures de sécurité appliquer ?
Les données doivent être mises à jour en temps réel ; le responsable de traitement donc adopter des solutions techniques permettant de procéder à cette mise à jour et à la diffusion rapide de ces informations.
S'agissant d'un traitement de données ayant des incidences dommageables pour les personnes concernées, il convient d'assurer une gestion rigoureuse des habilitations et des contrôles d'accès, de définir une politique de journalisation pour se prémunir contre les risques d'intrusion et de détournement de finalité, le cas échéant, de déterminer des algorithmes de chiffrement avancés.
Quelles formalités préalables à accomplir auprès de la CNIL ?
Dès lors que les listes noires constituées sous la forme de traitements automatisés sont susceptibles d'exclure, même temporairement, une personne du bénéfice d'un droit ou d'un contrat ; elles sont soumises à l'autorisation préalable de la Commission en application des dispositions de l'article 25, I, 4° de la loi du 6 janvier 1978 modifiée.