Fichiers centraux de crédit ou fichiers positifs
En 2007, la CNIL s’était prononcée sur la validité d’un projet de base de données centralisée ayant pour finalité de permettre à des établissements de crédit de partager des informations relatives à la situation financière de leurs clients, notamment les crédits qu’ils ont contractés.
La CNIL n’avait pas autorisé la constitution d’un tel fichier aux motifs que :
les caractéristiques du traitement n’étaient pas proportionnées aux finalités annoncées,
le traitement était incompatible avec le respect du secret bancaire puisqu’il prévoyait la transmission d’informations couvertes par celui-ci au responsable du traitement dont l’activité n’était pas soumise au secret bancaire,
les clients des établissements de crédit intéressés étaient invités à signer une clause de levée du secret bancaire sans toutefois être clairement informés sur les conséquences de leur signature, et plus précisément sur les finalités des échanges d’informations, les utilisations qui pouvaient en être faites et les établissement susceptibles d’en prendre connaissance.
Dans un communiqué en date du 13 avril 2007, la CNIL a rappelé que seul le Parlement était compétent pour autoriser ou non la constitution de fichiers positifs dans le secteur du crédit et par conséquent pour juger de l’utilité sociale d’une telle base de données. De plus il existe déjà, depuis 1989, un fichier national des incidents de paiement des crédits aux particuliers, géré par la Banque de France.
La CNIL s’était déjà intéressée en 2005 à la question des fichiers centraux de crédit et affichait d’ores et déjà, dans son rapport sur les « centrales positives », une position défavorable compte tenu des risques de détournement de finalité et d’atteintes à la vie privée. Toutefois, lors de sa séance du 1er décembre 2006, elle avait admis certains partages d’informations limités au sein de la communauté bancaire.
En outre, la CNIL a rappelé le 23 février 2006 lors de quatre refus d’autorisation, que les organismes de recouvrement de créances ou les établissements de crédit ne pouvaient utiliser le NIR dans le cadre de la gestion de leurs actions commerciales. Elle préconise alors le recours à un identifiant spécifique. En revanche, lorsque ces mêmes organismes interviennent dans le secteur de la protection sociale, l’usage du NIR leur est autorisé.
Cette interdiction est justifiée par le fait que le NIR n’est pas «un numéro comme les autres», tel que l’indiquait la Commission dans un constat du 20 février 2007. Il s’agit en effet d’un identifiant national unique, signifiant, certifié par l’INSEE et donc largement connu, qui connaît des risques d’interconnexion généralisée ou d’utilisation détournée de fichiers.
Lien :
