Image Image Image Image Image Image Image Image Image Image
Scroll to top

Haut

Rappel à l’ordre de la société BNP Paribas Personal Finance par la CNIL

Par décision du 28 avril 2014, la Commission Nationale Informatique et Libertés (CNIL) a mis en demeure la société BNP Paribas Personal Finance (la BNP) de procéder à la levée de l’inscription injustifiée d’une cliente au fichier national des incidents de remboursement des crédits aux particuliers (FICP).

La CNIL avait été saisie par la cliente d’une plainte semblant relever, à première vue, de l’application de la règlementation relative au fichier national des incidents de remboursement des crédits aux particuliers. La plaignante contestait, en effet, son inscription au FICP pour défaut de paiement de sommes dues en application d’un échéancier établi dans le cadre d’une procédure de surendettement.

Le fichage au FICP constituant un traitement de données à caractère personnel, la CNIL a apprécié la conformité de ce traitement au regard de la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (Loi Informatique et Libertés).

Aux termes de sa décision, la CNIL a considéré que la BNP avait commis plusieurs manquements aux dispositions de la Loi Informatique et Libertés, laquelle impose notamment au responsable de traitement de collecter et de traiter les données à caractère personnel de manière loyale et licite (art.6 I), de rectifier, compléter, mettre à jour, verrouiller ou effacer les données à caractère personnel d’une personne, à sa demande, lorsque ces données sont inexactes, équivoques ou incomplètes (art.40).

En l’espèce, la CNIL a en effet estimé que :

  • l’inscription au FICP, en violation des délais qui auraient permis à la plaignante de régulariser sa situation, constituait un manquement aux principes de loyauté et de licéité de la collecte et du traitement de données à caractère personnel ;
  • l’absence de levée d’inscription au FICP à la suite de la demande de la plaignante devait être considérée comme un manquement à l’obligation de respecter la demande de suppression des données ;
  • le fait, pour la banque, de ne pas avoir levé l’inscription comme elle le certifiait dans un courrier adressé à la CNIL était constitutif d’un manquement à l’obligation de coopération avec les services de la CNIL.

La BNP a dès lors été mise en demeure par la CNIL de lever l’inscription au FICP dans un délai de cinq jours à compter de la notification de la présente décision. Ce qu’elle a fait, se conformant ainsi à la loi Informatique et Libertés. A défaut d’une mise en conformité, la CNIL aurait pu lui infliger une sanction pécuniaire, conformément à l’article 45 de cette loi.

Cette décision illustre la préoccupation croissante des particuliers concernant la protection de leurs données personnelles, déjà relevée dans le rapport d’activité 2013 de la CNIL qui y souligne avoir enregistré 5640 plaintes en 2013. Dans son rapport, la CNIL précise d’ailleurs que les secteurs dans lesquels les particuliers sont spécialement attentifs aux traitements de leurs données sont ceux de l’Internet et des télécommunications, du commerce, de la gestion des ressources humaines et de la banque. Cette décision permet également de rappeler que l’utilisation non conforme de données personnelles à une règlementation spécifique est susceptible d’être sanctionnée en vertu de la loi Informatique et Libertés.

 

Auteurs

Anne-Laure Villedieu, avocat associée en de la propriété industrielle, droit de l’informatique, des communications électroniques et protection des données personnelles.

Prudence Cadio, avocat en droit des contrats.

 

Analyse juridique parue dans le magazine Option Finance le 2 juin 2014