Délibération nº 2006-235 du 9 novembre 2006 portant autorisation unique de mise en oeuvre par les organismes de location de véhicules de traitements automatisés de données à caractère personnel ayant pour finalité la gestion de fichiers de personnes à risques (décision d'autorisation unique nº AU-11).
La Commission nationale de l'informatique et des libertés,
Vu la convention nº 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et à la libre circulation de ces données ;
Vu la loi nº 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi nº 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel, notamment son article 25-II ;
Vu le décret nº 2005-1309 du 20 octobre 2005 pris pour l'application de la loi nº 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi nº 2004-801 du 6 août 2004;
Vu la délibération nº 2003-012 du 11 mars 2003 de la CNIL portant recommandation relative à la gestion de fichiers de personnes à risques par les loueurs de véhicules ;
Après avoir entendu M. Guy Rosier, vice-président, en son rapport et Mme Pascale Compagnie, commissaire du Gouvernement, en ses observations,
Formule les observations suivantes :
Les organismes de location de véhicules mettent en oeuvre des traitements de données à caractère personnel ayant pour objet la prévention des risques liés à leur activité : lorsqu'ils sont victimes de préjudices correspondant à des faits dont la liste est préétablie, ils peuvent, à partir des données à caractère personnel des clients responsables, décider de ne plus leur louer de véhicules.
Saisie de plaintes par plusieurs personnes qui se voyaient refuser la location d'un véhicule, la commission, après avoir procédé à des contrôles auprès des principales sociétés concernées et de la branche loueurs du Conseil national des professions de l'automobile (CNPA), a adopté et publié la délibération susvisée du 11 mars 2003 portant recommandation sur la gestion des fichiers de personnes à risques par les loueurs de véhicules.
Depuis la modification intervenue en 2004 de la loi du 6 janvier 1978, il y a lieu de faire application du nouvel article 25 (4°) de la loi qui soumet à autorisation les traitements automatisés susceptibles, du fait de leur nature, de leur portée ou de leurs finalités, d'exclure des personnes du bénéfice d'un droit, d'une prestation ou d'un contrat en l'absence de toute disposition législative ou réglementaire. En conséquence, la commission constate que tout traitement de gestion de personnes à risques mis en oeuvre par les loueurs de véhicules – ou toute modification substantielle d'un tel traitement – est soumis à autorisation préalable.
Elle considère qu'en vertu de l'article 25-II de la loi du 6 janvier 1978 modifiée, une décision unique d'autorisation est susceptible d'être appliquée aux traitements de l'espèce répondant aux mêmes finalités et portant sur des catégories de données et de destinataires identiques.
Le responsable de chaque traitement se conformant à cette décision unique adresse à la commission un engagement de conformité de celui-ci aux caractéristiques de la présente autorisation.
La commission décide que les responsables de traitement qui lui adressent une déclaration comportant un engagement de conformité pour les traitements de données à caractère personnel répondant aux conditions fixées par la présente décision unique sont autorisés à les mettre en oeuvre.
Article 1. Finalité et caractéristiques du traitement.
Seuls peuvent faire l'objet d'un engagement de conformité en référence à la présente décision unique les traitements mis en oeuvre par les entreprises de location de véhicules ayant pour finalité la gestion d'un fichier des personnes susceptibles de représenter un risque contractuel ayant pour conséquence le refus de location aux personnes concernées.
Article 2. Données à caractère personnel traitées.
Les seules données à caractère personnel pouvant être traitées dans les fichiers de gestion interne au titre de la présente décision unique d'autorisation sont :
a) La dénomination de l'entreprise et de l'agence ayant loué le véhicule ;
b) Le nom, le nom d'usage et le(s) prénom(s) du client et/ou du conducteur déclaré ;
c) La date et le lieu de naissance de la personne concernée ;
d) L'identifiant client ;
e) L'adresse du client ;
f) Le numéro de téléphone indiqué au contrat ;
g) Le numéro, la date, le lieu de délivrance du permis de conduire du client et/ou du conducteur déclaré ;
h) Le numéro d'immatriculation, la marque, le type et le modèle du véhicule concerné ;
i) Le numéro, la date et l'heure du contrat de location du véhicule.
Seules ces données associées aux actes ou faits entrant dans l'une des catégories suivantes peuvent faire l'objet d'un enregistrement dans les fichiers de gestion interne :
1. Incident de paiement ayant donné lieu à contentieux ;
2. Accidents ou dommages répétés imputables au conducteur ou à la personne inscrite au contrat ;
3. Accidents ou dommages causés volontairement ;
4. Utilisation d'un véhicule sans respecter les conditions générales du contrat de location.
Seuls les employés ayant compétence pour vérifier le caractère certain du préjudice subi, et qui sont individuellement désignés et spécifiquement formés à cet effet, peuvent procéder à une inscription dans le fichier des personnes à risques. Le responsable du traitement s'engage à disposer des moyens suffisants pour permettre les vérifications nécessaires.
Des zones bloc-notes peuvent être associées aux seuls actes et faits énumérés ci-dessus : les mentions inscrites dans ces zones ne doivent porter que sur des actes et des faits objectifs et ne peuvent, en aucun cas, faire apparaître, directement ou indirectement, des données relatives aux origines raciales, aux opinions politiques, philosophiques ou religieuses, aux appartenances syndicales ou aux moeurs de la personne concernée par ces actes ou ces faits.
Dans les cas où le conducteur déclaré est un employé du client, ainsi que dans ceux où il y a pluralité de conducteurs déclarés, ne peuvent être associées aux actes et faits listés ci-dessus que les données afférentes à la seule personne concernée par les actes ou faits correspondants.
L'inscription dans ce fichier ne peut être effectuée qu'après constat d'actes et de faits objectifs ou sur la base de documents tendant à prouver la réalité du préjudice subi par les organismes de location de véhicules concernés.
Article 3. Destinataires des informations.
Seuls peuvent avoir communication des données précitées, dans la limite de leurs attributions respectives et pour l'exercice de la finalité visée à l'article 1er de la présente décision :
a) Les personnels individuellement désignés du service chargé des relations clientèle ;
b) Les responsables d'agences de location ;
c) Les personnes individuellement désignées du service en charge de la gestion du contentieux.
Les agents de comptoir en contact avec la clientèle n'ont pas directement accès aux motifs ayant justifié l'inscription dans le fichier, mais à un message d'alerte précisant l'existence d'un risque et leur indiquant la nécessité de renvoyer la personne concernée vers l'une des catégories de personnes susvisées.
Dans le cas d'une transmission au Conseil national des professions de l'automobile (CNPA) dans le cadre de l'autorisation donnée par la délibération susvisée nº 236 du 9 novembre 2006, les seules données à caractère personnel pouvant être traitées au titre de la présente décision sont les données énumérées à l'article 2.
Article 4. Durées de conservation.
Les données visées à l'article 2 de la présente décision sont conservées pendant au maximum :
– trois ans à compter de la date de survenance pour les actes et faits entrant dans les catégories de 1 à 3 inclus ;
– cinq ans à compter de la date de survenance pour les actes et faits entrant dans la quatrième catégorie.
S'agissant des incidents de paiement, les faits et les données associées sont supprimés dès le paiement des sommes dues.
Article 5. Mesures de sécurité.
Le responsable du traitement prend toutes précautions utiles pour préserver la sécurité et la confidentialité des données traitées et pour empêcher qu'elles soient déformées, endommagées ou que des tiers non autorisés puissent en prendre connaissance.
En particulier, le responsable de traitement assure une gestion rigoureuse des contrôles d'accès. Ainsi, les accès aux traitements de données s'effectuent par un identifiant et un mot de passe individuels, régulièrement renouvelés, ou par tout autre moyen d'authentification garantissant, a minima, un même niveau de sécurité.
Le responsable de traitement établit un état journalier des accès afin de pouvoir en assurer le contrôle. Il doit également disposer de moyens humains suffisants et formés.
Pour la consultation à distance du fichier ou la transmission des données qu'il contient, via un réseau de communication, le responsable de traitement recourt à des protocoles de communications sécurisés permettant de se prémunir contre les risques d'intrusion et le détournement de finalité.
Afin de parer au risque d'homonymie, la consultation du traitement s'effectue sur la base du nom, du prénom ainsi que de la date et du lieu de naissance.
Le responsable de traitement porte la mention ” identité usurpée ” concernant les personnes pour lesquelles il est établi que leur identité a été usurpée par un tiers et que les actes et faits incriminés ne leur sont pas imputables.
Article 6. Information des personnes.
Le responsable du traitement procède, conformément aux dispositions de l'article 32 de la loi du 6 janvier 1978 modifiée, à l'information des personnes concernées par la diffusion à chacune d'entre elles d'une note d'information, incluse dans le contrat de location du véhicule, précisant l'existence d'un traitement interne relatif à la prévention des risques, les conséquences d'une inscription dans un tel traitement et la possibilité qui leur est reconnue d'exercer un droit d'accès, de rectification et, le cas échéant, d'opposition à figurer dans un tel traitement pour motif légitime. Cette note d'information indique la transmission éventuelle des données à la branche loueurs du CNPA et leur mutualisation au profit des adhérents à cette branche.
Lorsque survient un acte ou un fait visé à l'article 2 de la présente décision, la personne concernée doit, préalablement à toute inscription dans un fichier de gestion des personnes à risques, en être informée et disposer de la possibilité de régulariser sa situation dans un délai déterminé porté à sa connaissance, ne pouvant être inférieur à quinze jours s'il s'agit d'un impayé.
En cas de contestation par la personne concernée des motifs pouvant entraîner son inscription dans le fichier de gestion des personnes à risques, le responsable de traitement doit procéder à une instruction contradictoire de cette contestation, dans un délai raisonnable, de façon non automatisée et assortie de la suspension du processus d'inscription dans le fichier.
Lors de son inscription effective dans le traitement ayant pour objet la prévention des risques, la personne concernée doit également en être informée.
Les droits d'accès, de rectification et, le cas échéant, d'opposition s'exercent auprès des personnes ou des services de l'entreprise de location ou, s'il y a lieu, du CNPA, dont les coordonnées doivent être clairement indiquées dans la note d'information précitée.
Article 7. Tout traitement automatisé de données à caractère personnel ayant pour objet la prévention des risques qui n'est pas conforme aux dispositions qui précèdent doit faire l'objet d'une demande d'autorisation auprès de la commission dans les formes prescrites par les articles 25 (4°) et 30 de la loi du 6 janvier 1978 modifiée.
Article 8. La présente délibération sera publiée au Journal officiel de la République française.
Le président, A. Türk