La Jurisprudence gratuite en ligne (Juritel - Droit de l'internet, informations legales, avocat en ligne, contrats,..)

Paiment sécurisé avec CyberMUT

Vous bénéficiez du sceau

Revue de presse | Communiqués de presse | Conditions générales | Régie publicitaire

RECHERCHER TYPE

Jurilettre gratuite

Aides

Rss

Panier

ABONNEMENT
Services en ligne
Avocats
Huissiers
Lettres et Modèles
Droit et internet
Cybersquattage
Pack JuriWeb
Audit juridique de site
Documentaires
Nouvelle chronique
Archives
Décrets Jurisprudences
Fiches pratiques
Interviews
Pratique
Sélection de liens
Annuaire
Partenaires

:: Lire la loi DADVSI définitive
:: Lire la LCEN définitive

CNIL c/ Crédit Lyonnais

CNIL

Délibération n°2006-174 du 28 juin 2006 prononçant une sanction pécuniaire à l’encontre du Crédit Lyonnais (LCL)

La Commission nationale de l’informatique et des libertés, réunie en formation restreinte, sous la présidence de M. Alex Ttirk, président;

Etant aussi présents M. Guy Rosier, vice-président délégué, M. François Giquel, vice-président, M. Hubert Bouchet, membre, Mlle Anne Debet, membre, M. Bernard Peyrat, membre;

Vu la Convention n° 108 du Conseil de l’Europe du 28 janvier 1981 pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel;

Vu la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, dans sa rédaction antérieure à la loi du 6 août 2004;

Vu la loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel et modifiant la loi n° 78-17 du 6 janvier 1978;

Vu le décret n° 2005-1309 du 20 octobre 2005 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifiée par la loi n° 2004-801 du 6 août 2004;

Vu les délibérations n° 2006-032 et n° 2006-033 adoptées par la CML le 21 février 2006;
Vu les saisines n° 04018295, n° 05006569, n° 05009907 et n° 05015327

Vu le rapport de M. Philippe Nogrix, commissaire, notifié le 18 mai 2006 au Crédit Lyonnaiset les observations en réponse reçues le 14 juin 2006.

Après avoir entendu, lors de la réunion du 28 juin 2006, M. Philippe Nogrix, commissaire, en son rapport et Mme Pascale Compagnie, commissaire du Gouvernement, en ses observations.

Après avoir entendu, lors de la réunion du 28 juin 2006, les observations orales de MM. Hubert Massiet du Biest, Responsable de la Conformité LCL, Gérard Wissing, Direction des Affaires Juridiques et Michel Corbion, Service Relations Clientèle, ceux-ci ayant pris la parole en dernier.

Constate les faits suivants

1. La Commission a été saisie d’une plainte le 15 novembre 2004 (n° 04018295) concernant le retard pris par le Crédit Lyonnais dans la mainlevée d’une inscription au FICP effectuée le 28 février 2002. A l’appui de sa demande, le requérant joignait la copie d’avis d’opération indiquant que l’incident de paiement ayant justifié son inscription au FICP avait été régularisé le 16 septembre 2004. Le 10 décembre 2004, les services de la Banque de France ont confirmé à la Commission que le requérant était encore inscrit au FICP.

a. Dans le cadre de l’instruction de la plainte, la CML a demandé au Crédit Lyonnais par courrier daté du 15 décembre 2004 de lui indiquer la nature exacte des incidents de paiement caractérisés ayant justifié l’inscription au FICP ainsi que les raisons pour lesquelles il n’avait pas été procédé à la mainlevée de cette inscription au moment de la régularisation de l’incident de paiement.

Par courrier du 16 février 2005, le Crédit Lyonnais a indiqué à la CNIL, sans autre précision, la survenance «d’anomalies» qui auraient justifié l’inscription au FICP et a observé que les incidents de paiement concernant le requérant étaient régularisés sans être en mesure d’indiquer à quelle date la mainlevée de l’inscription avait été effectuée, motif pris qu’aucune opération d’archivage ou d’historisation n’était effectuée concernant cette information dans leurs systèmes informatiques. Le Crédit Lyonnais a néanmoins précisé qu’une interrogation du FICP, sans pour autant joindre la copie de ce document, attestait de l’absence d’inscription du requérant le 15 décembre 2004.

Observant que le Crédit Lyonnais n’avait pas répondu aux questions posées dans son précédent courrier, la CNIL lui a adressé un second courrier de demande de compléments en date du 24 mars 2005 réitérant les requêtes formulées dans son courrier du 15 décembre 2004 et s’étonnant de l’absence d’informations, dans les systèmes informatiques du Crédit Lyonnais, concernant tant l’historique des incidents de paiement que leur régularisation.

Par courrier du 9 mai 2005, le Crédit Lyonnais a indiqué ne pas être en mesure d’apporter les informations complémentaires sollicitées par la CNIL.

b. Conformément à la décision n° 2005-100C du 22 novembre 2005, les services de la CNIL ont procédé le 1er décembre 2005 à une mission de vérification sur place auprès de l’agence bancaire teneur du compte du requérant; ils ont constaté qu’il était impossible d’obtenir sur place les informations requise le compte ayant été fermé et aucune donnée informatique relative aux incidents n’étant accessible depuis l’agence.

En janvier 2006, les services de la CNIL ont poursuivi leurs investigations en se rendant dans un centre informatique du Crédit Lyonnais afin de pouvoir consulter, notamment, les archives informatiques de la banque et se sont donc rapprochés, de façon informelle, des services du Crédit Lyonnais afin de connaître les coordonnées exactes de leurs centres informatiques.

En réponse à cette demande, le Crédit Lyonnais a adressé le 16 janvier 2006 un courrier au Président de la CNIL rappelant les échanges de courriers précités et indiquant que les incidents de paiement caractérisés «remontent à avril 2002, le compte a été soldé par perte le 16/09/04, et notre requête du 15/12/04 mentionne l’absence d’inscription du FICP à cette date, la radiation étant donc antérieure à cette date ».

Dans ce courrier, le Crédit Lyonnais n’avait cependant pas répondu à la demande de la CNIL concernant la localisation des moyens informatiques permettant de poursuivre la mission de vérification sur place; ce n’est qu’après de nombreux échanges effectués par téléphone, télécopies et courriers électroniques, que cette information a enfm été communiquée à la CNIL le 20janvier 2006.

Le 25 janvier 2006 une seconde mission de contrôle a été, en conséquence, diligentée auprès des services informatiques du Crédit Lyonnais. Cette mission s’est poursuivie le 3 février 2006 dans les locaux du Crédit Lyonnais afin de consulter le dossier papier du requérant qui n’était pas disponible avant cette date raison des délais de désarchivage du dossier.

Il est ressorti de l’ensemble des investigations menées par les services de la Commission que:

- Une trace informatique des inscriptions au FICP ainsi que de la régularisation des incidents de paiement était bien conservée dans une application informatique interne au Crédit Lyonnais dénommée «FICL ». Dans cette application «FICL », la délégation de la CNIL a ainsi pu retrouver la date de l’incident de paiement caractérisé ainsi que la date de déclaration de cet incident à la Banque de France qui remontaient à février 2002. Pourtant, par courriers des 16 février, 9 mai 2005 et 16 janvier 2006, le Crédit Lyonnais avait soutenu ne disposer d’aucun élément concernant l’archivage ou l’historisation d’informations permettant de retracer les dates d’inscription et de mainlevée d’une personne dans le FICP.

- Les services de la CNIL ont eu connaissance, lors des missions de contrôle, de la raison exacte pour laquelle la mainlevée de l’inscription au FICP du requérant avait été effectuée tardivement. Un incident technique survenu dans les systèmes informatiques du Crédit Lyonnais, à la suite du changement d’un prestataire, a empêché le défichage automatique de certains clients ayant régularisé leur incident de paiement. Les difficultés rencontrées par le requérant, loin d’être isolées, ont donc manifestement été subies par d’autres clients. Ces dysfonctionnements tecbniques, mentionnés dans des documents internes du Crédit Lyonnais en date des 24 et 25janvier 2005, n’ont jamais été communiqués aux services de la CNIL.

Ces faits constituaient par conséquent un manquement aux obligations découlant de la loi du 6 janvier 1978 modifiée. Celle-ci prévoit, en effet:

- dans son article 1 1-20-c que la CNIL reçoit les plaintes relatives à la mise en oeuvre des traitements de données à caractère personnel.

- dans son article 21 alinéa 2 que «les ministres, autorités publiques, dirigeants d ‘enfreprises publiques ou privées, responsables de groupements divers et plus généralement les détenteurs ou utilisateurs de traitements ou de fichiers de données à caractère personnel ne peuvent s’opposer à l’action de la commission ou de ses membres et doivent au contraire prendre toutes mesures utiles afin de faciliter sa tâche ».

- dans son article 51 «qu ‘est puni d’un an d’emprisonnement et de 15 000 € d’amende le fait d’entraver l’action de la Commission nationale de l’informatique et des libertés. Qu' en s’opposant à l’exercice des missions confiées à ses membres ou aux agents habilités; qu' en dissimulant [des] documents ou renseignements, ou en les faisant disparaître ;. Soit en communiquant des informations qui ne sont pas conformes au contenu des enregisfrements tel qu’il était au moment où la demande a été formulée ou qui ne présentent pas ce contenu sous une forme directement accessible ».

Si le principe du droit à l’oubli évoqué par le Crédit Lyonnais dans plusieurs de ses correspondances peut justifier la mise en oeuvre d’une politique de restriction d’accès, par le réseau commercial, à l’information relative à l’inscription d’un client dans les fichiers de la Banque de France, celui-ci ne fait nullement obstacle à la conservation, dans une base d’archives à accès restreint, de ces informations.

2. La Commission a également été saisie de trois plaintes les 12 mai 2005 (n° 05006569), 21 juillet 2005 (n° 05009907) et le 1er août 2005 (n° 05015327) concernant l’inscription de requérants par le Crédit Lyonnais les 12 janvier, 16 août 2004, 21 janvier et 17 juin 2005 au fichier des retraits « CB » mis en oeuvre par la Banque de France.

Dans le cadre de l’instruction de ces plaintes, la CNIL a demandé au Crédit Lyonnais par courriers datés des 27 juillet, 18 août, 1er décembre, 15 décembre, 26 décembre 2005 et 13 février 2006 de lui indiquer notamment la nature exacte des incidents de fonctionnement des comptes bancaires des requérants résultant de l’usage d’une carte qui ont entraîné leur inscription fichier des retraits « CB ».

Le Crédit Lyonnais n~ a apporté aucune suite à ces demandes et, par coumers reçus le 19 janvier, 27 janvier et 17 février 2006, a indiqué à la Commission que: «le secret professionnel auquel nous sommes soumis, et qui est assorti de sanctions pénales, ne nous permet pas de détailler la nature des incidents constatés ».

Or ces faits constituent un manquement aux obligations découlant de la loi du 6 janvier 1978 modifiée ; il résulte, en effet:

- de l’article 21 alinéa 2 de ce texte que «les ministres, autorités publiques, dirigeants d’entreprises publiques ou privées, responsables de groupements divers et plus généralement les détenteurs ou utilisateurs de traitements ou de fichiers de données à caractère personnel ne peuvent s’opposer à l’action de la commission ou de ses membres et doivent au contraire prendre toutes mesures utiles afin de faciliter sa tâche ».

- de l’article 1 1 -20-c de ladite loi que la CNIL reçoit les plaintes relatives à la mise en oeuvre des traitements de données à caractère personnel.

Si les données à caractère personnel concernant un client bancaire sont effectivement protégées par le secret professionnel en application des dispositions de l’article L 511-33 du code monétaire et fmancier, force est de constater que ce secret a pour vocation de protéger le titulaire du compte lui-même.

Ainsi, dès lors que le titulaire d’un compte bancaire adresse à la CNIL un courrier écrit par lequel il dépose une réclamation auprès de la CNIL et lui demande de procéder à des vérifications auprès d’un responsable de traitement, opposer à la CNIL l’existence du secret bancaire, c’est l’opposer au titulaire des comptes qu’elle a en charge de protéger, ce qui viderait cette disposition de sa raison d’être.

Le refus opposé par le Crédit Lyonnais aux demandes formulées par la CML dans ses différents courriers, outre que celui-ci a été formulé de façon tardive, est donc susceptible de relever l’article 51 de la loi du 6 janvier 1978 modifiée qui dispose que: «Est puni d’un an d’emprisonnement et de 15 000 € d’amende le fait d’entraver l’action de la Commission nationale de l’informatique et des libertés . Soit en s’opposant à l’exercice des missions confiées à ses membres ou aux agents habilités en application du dernier alinéa de l’article 19; Soit en refusant de communiquer à ses membres ou aux agents habilités en application du dernier alinéa de l’article 19 les renseignements et documents utiles à leur mission, ou en dissimulant lesdits documents ou renseignements, ou en les faisant disparaître ».

3. Au regard de ce qui précède, la CNIL a, par délibérations adoptées le 21 février 2006, mis en demeure le Crédit Lyonnais de:

- justifier les différences relevées par la CNIL entre les informations communiquées par le Crédit Lyonnais dans ses courriers des 16 février, 9 mai 2005 et 16 janvier 2006 et les informations dont la CNIL a pris connaissance lors de ses différentes missions de vérification sur place;

- apporter tout élément de fait permettant de considérer qu’il n’y a pas eu de dissimulation de preuve ou de communication à la CML, dans le cadre de l’instruction de la plainte du requérant de novembre 2004 à janvier 2006, d’informations ou de documents non conformes au contenu des enregistrements tel qu’il était au moment où les demandes ont été formulées par la CNIL notamment dans ses courriers des 15 décembre 2004 et 25 mars 2005;

- répondre aux demandes de complément formulées par la CNIL dans ses courriers des 27 juillet, 18 août, 1er décembre, 15 décembre, 26 décembre 2005 et 13 février 2006 et d’apporter toute garantie sur la régularité de l’inscription des requérants, au regard de l’ensemble des dispositions de la loi du 6 janvier 1978 modifiée, au fichier des retraits «CB » mis en oeuvre par la Banque de France.

En réponse aux mises en demeure de la CNIL, le Crédit Lyonnais a adressé, le 10 mars 2006, plusieurs courriers.

a. S’agissant de la saisine n° 04018295, le Crédit Lyonnais a indiqué que: «Il est certain (...) que les c4fférents éléments de réponse qui vous ont été apportés par nos courriers des 16 février, 9 mai 2005 et 16 janvier 2006 mettent en exergue certaines dfférences au regard des investigations menées sur place par vos collaborateurs (...) La mission que vous avez conduite (...) met en lumière plusieurs points parmi lesquels nous relevons le circuit et les modalités de traitement de ces demandes s ‘organisant dans des conditions qui manifestement sont encore perfectibles chez nous (...) Il apparaît que les informations que vous recherchiez sur les dates d’inscription et de radiation du FICP n ‘ont pu être fournies à cause d’un archivage protégé qui n ‘est accessible qu’à certains collaborateurs insuffisamment identifiés.
Les modalités d’accès à ces informations doivent donc être redefinies, ainsi que les rôles des différents intervenants afin d’assurer une meilleure qualité dans les investigations effectuées par le Crédit Lyonnais. Nous mettons donc en chantier les modification structurelles nécessaires dans ce but, car le dispositif adopté par notre établissement pour accompagner la mission de la CNIL a permis d’apporter les informations souhaitées ».

Tout en tenant compte de l’explication fournie par le Crédit Lyonnais ainsi que des engagements significatifs visés dans son courrier, on est en droit de s’interroger sur les conditions exactes dans lesquelles des investigations ont été menées par les services du Crédit Lyonnais lorsque ceux-ci ont été sollicités par les services de la CNIL dans le cadre de l’instruction de la plainte du requérant (courriers des 15 décembre 2004 et 24 mars 2005).

En effet, il ressort des courriers électroniques internes figurant dans le dossier papier du requérant dont la CNIL a pris connaissance lors de sa mission de contrôle du 3 février 2006 que, dès le 12 avril 2005, les services du Crédit Lyonnais faisaient référence, dans leurs échanges, à la procédure à mettre en oeuvre pour accéder à l’application «FICL ». De même, un message électronique daté du 24 janvier 2005 évoquait des dysfonctionnements techniques liés à l’absence de mainlevée de l’inscription au FICP du requérant or bien que connus dès cette date, ces dysfonctionnements n’ont pas été portés à la connaissance de la CNIL.

b. S’agissant des saisines n° 05015327, 05006569 et 05009907 concernant l’inscription de requérants au fichier des retraits «CB» mis en oeuvre par la Banque de France, le Crédit Lyonnais a accepté de communiquer à la CNIL les informations qui lui avaient été demandées, conformément aux dispositions des articles 1 1 -20-c, 21 al. 2 et 51 de la loi du 6 janvier 1978 modifiée.

Il convient de rappeler au préalable que le traitement dénommé « centralisation des retraits de cartes bancaires » a été créé par un arrêté du conseil général de la Banque de France du 16 juillet 1987. Il est inclus, sur le plan technique, dans le Fichier central des chèques (FCC) mais il répond, sur le plan juridique, à des règles de fonctionnement spécifiques. L’article 2.1 de l’arrêté précité dispose en particulier que : «Font l’objet d’une déclaration à la Banque de France les décisions de retraits de cartes bancaires « CB » prises par les émetteurs à la suite d’incidents de fonctionnement du compte qui résultent directement de l’usage desdites cartes ».

Ainsi, l’inscription d’une personne au fichier des retraits «CB» est régulière si elle est liée à des incidents de fonctionnement du compte qui résultent directement de l’usage desdites cartes, nonobstant la faculté réservée à chaque établissement de crédit de prévoir contractuellement des conditions plus larges de blocage de l’utilisation d’une carte bancaire: ce blocage devant être strictement limité à un blocage interne à l’établissement de crédit concerné et non mutualisé à l’ensemble des établissements ayant accès au fichier mis en oeuvre par la Banque de France.

bl. S’agissant de la saisine n° 05010327, le Crédit Lyonnais a apporté à la CNIL les précisions suivantes: «Mme xxx est titulaire d’un compte ouvert dans les livres de notre agence 2861 à Gardanne, sous le n° [anonymisé par Juritel]. La carte bancaire de Madame xxx (validité septembre 2004) a fait l’objet le 20 juin 2003 d’une mesure de blocage (interne au Crédit Lyonnais) en raison de l’émission de chèques sans provision. Elle n ‘a plus été utilisée après cette date. Le 12janvier 2004, le compte étant débiteur et l’échéance d’un crédit permanent n ‘ayant pas été réglée, le dossier de Madame xxx a été transmis au secteur recouvrement amiable ce qui a entraîné, conformément aux procédures internes applicables aux cartes en cours de validité, la mise en « opposition usage abusif» qui déclenche automatiquement une déclaration au FCC ».

Cependant le Crédit Lyonnais n' a apporté aucun élément précis et justifié par des documents comptables attestant de l’existence d’incidents de fonctionnement du compte qui résultaient directement de l’usage de la carte bancaire de la requérante; il a précisé au contraire que les cartes bancaires de la requérante avaient été bloquées dès le mois de juin 2003. Cette dernière a d’ailleurs indiqué les avoir retournées, enjuillet 2003, à son agence.

En outre, le Crédit Lyonnais a fait état, pour justifier l’inscription de la requérante au fichier des retraits «CB », de l’émission de chèques sans provision ainsi que d’une échéance de crédit permanent non réglée. Ces deux incidents pouvaient justifier, le cas échéant, l’inscription de la requérante au Fichier central des chèques (FCC) ainsi qu’au FICP mais en aucune manière dans le fichiers des retraits « CB ».

Enfm, le Crédit Lyonnais a indiqué que ses procédures internes prévoyaient l’inscription systématique au fichier des retraits «CB» de l’ensemble des clients en situation de recouvrement. Cette procédure n’est manifestement pas conforme aux dispositions de l’arrêté du conseil général de la Banque de France du 16 juillet 1987, notamment son article 2.1.

b2. S’agissant de la saisine n° 05006569, il est ressorti des éléments communiqués par le Crédit Lyonnais par courrier du 10 mars 2006 que la requérante: «est notamment titulaire d’un compte joint (...) Le 27 avril 2004, ce compte a fait l’objet d’un blocage en exécution d’une réquisition judiciaire sur commission rogatoire (...) Les échéances des prêts en cours ne pouvant plus être prélevées, le dossier a été transmis à notre service de recouvrement amiable et parallèlement une inscription du retrait de la carte bancaire liée à ce compte a été opérée le 16 août 2004 auprès de la Banque de France ».

Or le Crédit Lyonnais n’a apporté, dans cette affaire, aucun élément précis et justifié par des documents comptables attestant de l’existence d’incidents de fonctionnement du compte qui résultaient directement de l’usage de la carte bancaire de la requérante.

b3. S’agissant enfin de la saisine n° 05009907, il est ressorti des éléments communiqués par le Crédit Lyonnais par courrier du 10 mars 2006 que le requérant: «est titulaire d’un compte ouvert dans les livres de notre agence 7600 à Orléans (...) L ‘inscription au FCC du 21 janvier 2005 a été initiée à raison de la position débitrice du compte de 668,70 €.
L’inscription au FCC du 17juin 2005 a été initiée alors que le compte présentait un solde créditeur de 39,85 € en raison d’échéances impayées en souffrance pour un montant de 123,13 € et alors qu’il s ‘agissait d’un second usage abusif (l’inscription du 21 janvier 2005) ».

Là encore, le Crédit Lyonnais n' a apporté aucun élément précis et justifié par des documents comptables attestant de l’existence d’incidents de fonctionnement du compte qui résultaient directement de l’usage de la carte bancaire du requérant. En outre, les deux inscriptions du requérant au volet « CB » du FCC étaient toujours effectives le 31 mars 2006.

Il apparaît que, dans l’ensemble de ses réponses, le Crédit Lyonnais n’a donc pas apporté des éléments comptables précis et justifié sur la nature des incidents de fonctionnement des comptes des requérants liés à l’utilisation d’une carte bancaire (comme le lui avait demandé tout au long de la procédure dans les courriers en date des 27 juillet, 18 août, 1er décembre, 15 décembre, 26 décembre 2005 et 13 février 2006).

Au regard de ce qui précède la CNIL a considéré que le Crédit Lyonnais n~avait pas respecté les conditions d’inscription au fichier des retraits «CB» visées dans l’arrêté du conseil général de la Banque de France du 16 juillet 1987 et que les inscriptions des requérants, toujours en cours pour l’un d’entre eux, n’étaient sont pas justifiées.

C’est, dans ces conditions, que le rapporteur, au regard des faits précités, a notifié au Crédit Lyonnais le 18 mai 2006 une proposition de sanction.

4- a. Aux termes du courrier adressé par le Crédit Lyonnais le 14 juin 2006 et des observations orales formulées par ses représentants lors de la réunion du 28 juin 2006, le Crédit Lyonnais a fait valoir qu’il avait non seulement répondu à l’ensemble des demandes de la CNIL mais qu’il avait toujours cherché à le faire « le plus efficacement possible en fournissant les renseignements accessibles ».

Or, la CML souligne que le Crédit Lyonnais n’a apporté aucune explication sur les raisons qui l’ont conduit à ne pas lui communiquer, pendant près d’un an, les informations qu’elle lui avait demandées, notamment dans ses courriers des 15 décembre 2004 et 25 mars 2005 et alors que ces informations étaient manifestement connues des services de cette banque, comme l’attestent les éléments retrouvés par la CML lors des missions de contrôle réalisées les 25 janvier et 3 février 2006.

Rappelant:

- l’article 1 l-20-c de la loi du 6 janvier 1978 modifiée le 6 août 2004 prévoyant que la CNIL reçoit les plaintes relative à la mise en oeuvre des traitements de données à caractère personnel.

- l’article 21, alinéa 2 de ladite loi disposant par ailleurs que «les ministres, autorités publiques, dirigeants d’entreprises publiques ou privées, responsables de groupements divers et plus généralement les détenteurs ou utilisateurs de traitements ou de fichiers de données à caractère personnel ne peuvent s ‘opposer à l’action de la commission ou de ses membres et doivent au contraire prendre toutes mesures utiles afin de faciliter sa tâche ».

- l’article 51 de la même loi stipulant «qu’est puni d’un an d’emprisonnement et de 15 000 € d’amende le fait d’entraver l’action de la Commission nationale de l’informatique et des libertés 20 en dissimulant [des] documents ou renseignements, ou en les faisant disparaître;
30 Soit en communiquant des informations qui ne sont pas conformes au contenu des enregistrements tel qu’il était au moment où la demande a été formulée ou qui ne présentent pas ce contenu sous une forme directement accessible ».

La Commission estime que le Crédit Lyonnais ne s’est pas conformé à la mise en demeure du 21 février 2006 qui lui demandait d’apporter tout élément de fait permettant de considérer qu’il n’y a pas eu de dissimulation de preuve ou de communication à la CNIL, dans le cadre de l’instruction de la plainte du requérant de novembre 2004 à janvier 2006, d’informations ou de documents non conformes au contenu des enregistrements tel qu’il était au moment où les demandes ont été formulées par la CNIL notamment dans ses courriers des 15 décembre 2004 et 25 mars 2005.

- b. La Commission observe par ailleurs que le Crédit Lyonnais n’a apporté, ni dans son courrier d’observations adressé le 14 juin 2006 ni dans ses observations orales formulées par ses représentants lors de la réunion du 28 juin 2006, des informations qui apporteraient des garanties, comme cela était pourtant demandé dans la mise en demeure adoptée par la CML le 21 février 2006, sur la régularité de l’inscription de certains requérants (saisines n°05006569, 05009907 et 05015327), au regard de l’ensemble des dispositions de la loi du 6 janvier 1978 modifiée, au fichier des retraits « CB » mis en oeuvre par la Banque de France.

La Commission constate à cet égard que le Crédit Lyonnais n’a jamais communiqué des éléments comptables précis et justifiés sur la nature des incidents de fonctionnement des comptes des requérants liés à l’utilisation d’une carte bancaire, mais a indiqué que les incidents de paiement étaient liés à l’utilisation abusive de formules de chèques ou à l’existence d’échéances impayées relatives à un crédit, et, en aucune manière à l’utilisation d’une carte bancaire. Les informations fournies par le Crédit Lyonnais font même état d’une procédure généralisée visant à inscrire au fichier «CB» de la Banque de France toute personne faisant l’objet d’une procédure de recouvrement ce qui n’est manifestement pas conforme à la réglementation applicable.

Si le Crédit Lyonnais a par ailleurs fait valoir sur ce dernier point que: «dans le cadre de la révision de la procédure de transmission des dossiers litigieux aux agences de recouvrement, LCL a apporté — dès septembre 2005 — des modjfications à la procédure de déclaration d’utilisation abusive de la carte au FCC/CB excluant de ce fait les déclarations de situations
similaires à celles objet des réclamations », la CNIL, pour autant, constate qu’elle n’a été informée par le Crédit Lyonnais de l’existence de cette révision de procédure que le 14 juin 2006 alors même que la procédure de mise en demeure avait débuté plusieurs mois auparavant. Elle observe, d’ailleurs, que le Crédit Lyonnais n’a produit aucun document apportant des précisions sur cette nouvelle procédure et constate que celle-ci ne semble pas opérationnelle puisque l’un des requérants (saisine n° 05009907) était toujours inscrit au fichier des retraits « CB» de la Banque de France au jour de la réunion de la formation restreinte du 28 juin 2006 alors même que le Crédit Lyonnais n’avait pas rapporté la preuve à la CNIL de la régularité de cette inscription.

La Commission estime en tout état de cause que le Crédit Lyonnais n’a manifestement pas respecté les conditions d’inscription des requérants au fichier des retraits « CB» visées dans l’arrêté du conseil général de la Banque de France du 16 juillet 1987. Ces faits constituent un manquement aux dispositions de l’arrêté du conseil général de la Banque de France du 16 juillet 1987, notamment son article 2.1 ainsi qu’aux dispositions de la loi du 6 janvier 1978 modifiée le 6 août 2004, notamment son article 6~30 qui dispose qu’un traitement ne peut porter que sur des données à caractère personnel qui sont adéquates, pertinentes et non excessives au regard des fmalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs.

Ces mêmes faits constituent également un manquement à l’article 6-4° de la loi précitée qui dispose qu’un traitement ne peut porter que sur des données à caractère personnel qui sont exactes.

Ces mêmes faits constituent enfm un manquement à l’article 34 de la loi précitée, s’agissant en particulier de la communication à des tiers (l’ensemble des établissements de crédit ayant communication des coordonnées des personnes physiques inscrites dans le fichier des retraits « CB ») d’informations dont ils n’avaient pas à connaître.

La Commission considère par conséquent que le Crédit Lyonnais n’a pas respecté la mise en demeure adoptée le 21 février 2006 d’apporter toute garantie sur la régularité de l’inscription des requérants, au regard de l’ensemble des dispositions de la loi du 6 janvier 1978 modifiée, au fichier des retraits « CB » mis en oeuvre par la Banque de France.

c. Il ressort de l’ensemble de ce qui précède que:

- Le Crédit Lyonnais n’a pas communiqué à la CML des informations qu’il avait pourtant bien en sa possession et n’a pas apporté d’éléments de fait permettant de considérer qu’il n’y a pas eu de dissimulation de preuve ou de communication à la CNIL, dans le cadre de l’instruction de la plainte du requérant (saisine n° 04018295) de novembre 2004 à janvier 2006, d’informations ou de documents non conformes au contenu des enregistrements tel qu’il était au moment où les demandes ont été formulées par la CNIL notamment dans ses courriers des 15 décembre 2004 et 25 mars 2005.

La Commission relève que ces faits constituent un manquement aux dispositions de la loi du 6 janvier 1978 modifiée, notamment ses articles 21 alinéa 2 et 51.

- le Crédit Lyonnais n’a apporté aucun élément permettant de considérer qu’il a respecté les conditions d’inscription des requérants (saisines n° 05015327, 05006569 et 05009907) au fichier des retraits « CB» visées dans l’arrêté du conseil général de la Banque de France du 16 juillet 1987.

La Commission relève que ces faits constituent un manquement aux dispositions de l’arrêté du conseil général de la Banque de France du 16 juillet 1987, notamment son article 2.1 ainsi qu’aux dispositions de la loi du 6 janvier 1978 modifiée le 6 août 2004, notamment ses articles 6-3°, 6-4° et 34.

La Commission considère en outre qu’en répondant de façon inexacte pendant près d’un an aux demandes de la CML alors que les éléments de réponse étaient connus de sa part (saisine n° 04018295) et en ne communiquant à aucun moment à la CNIL les références comptables précises (saisines n° 05006569, 05009907 et 05015327) des incidents de paiement liés spécifiquement à l’utilisation d’une carte bancaire, comme cela lui était pourtant demandé, le Crédit Lyonnais a fait preuve de mauvaise foi.

En conséquence, décide de faire application des dispositions des articles 45 et suivants de la loi du 6 janvier 1978 modifiée le 6 août 2004 et de prononcer à l’encontre du Crédit Lyonnais (LCL) sis 18 rue de la République à Lyon (69), compte tenu de la gravité des manquements commis, une sanction pécuniaire équivalente au triple de la somme mise en recouvrement concernant la saisine n° 04018295, soit 30000 euros à laquelle s’ajoutera la somme forfaitaire de 5000 euros pour chacune des saisines n° 05006569, 05015327 et 05009907, soit la somme totale de 45000 euros.

Décide également, compte tenu de la mauvaise foi du Crédit Lyonnais, de la publication de la présente décision, sous la forme d’un extrait tel qu’il figure en annexe à la présente délibération, dans les quotidiens Le Figaro et La Tribune. La publication s’effectuera dans un délai de trente jours à compter du jour où la présente délibération sera devenue définitive et devra être notifiée par le Crédit Lyonnais à la CNIL. Les frais seront supportés par le Crédit Lyonnais.

Le président

Alex Tùrk

Par délibération de la Commission Nationale de l’Informatique et des Libertés (CNIL) adoptée le 28 juin 2006,

la société CREDIT LYONNAIS (LCL) a été sanctionnée pour:

- avoir entravé l’action de la CNIL en communiquant des informations qui n’étaient pas conformes au contenu des enregistrements tel qu’il était au moment où ces demandes d’informations ont été formulées (non-respect des articles 1 1-20-c, 21 al. 2 et 51 de la loi du 6 janvier 1978 modifiée le 6 août 2004);

- avoir inscrit de façon abusive plusieurs clients dans le fichier des « retraits CB » mis en oeuvre par la Banque de France (non-respect des articles 6-3e, 6-4e et 34 de la loi précitée).
La société CREDIT LYONNAIS (LCL) a été condamnée au paiement d’une amende de 45 000 euros (articles 45 et s. de la loi « informatique et libertés » modifiée).

La publication de la délibération de la CML a été ordonnée dans La Tribune et Le Figaro.

P@rticip@tion :Azique