La Commission nationale de l'informatique et des libertés,

Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;

Vu la directive 95 / 46 / CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;

Vu la loi n° 78-17 du 6 janvier 1978, modifiée par la loi n° 2004-801 du 6 août 2004, relative à l'informatique, aux fichiers et aux libertés, notamment le 4° du I et le II de l'article 25 ;

Vu le code monétaire et financier, notamment ses articles L. 311-1, L. 313-1 et L. 511-1 ;

Vu le décret n° 2005-1309 du 20 octobre 2005 pris pour l'application de la loi du 6 janvier 1978, modifiée par la loi n° 2004-810 du 6 août 2004 ;

Sur le rapport de M. Philippe Nogrix, commissaire, en son rapport, et Mme Catherine Pozzo di Borgo, commissaire du Gouvernement adjoint, en ses observations ;

Formule les observations suivantes :

Les établissements de crédit recourent fréquemment, en matière d'octroi de crédit, à des traitements automatisés d'aide à la décision qui s'appuient sur des modèles de score.

L'objectif de ces modèles est d'identifier les caractéristiques personnelles des clients qui paraissent différencier le mieux la population des emprunteurs défaillants de ceux qui ne font pas défaut. Les établissements de crédit les construisent sur la base de techniques statistiques, à partir des données relatives aux contrats de crédit qu'ils ont précédemment conclus, des caractéristiques personnelles des emprunteurs et des défauts de remboursement constatés.

Ces traitements automatisés de données à caractère personnel ont pour objet, d'une part, d'évaluer, pour chaque personne qui présente une demande de crédit ou souhaite disposer d'un moyen de paiement adossé à un contrat de crédit, le risque statistique de défaillance qui lui est attaché et, d'autre part, de sélectionner les demandes qui correspondent à un niveau de risque de défaillance jugé satisfaisant. Ils sont, par voie de conséquence, susceptibles d'exclure, au moins de façon temporaire, une personne du bénéfice d'un contrat de crédit là où aucun texte législatif ou réglementaire ne prévoit une telle exclusion.

Dès lors, ces traitements automatisés relèvent du 4° du I de l'article 25 de la loi du 6 janvier 1978 et doivent, à ce titre, être autorisés par la CNIL.

En vertu du II de l'article 25 de la loi du 6 janvier 1978, la commission peut autoriser par une décision unique une catégorie de traitements qui répondent aux mêmes finalités, portent sur des catégories de données identiques et ont les mêmes catégories de destinataires. Il en résulte que le responsable d'un traitement conforme à cette décision unique d'autorisation pourra déclarer son traitement en adressant à la commission un engagement de conformité par lequel il s'engage à respecter les termes de la décision de la CNIL.

La délibération n° 2006-019 du 2 février 2006 portant autorisation unique de certains traitements mis en œuvre par les établissements de crédit pour aider à l'évaluation et à la sélection des risques en matière d'octroi de crédit (décision d'autorisation unique n° AU-009) doit être modifiée pour en étendre le domaine d'application, en favoriser l'utilisation par les établissements de crédit et préciser les obligations à la charge des responsables de traitement.

Décide de remplacer les articles 1er à 9 de la délibération précitée par le tableau mis en annexe.

Décide que les établissements de crédit qui souhaitent se référer à l'autorisation unique n° AU-005 adressent, à cette fin, à la CNIL un engagement de conformité pour ceux de leurs traitements automatisés qui répondent aux conditions définies dans le tableau susmentionné seront autorisés à les mettre en œuvre.

Décide que tout projet de traitement automatisé dont les finalités ou les catégories de données ou de destinataires excéderaient le cadre défini par la présente autorisation unique ou qui ne respecterait pas les exigences qui y sont définies devra faire l'objet d'une demande d'autorisation spécifique présentant et expliquant les différences entre le traitement envisagé et l'autorisation unique.

La présente délibération sera publiée au Journal officiel de la République française.

Le président,

A. Türk