Dans le cadre de cette mission, le syndicat lutte contre les adjudicataires défaillants en listant les personnes qui n’ont pas réglé le montant du bordereau d’achat du bien acquis aux enchères.
Ce syndicat a ainsi mis en place une liste de mauvais payeurs autrement ou « black liste ».
Or conformément à l’article 25 de la loi Informatique et libertés, ce type de fichier nécessite une autorisation de la Cnil :
- « Sont mis en œuvre après autorisation de la Commission nationale de l’informatique et des libertés (…) les traitements automatisés susceptibles, du fait de leur nature, de leur portée ou de leurs finalités, d’exclure des personnes du bénéfice d’un droit, d’une prestation ou d’un contrat en l’absence de toute disposition législative ou réglementaire. »
Il était donc normal que ce syndicat dépose une demande auprès de la Commission Nationale de l’Informatique et des libertés (ci-après « CNIL ») afin de voir cette liste autorisée par la Cnil.
Toutefois, au cours de la procédure d’autorisation, le syndicat a abandonné sa demande tout en laissant subsister ce traitement sans en informer la CNIL.
Tenir une liste de mauvais payeurs n’est pourtant pas sans risque pour le responsable de traitement et des personnes qui y figuraient ont porté plainte auprès de la CNIL lorsqu’elles ont découvert qu’elles étaient inscrites sur cette liste de mauvais payeurs, les privant ainsi du droit d’acheter de nouveaux objets aux enchères.
La liste a non seulement été mise en œuvre par le SYMEV mais semble alors avoir été diffusée auprès des membres de ce syndicat.
En conséquence, le 6 décembre 2011, une mission de contrôle a été diligentée dans les locaux du SYMEV.
A l’occasion de ses investigations, la Cnil rappelle que les listes de mauvais payeurs ne sont pas prohibées par la loi.
En effet, il est tout à fait possible de constituer de tels fichiers dans des professions confrontées à la fraude avérée de certains clients qui prolifèrent notamment via internet. La liste des mauvais payeurs ayant alors pour objet principal de protéger les vendeurs et préserver la confiance dans le système de ventes.
Mais la Cnil rappelle que : « Une telle liste noire étant susceptible d’exclure des personnes de la faculté de participer à des ventes aux enchères, sa mise en œuvre doit faire l’objet d’une autorisation par la CNIL sur le fondement de l’article 25-I-4 [de la loi Informatique et libertés].
En matière de liste noire ou « black liste », il convient notamment de respecter le principe de transparence :
un traitement ne peut porter que sur des données à caractère personnel qui sont collectées et traitées de manière loyale ;
les personnes concernées doivent être informées à tous les stades du traitement, à savoir depuis la collecte des données litigieuses jusqu’à l’inscription sur la liste noire.
C’est pourquoi le contrôle de la Cnil a principalement porté sur : « une vérification des garanties encadrant le fonctionnement du fichier litigieux en vue de prévenir le fichage abusif [des personnes] d’adjudicataires. »
Il a ainsi été révélé par la Cnil les éléments suivants :
« Il est établi qu’aucune formalité préalable n’a été effectuée en ce sens auprès de la CNIL, les démarches finalement entreprises par le SYMEV pour mettre fin à sa propre carence ayant été abandonnées en avril 2011.
« Il est établi et non contesté que les maisons de ventes volontaires ont procédé à une collecte des informations relatives aux mauvais payeurs directement auprès de ces derniers et sans les en informer. En effet, comme le reconnaît la direction actuelle du Syndicat, celui-ci a diffusé à ses adhérents un formulaire vierge intitulé déclaration d’incidents de paiement invitant les destinataires à ne pas informer les adjudicataires défaillants à propos desquels des données à caractère personnel étaient collectées. À cet effet, ce formulaire portait la mention le SYMEV rappelle que les informations sur les incidents de paiement sont communiquées par mail à l’ensemble de ses adhérents, sous la responsabilité de la SVV qui les lui a transmises. Il est instamment demandé de ne pas informer les personnes visées de la diffusion du message, afin d’éviter tout risque de poursuite pour diffamation. »
« Il est établi que les maisons de ventes volontaires adhérentes du SYMEV complétaient et renvoyaient à ce dernier les informations concernant les adjudicataires défaillants, sans que cette compilation ultérieure soit davantage connue des personnes. De ce fait, tant les opérations de collecte des données que leur traitement ultérieur par le Syndicat ont été réalisées à l’insu des personnes concernées. »
« Il ressort des échanges entretenus entre le SYMEV et la CNIL, que ce dernier envisageait de conserver les données relatives aux mauvais payeurs pendant six mois, durée jugée pertinente par les services de la Commission. La formation restreinte rappelle, en effet, que dans le cas des ventes volontaires il peut être légitime de disposer d’une information récente sur les adjudicataires défaillants. Or, il est établi que la durée de conservation effectivement mise en œuvre était de plusieurs années. Elle excède manifestement la durée pour laquelle la finalité du traitement est légitime. Le SYMEV bien qu’informé des préconisations de la Commission, a poursuivi la conservation des données litigieuses pour une durée qu’il savait excessive. »
En résumé la Cnil a pu constater des opacités sur les traitements mis en œuvre telles que :
L’absence de formalités préalables ;
L’absence d’information des personnes inscrites sur les listes ;
La collecte illicite des données des personnes inscrites sur les listes ;
La conservation des données pour une durée excessive.
Face à de tels manquements et à leur gravité, le Syndicat a fait valoir que ce traitement a été mis en place par un ancien bureau et que le bureau actuel a supprimé le traitement. Sur ce point, la CNIL rappelle que le changement d’équipe dirigeante ne permet pas à l’organisme poursuivi d’échapper aux responsabilités qui sont les siennes en application de la loi du 6 janvier 1978 modifiée.
A ce titre, la CNIL a prononcé une « Délibération de la formation restreinte n°2012-079 du 24 mai 2012 portant avertissement public à l’encontre du SYNDICAT NATIONAL DES MAISONS DE VENTES VOLONTAIRES (SYMEV) ».
Nos recommandations avant de mettre en place une liste noire :
Faire la liste des recommandations de la Cnil et de sa jurisprudence en matière de liste noire ou faire appel à un professionnel pour savoir comment mettre en place les processus interne de gestion de la liste noire ;
Rédiger le dossier de demande d’autorisation auprès de la Cnil ;
Ne pas abandonner la procédure en cours.
Vous avez des questions concernant la gestion de vos fichiers de données à caractère personnel contactez : http://www.haas-avocats.com/consulter-un-avocat/