CNIL, Délibération du 6 avril 1993, n° 93-032

La Commission Nationale de l’Informatique et des Libertés,
Vu la Convention du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;
Vu la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;
Vu le décret n° 78-774 du 17 juillet 1978 pris pour l’application de la loi susvisée ;
Vu la délibération n° 80-10 du 1^er avril 1980 portant recommandation relative à la mise en oeuvre du droit individuel d’accès aux fichiers automatisés ;
Vu la déclaration de traitement automatisé d’informations nominatives effectuée par la caisse régionale de crédit agricole (CRCA) conformément aux dispositions de l’article 16 de la loi susvisée (n° 78-17) ;
Vu la plainte n° 92-1316 et les correspondances y afférentes ;
Vu la délibération n° 92-066 du 7 juillet 1992 portant sur une vérification sur place ;
Vu le compte-rendu de la mission de contrôle effectuée le 2 octobre 1992 à la CRCA de Dordogne et les observations en réponse de la caisse régionale ainsi que de la caisse nationale de crédit agricole ;
Après avoir entendu Monsieur Jean HERNANDEZ, Commissaire en son rapport et Madame Charlotte-Marie PITRAT, Commissaire du Gouvernement en ses observations ;

Considérant que la CRCA de Dordogne a mis en oeuvre un traitement automatisé d’informations nominatives dont la finalité est la gestion commerciale de sa clientèle ;
Considérant que cette application fait usage de la technique de la segmentation comportementale, permettant de constituer au sein de cette clientèle des classes homogènes de clients, en fonction des comportements observés à partir de diverses variables se rapportant à leurs relations avec la Caisse ;
Considérant que lors de la vérification effectuée sur place à la suite d’une plainte portant notamment sur le refus du droit d’accès aux données de la segmentation, il a été constaté que celle-ci pouvait faire apparaître dans la description des segments des qualificatifs défavorables sur les individus regroupés et que l’appartenance aux segments figurait dans les fichiers de gestion des clients ;
Considérant que si l’on ne saurait faire grief à une entreprise de chercher à caractériser sa clientèle et de procéder à des tris en fonction de variables pertinentes pour orienter sa stratégie et son action commerciale, la segmentation comportementale doit toutefois tenir compte dans certains de ces aspects des dispositions de la loi du 6 janvier 1978 et de la Convention du Conseil de l’Europe susvisée.
Considérant que cette segmentation est à l’origine de profils et doit être pratiquée dans le respect de l’article 2 alinéa 2 de la loi du 6 janvier 1978 qui prévoit qu’aucune décision administrative ou privée impliquant une appréciation sur un comportement humain ne peut avoir pour seul fondement un traitement automatisé d’informations donnant une définition du profil ou de la personnalité de l’intéressé ; que, dans ces conditions, la définition ou la description des segments ne doit pas être formulée de telle façon qu’il en résulterait des décisions inéluctables à l’égard des personnes concernées ou des instructions tendant à l’exclusion systématique de tous les membres d’un même segment ;

Considérant que dans l’hypothèse où une décision est opposée au client sur le fondement de la segmentation comportementale, celui-ci doit pouvoir connaître et éventuellement contester les informations et les raisonnements utilisés dans le traitement en application de l’article 3 de la loi du 6 janvier 1978 ;
Considérant, s’agissant de l’application des chapitres IV et V de la loi du 6 janvier 1978, que le segment, dans la mesure où il résulte de traitements statistiques, n’appartient pas aux informations de base recueillies auprès des personnes intéressées et, en conséquence, ne constitue pas à lui seul une information nominative ; qu’il le devient toutefois dès lors qu’il est associé à une personne identifiée ou indirectement identifiable et figure dans un traitement automatisé ; qu’il ne s’agit pas d’une information estimative ou prévisionnelle visée par la recommandation du 1^er avril 1980 susvisée mais d’une qualification des personnes concernées ; qu’il doit, dès lors, répondre aux conditions de la loi ;
Considérant en conséquence que dans ce cas, cette information doit être adéquate, pertinente et non excessive par rapport aux finalités qui ont conduit à son enregistrement ; qu’en particulier, les finalités qui ont présidé à la collecte des informations de base ne doivent pas être méconnues ; que la segmentation ne doit pas reposer sur des informations dont la collecte est interdite ou qui seraient complètement étrangères aux activités de l’entreprise, notamment dans la mesure où elles concerneraient des éléments de la vie privée dont elle n’a pas à connaître ;
Considérant de même que le droit d’accès doit pouvoir pleinement s’exercer et que les personnes concernées doivent pouvoir avoir connaissance des mentions relatives à la segmentation qui figurent dans le fichier en cause et en obtenir la signification sans qu’il y ait lieu de rechercher si des décisions ou des résultats leur ont été opposés sur la base de ces informations ;

Considérant que le droit de rectification ne peut porter principalement que sur des données de base, à moins que l’affectation de l’intéressé à l’un des segments ne soit manifestement erronée ;
Considérant que les droits d’accès et de rectification doivent pouvoir s’exercer dans les conditions précédemment énoncées, sans que l’établissement puisse opposer le secret des affaires et l’intérêt économique ou commercial de l’entreprise ;
Considérant que l’établissement est tenu d’observer le principe de confidentialité posé par la loi et ne doit pas procéder à la cession des données relatives à l’affectation d’une personne à un segment ;
Considérant que celle-ci doit faire l’objet d’une mise à jour périodique de façon à garantir son exactitude ;

PREND ACTE de ce que la Caisse Régionale de Crédit Agricole a déclaré modifier la description de ses segments et lui demande de la lui communiquer ;
 – RAPPELLE à la Caisse Régionale de Crédit Agricole de Dordogne l’obligation qui lui incombe de respecter les exigences de la loi du 6 janvier 1978, et qu’il lui appartient, pour ce faire, de faire droit aux demandes d’accès dans les conditions évoquées ci-dessus.
Jacques FAUVET