Actualités

Actualité La Cnil modifie l’autorisation unique 005 encadrant le « credit scoring » Un établissement de crédit qui met en œuvre un traitement de données à caractère personnel doit effectuer des formalités préalables auprès de la Cnil au titre de l’article 22 de la loi n°78-17 du 6 janvier 1978 modifiée. En matière d’octroi de crédit, les établissements de crédit évaluent le risque de défaillance des emprunteurs à l’aide de modèles statistiques établis par catégories d’emprunteur et de crédit. Il s’agit de la technique dite du « credit scoring ». Cette technique implique le traitement automatisé de données à caractère personnel relatives à l’emprunteur, aux membres de son foyer et à ses garants. Le crédit sera ainsi octroyé à un demandeur lorsque le risque statistique de défaillance qui lui est attaché sera jugé satisfaisant. Dans la mesure où le « credit scoring » est un traitement qui est susceptible « d’exclure des personnes du bénéfice d’un droit, d’une prestation ou d’un contrat en l’absence de toute disposition législative ou réglementaire », l’établissement de crédit ayant recours à cette technique devra, conformément à l’article 25 de la loi Informatique et libertés, déposer une demande d’autorisation auprès de la Cnil. Le 2 février 2006, la Cnil a publié une autorisation unique AU 005 relative aux traitements mis en œuvre par les établissements de crédit pour aider à l’évaluation et à la sélection des risques en matière d’octroi de crédit. Si un établissement de crédit remplit toutes les conditions posées par l’AU 005, il n’aura pas à déposer de demande d’autorisation, il suffira qu’il procède à un engagement de conformité à l’autorisation unique. S’il ne répond pas à toutes les conditions, il devra déposer une demande d’autorisation qui pourra exposer les seules caractéristiques non conformes à l’AU 005 de son traitement. L’autorisation unique AU 2005 a été modifiée le 9 juillet 2008 afin notamment d’interdire la prise en en compte du sexe du demandeur de crédit, et ce afin de lutter contre la discrimination. Le modèle de score utilisé ne devra pas avoir pour conséquence d’exclure ou de disqualifier une demande sur le fondement d’une variable ne se rapportant pas à la situation économique et financière des personnes physiques. L’établissement de crédit devra également permettre au demandeur qui s’est vu refuser l’octroi d’un crédit d’avoir un entretien visant à réexaminer sa demande de manière non automatisée. Les personnes concernées par le traitement (demandeurs du crédit, garants, etc.) devront être informées des traitements qui seraient mis en œuvre à des fins autres que l’instruction et la gestion de la demande de crédit. Enfin, lorsqu’un contrat conclu avec un commerçant est conditionné à l’acceptation d’une demande de crédit, ce commerçant apporteur d’affaires ne pourra utiliser les données du demandeur de crédit que pour la finalisation du contrat et ne pourra pas conserver ces données après la mise en place effective du financement. Si le dossier de demande de crédit est accessible en ligne, l’établissement de crédit devra créer un compte informatique provisoire et sécurisé permettant le traitement de la demande de crédit. Les établissements de crédit mettant en place de nouvelles méthodes de scoring devront donc veiller au respect de l’autorisation unique AU 005 pour pouvoir procéder à un engagement de conformité plutôt qu’à une demande d’autorisation. Autorisation unique n°AU-005 modifiée (Mise en ligne Octobre 2008) Chloé Torres Avocate, directeur du département Informatique et libertés chloe-torres@lexing.law@lexing.law

Informatique Les droits et obligations de l’utilisateur Les obligations de l’utilisateur dans l’expression de ses besoins Ayant conclu un contrat de fourniture d’équipement informatique dénommé « contrat de plan d’équipement », un grossiste en vêtements de prêt-à-porter assigna la société informatique à l’origine de la prestation en résolution du contrat, estimant que l’équipement était inadéquat. Le rapport d’expertise ayant conclu que l’inadaptation de l’équipement aux besoins du client s’expliquait par une insuffisante étude de ceux-ci par le grossiste et que les dysfonctionnements constatés pouvaient provenir d’une mauvaise utilisation ou d’une panne électrique, la cour d’appel a rejeté les demandes du grossiste. Le comportement du client a été qualifié d’irresponsable par les juges et l’échec du projet informatique a été mis à sa charge. Cette affaire démontre que l’absence de cahier des charges et de contrat de maintenance est jugée à l’heure actuelle anormale. CA Paris, 5e ch. civ. C, 6 novembre 1992 (Mise en ligne Mai 1995) Autres brèves Le partage des responsabilités dans l’échec d’un projet informatique (Mise en ligne Mai 2003) Les droits de l’utilisateur : la décompilation (Mise en ligne Décembre 1999) Le paiement du prix et l’exception d’inexécution (Mise en ligne Mai 1995) Les droits de l’utilisateur : la copie de sauvegarde (Mise en ligne Mai 1991)

CRDS : La Commission consultative de revue du spectre (CRDS) élabore des rapports de synthèse sur l’emploi à court terme du spectre et réalise des analyses sur les besoins à long terme. Elle est rattachée à la Commission de synthèse et de prospective en radiocommunication.

COMSIS : La Commission consultative des sites et servitudes (COMSIS) participe à l’instruction des dossiers d’implantation, de transfert ou de modification de stations radioélectriques soumis à l’avis ou à l’accord de l’Agence nationale des fréquences (ANFR) par le service des Sites et Servitudes qui reçoit de chaque opérateur souhaitant implanter un émetteur un dossier technique rassemblant des informations enregistrées dans une base de données gérée par ce service (Cartoradio). Elle a également pour rôle de définir les procédures et les modes opératoires en vue d’une meilleure compatibilité électromagnétique.

CPF : La Commission consultative de planification des fréquences (CPF) reçoit, instruit et coordonne les demandes de fréquences des différents ministères et autorités affectataires. Elle a notamment pour fonction d’examiner l’ensemble des problématiques afférentes à l’emploi et la répartition des fréquences ayant des incidences nationales ou internationales, de donner des instructions à la Commission d’Assignation des fréquences (CAF) et de connaître des recours introduits à son encontre. A cette commission sont rattachées 4 sous-commission, à savoir : la Commission d’Assignation des fréquences (CAF) ; la Commission du contrôle du spectre (CCDS) ; la Commission de coordination aux frontières (CCF) ; la Commission d’instruction des demandes d’assignation de fréquence à un système satellitaire (CSAT).

Informatique et libertés Secteur police, gendarmerie et douane Elargissement du champ d’application du FIJAIS Un décret, rendu le 6 octobre 2008, est venu compléter les dispositions du décret du 30 mai 2005 relatif au fichier judiciaire national automatisé des auteurs d’infractions sexuelles (FIJAIS) et au casier judiciaire national automatisé, dont le champ d’application est étendu par le nouveau dispositif. La liste des personnes susceptibles de se prévaloir d’un droit d’accès et de consultation du fichier est en effet prolongée. De plus, le texte, qui référence désormais les auteurs de violences, conjointement aux délinquants sexuels, institue une obligation de présentation mensuelle aux autorités compétentes à l’égard des condamnés les plus dangereux, notamment les récidivistes. Les prescriptions afférentes à la conservation des informations insérées au casier judiciaire national automatisé sont remaniées. Les informations figurant au casier judiciaire national automatisé peuvent désormais être effacées lorsque la juridiction l’a expressément ordonné et que la condamnation concernée a fait l’objet d’une réhabilitation. Intégrant les apports successifs des lois du 9 mars 2004 portant adaptation de la justice aux évolutions de la criminalité, du 12 décembre 2005 relative au traitement de la récidive des infractions pénales et du 5 mars 2007 relative à la prévention de la délinquance, le nouveau dispositif a fait l’objet d’un avis favorable de la Cnil. Les articles visés, faisant partie intégrante de la partie réglementaire du code de procédure pénale, ont été remaniés en conséquence. Décret n°2008-1023 du 6 octobre 2008 Délibération n°2007-326 du 8 novembre 2007 Décret n°2005-627 du 30 mai 2005 (Mise en ligne Octobre 2008) Autres brèves Quant EDVIGE est rebaptisé EDVIRSP… (Mise en ligne Octobre 2008) Quel avenir pour les fichiers des renseignements généraux ? (Mise en ligne Juin 2008)

CE1 : La Commission d’études 1 (CE 1) – Gestion du spectre est l’une des sept Commissions d’études de l’Union internationale des télécommunications (IUT). Elle poursuit ses travaux en Suisse, à Genève, en vue de préparer les bases techniques des conférences des radiocommunications, d’élaborer des projets de recommandations et de rédiger des manuels propres à son domaine de compétence : la gestion du spectre.

WIMAX : Worldwide interoperability for microwave access.

WAPECS : Wireless access policy for electronic communication services.

W-CDMA : Wideband code division multiple access.

VHF : Very high frequencies.

UWB : Ultra wide band.

UMTS : Universal mobile telecommunication system.

UHF : Ultra high frequencies.

ULB : Ultra large bande.

TNT : Télévision numérique terrestre.

TNRBF : Tableau national de répartition des bandes de fréquences.

TDD : Time Division Duplex.

SRD : Short Range Devices.