La Cnil a reçu entre 2012 et 2014 plusieurs des plaintes de consommateurs contestant le bien-fondé de leur inscription au Fichier des Incidents de Remboursement des Crédits aux Particuliers ou le maintien de leur inscription malgré la régularisation de leur incident de paiement. L’institution a procédé à un contrôle sur place en avril dernier.
Compte tenu des manquements constatés, une procédure de sanction a été engagée. La Cnil a prononcé le 7 août 2014 un avertissement public « eu égard aux dysfonctionnements relatifs à la gestion des inscriptions et désinscriptions au FICP et au manquement relatif à la confidentialité des données des clients de la société ».
Selon la Cnil, environ 2,5 millions de personnes sont enregistrées sur ce fichier.
Suite à l’intervention de la Cnil, l’établissement bancaire a pris les mesures nécessaires pour procéder aux régularisations et aux mises à jour nécessaires.
L’inscription au FICP
Le FICP est géré par la Banque de France, sur déclaration des banques et des établissements de crédit. Il recense les incidents de remboursement caractérisés des crédits aux particuliers (crédit à la consommation, immobilier…) et les mesures de traitement des situations de surendettement. Ce fichier est obligatoirement consulté par les établissements bancaires avant d’accorder un crédit à un particulier.
Des inscriptions non justifiées et des défauts de radiation du fichier
Les établissements de crédit sont tenus d’informer la Banque de France de la régularisation des incidents de paiement ayant donné lieu à une inscription au FICP « au plus tard le quatrième jour ouvré suivant la date du paiement intégral », permettant la radiation du fichier des personnes concernées.
Or pour certains des consommateurs ayant saisi la CNIL, leur inscription au FICP avait été maintenue bien plus longtemps après la régularisation de leur incident de paiement : jusqu’à 32 mois pour l’un d’entre eux. La CNIL rappelle également que la demande de radiation du fichier doit être effectuée par la banque et non par la personne concernée.
Par ailleurs, l’établissement financier avait procédé à l’inscription de certains emprunteurs sans avoir préalablement constaté un incident de paiement caractérisé, tel que défini par la réglementation. La société a fait état de difficultés techniques pour justifier ces inscriptions. Dans le prononcé de sa sanction, la CNIL énonce que « au regard des conséquences graves que comporte, pour les personnes concernées, l’inscription au FICP, les erreurs répétées ou difficultés ponctuelles ne peuvent en aucune façon justifier d’une inscription indue dans ce fichier ».
Les pouvoirs de sanction de la Cnil
La Cnil dispose d’un pouvoir de sanction à l’encontre des manquements à la loi dont elle a connaissance. Elle dispose d’une formation contentieuse, composée de cinq membres et d’un président, qui ne peut être celui de la Cnil. Elle peut prononcer diverses sanctions : un avertissement, qui peut être rendu public, une sanction pécuniaire pouvant atteindre 300 000 euros, une injonction de cessation ou un retrait d’autorisation d’exploitation du fichier. L’établissement sanctionné dispose d’un délai de deux mois pour former un recours devant le Conseil d’Etat.
La CNIL avait précédemment prononcé un avertissement public à l’encontre de BNP Paribas, le 10 juillet 2013, en raison de radiations tardives du FICP. Certains emprunteurs étaient restés enregistrés à tort dans ce fichier, parfois pendant plusieurs années, après la régularisation de leurs impayés.