Les sociétés de renseignements commerciaux, de renseignements économiques et d'informations sur la solvabilité rassemblent des informations sur les activités économiques, le crédit et la solvabilité des entreprises et des particuliers. Elles enregistrent ces informations dans des fichiers et les communiquent par écrit, par téléphone ou de manière automatisée et contre rémunération aux personnes qui en font la demande. Une part importante des demandes émane d'entreprises désireuses d'obtenir des informations sur d'autres entreprises. Mais les demandes concernent aussi très souvent des personnes exerçant une activité commerciale ou de simples particuliers.
- Que font les sociétés de renseignements commerciaux, de renseignements économiques et d'informations sur la solvabilité?
- Cette pratique est-elle licite? Même sans mon consentement?
- Les sociétés de renseignements ont-elles le droit de rassembler toutes les informations qu'elles veulent à mon sujet?
- Quelles données personnelles peuvent être traitées?
- Le PFPDT donne-t-il l'autorisation aux sociétés de renseignements pour le traitement de données?
- Combien de temps les données peuvent-elles être conservées?
- Que puis-je faire lorsqu'une société de renseignements conserve des données au-delà du délai autorisé?
- Comment puis-je savoir si des données me concernant sont traitées?
- La société de renseignements peut-elle percevoir des émoluments pour les renseignements qu'elle me fournit?
- J'ai envoyé une lettre recommandée à une société de renseignements pour lui demander de me communiquer sans délai les informations qu'elle traite à mon sujet, mais je n'ai pas reçu de réponse. Que puis-je faire?
- Comment puis-je faire rectifier des données me concernant?
- La société de renseignements refuse de rectifier les données me concernant et se borne à m'informer qu'elle les a reçues de XY. Que puis-je faire?
- J'ai oublié de régler une facture et me retrouve aujourd'hui «fiché» sur Internet comme mauvais payeur. Est-ce légal?
- Il arrive que des entreprises soient invitées à fournir un certain nombre d'informations sur elles, faute de quoi leur notation serait revue à la baisse. Une telle pratique est-elle licite?
Que font les sociétés de renseignements commerciaux, de renseignements économiques et d'informations sur la solvabilité?
Cette pratique est-elle licite? Même sans mon consentement?
Le traitement de données personnelles est licite:
- lorsque la personne concernée a donné son consentement, ou
- lorsque la personne qui traite les données peut faire valoir un intérêt prépondérant public ou privé (c'est-à-dire que l'intérêt de la personne qui traite les données est supérieur à celui de la personne dont les données sont traitées), ou
- lorsqu'une loi le prévoit.
L'art. 13, al. 2, LPD contient une liste non exhaustive des cas où un intérêt prépondérant peut entrer en ligne de compte.
Cette liste couvre aussi le cas de la société de renseignements qui traite des informations relatives au crédit d'une personne et qui transmet ces informations à des tiers. La loi précise à cet égard que les informations ne peuvent être communiquées à des tiers que si ceux-ci en ont besoin pour conclure ou exécuter un contrat avec la personne concernée. En d'autres termes, le tiers doit justifier d'un intérêt s'il veut obtenir ces données (p. ex. négociations contractuelles en cours avec la personne concernée). Il ne peut pas demander de tels renseignements dans le seul but de satisfaire sa curiosité! C'est à la société de renseignements qu'il revient d'examiner si le motif justificatif est fondé.
Une société de renseignements n'a en aucun cas le droit de traiter des données sensibles ou des profils de la personnalité.
La règle est donc la suivante: Des informations relatives à votre crédit peuvent être traitées sans votre consentement et, dans le cas d'espèce, être communiquées aux tiers qui peuvent justifier d'un intérêt particulier.
Les sociétés de renseignements ont-elles le droit de rassembler toutes les informations qu'elles veulent à mon sujet?
Les sociétés de renseignements n'ont pas le droit de recueillir ni de traiter n'importe quelle donnée personnelle vous concernant: elles doivent respecter le cadre juridique établi par la LPD.
En d'autres termes, elles doivent non seulement disposer d'un motif justificatif mais aussi respecter les principes généraux de la protection des données (art. 4 ss LPD):
1. Principe de la proportionnalité (art. 4, al. 2, LPD)
Selon ce principe, seules les données nécessaires et appropriées pour atteindre le but visé peuvent être traitées. En l'occurrence, le but du traitement des données est de transmettre des informations sur le crédit de tiers.
Les sociétés de renseignements ne peuvent donc traiter que les données qui ont un lien direct avec ce but.
2. Principe de la bonne foi (art. 4, al. 2, LPD)
Les données doivent être traitées de manière transparente pour les personnes concernées et de manière reconnaissable pour elles. La personne concernée doit pouvoir s'attendre au traitement en raison des circonstances ou en avoir été informée.
3. Principe de la finalité (art. 4, al. 3, LPD)
Les données personnelles ne peuvent être traitées que dans le but qui a été indiqué lors de leur collecte, qui est prévu par une loi ou qui ressort des circonstances.
4. Collecte reconnaissable (art. 4, al. 4, LPD)
La collecte de données personnelles, et en particulier les finalités du traitement, doivent être reconnaissables pour la personne concernée.
5. Principe de l'information (art. 4, al. 5)
Lorsque son consentement est requis pour justifier le traitement de données personnelles la concernant, la personne concernée ne consent valablement que si elle exprime sa volonté librement et après avoir été dûment informée.
6. Exactitude des données (art. 5, al. 1, LPD)
Lorsqu'elle traite des données personnelles, la société de renseignements doit s'assurer qu'elles sont correctes.
7. Droit de requérir la rectification de données (art. 5, al. 2, LPD)
Les personnes concernées peuvent requérir la rectification immédiate de données inexactes.
8. Sécurité des données
Les sociétés de renseignements doivent prendre les mesures organisationnelles et techniques qui s'imposent pour éviter que des personnes non autorisées aient accès aux données et puissent les modifier.
9. Droit d'accès
Toute personne peut demander à la société de renseignements de lui communiquer les données qui la concernent.
Quelles données personnelles peuvent être traitées?
Les sociétés de renseignements ne peuvent rassembler que les données:
- qui servent à l'identification de la personne concernée, et
- qui permettent d'apprécier le crédit d'une personne.
Il s'agit en particulier des données suivantes :
nom, prénom, date de naissance, adresse actuelle (rue, NPA et localité), poursuites, faillites, crédits non remboursés, montants, tranches, demandes de crédits rejetées, etc.
Une société de renseignements n'a en principe le droit de traiter que des données se rapportant à la personne concernée. En d'autres termes, elle ne peut traiter des données relatives à d'autres personnes telles que le conjoint, les enfants ou les grands-parents de la personne concernée, à moins que ces informations aient un lien direct avec le crédit de cette personne.
Il est à noter par ailleurs qu'il est interdit de traiter des données sensibles ou des profils de la personnalité dans le cadre d'une appréciation du crédit d'une personne.
Ainsi, le traitement d'une donnée telle que le lieu d'origine - pour ne prendre qu'un exemple - n'est ni approprié ni nécessaire dans ce contexte, car il s'agit d'une information que les éventuels cocontractants ne connaissent que rarement et qui ne permet donc guère d'identifier la personne concernée.
Le PFPDT donne-t-il l'autorisation aux sociétés de renseignements pour le traitement de données?
De nombreuses sociétés de renseignements précisent à leurs clients et aux personnes concernées que leur activité a été approuvée par le PFPDT et qu'elle fait l'objet de contrôles réguliers de sa part. Il arrive aussi que les sociétés de renseignements se vantent sur leur site Internet du fait que le PFPDT a expressément approuvé l'ensemble de leur offre. Il convient de se méfier de ce genre d'affirmations. Selon la LPD, toute personne qui traite des données personnelles est responsable de ses actes et des opérations relatives à ces données. Aucune loi ne donne au PFPDT la compétence d'approuver l'offre d'une société de renseignements ou d'autoriser une prestation. La vérité est simplement que les sociétés de renseignements sont tenues de déclarer tous leurs fichiers au PFPDT (art. 11a al. 3 LPD).
Combien de temps les données peuvent-elles être conservées?
La LPD ne règle pas expressément la durée de conservation des données relatives au crédit. Le principe applicable est celui de la proportionnalité. En d'autres termes, les données personnelles ne peuvent être conservées que tant qu'elles sont nécessaires à l'appréciation du crédit de la personne concernée.
Nous vous encourageons à écrire à la société de renseignements pour lui demander combien de temps les données vous concernant seront conservées.
Par ailleurs, vous trouverez de plus amples informations sur les délais de conservation auprès de la centrale d'information de crédit.
Que puis-je faire lorsqu'une société de renseignements conserve des données au-delà du délai autorisé?
Demandez lui par écrit la destruction immédiate de ces données. Si, dans un cas tout à fait clair, la société de renseignements refuse d'obtempérer, vous pouvez saisir le juge civil de votre lieu de domicile (mais attention: dans la plupart des cantons, une avance est exigée sur les frais de procédure).
Comment puis-je savoir si des données me concernant sont traitées?
Vous avez le droit en tout temps (et sans motif justificatif) de demander à la société de renseignements de vous communiquer dans un délai de 30 jours les données qu'elle traite à votre sujet.
La société de renseignements peut-elle percevoir des émoluments pour les renseignements qu'elle me fournit?
Les renseignements doivent en principe être fournis gratuitement (cf. art. 8, al. 5, LPD). Dans deux cas toutefois, des émoluments peuvent être perçus (art. 2 al. 1 OLPD), à savoir:
- lorsque la communication des renseignements demandés occasionne un volume de travail considérable, ou
- lorsque le requérant dépose plus d'une demande en l'espace de douze mois et qu'il ne peut justifier d'un intérêt légitime à obtenir une nouvelle fois des renseignements.
Le montant prélevé s'élève à 300 francs au maximum. Le requérant est préalablement informé du montant et peut retirer sa requête dans les dix jours.
Il est à noter que la société de renseignements ne peut invoquer un volume de travail considérable s'il s'avère que ses fichiers sont mal organisés.
Si la perception d'un émolument ou son montant ne vous paraissent pas justifiés, vous pouvez saisir le juge civil (art. 15, al. 4, LPD).
J'ai envoyé une lettre recommandée à une société de renseignements pour lui demander de me communiquer sans délai les informations qu'elle traite à mon sujet, mais je n'ai pas reçu de réponse. Que puis-je faire?
De nombreuses sociétés de renseignements ne répondent pas aux demandes de ce type, que ce soit sciemment ou non. Or, la LPD et l'OLPD sont très claires sur ce point: une réponse doit être envoyée au requérant dans les 30 jours suivant la réception de la demande.
A l'échéance de ce délai, vous pouvez saisir le tribunal civil de votre lieu de domicile, qui statuera sur l'action en exécution du droit d'accès (art. 15, al. 4, LPD).
Comment puis-je faire rectifier des données me concernant?
Si, sur la base des renseignements que l'on vous a fournis, vous constatez que des données vous concernant sont inexactes, vous pouvez exiger de la société de renseignements qu'elle les rectifie ou les supprime (art. 5, al. 2, LPD en relation avec l'art. 15). Le droit à la rectification de données n'implique pas que vous fournissiez les données correctes. Il vous suffit de prouver que les données concernées sont inexactes.
Le système informatique de la société de renseignements doit être en mesure de garantir, lorsqu'il s'avère que des données sont inexactes, que toutes les personnes qui ont reçu ces données soient informées des rectifications, afin que la personne concernée ne subisse aucun préjudice. En sa qualité de maître du fichier, la société de renseignements est responsable de tout dommage éventuel.
Si nécessaire, vous pouvez saisir le juge civil de votre lieu de domicile pour qu'il fasse rectifier les données (mais attention: dans la plupart des cantons, une avance est exigée sur les frais de procédure).
Vous trouvez ici une lettre-type pour demander la rectification de données inexactes. Exposez brièvement les faits et joignez des copies des éventuels moyens de preuve à votre envoi.
La société de renseignements refuse de rectifier les données me concernant et se borne à m'informer qu'elle les a reçues de XY. Que puis-je faire?
Il arrive régulièrement que les sociétés de renseignements indiquent aux personnes concernées que les données inexactes leur ont été fournies par le particulier ou l'entreprise XY, auxquels elles renvoient en faisant valoir qu'elles ne peuvent pas prendre de mesures elles-mêmes car elles agissent sur mandat de XY. Il importe peu de savoir si les affirmations de la société de renseignements sont exactes. Car, du fait simplement que la société de renseignements et le particulier ou l'entreprise XY traitent des données au sens de la loi sur la protection des données, vous êtes en droit d'exiger des uns et des autres qu'ils rectifient les données en question (pour la procédure, voir ci-avant, rubrique « Rectification de données inexactes»)
Aux termes de la LPD, il incombe à quiconque traitant des données personnelles de pourvoir à la protection de ces données. Dans le cas précis, les règles suivantes s'appliquent:
- le particulier ou l'entreprise XY porte (uniquement) la responsabilité de la communication des données à la société de renseignements (= une forme de traitement);
- la société de renseignements porte la responsabilité de la réception de ces données, des autres étapes du traitement et de leur communication à des tiers;
- tous les acteurs impliqués sont tenus de s'assurer de l'exactitude des données personnelles qu'ils traitent;
- il en découle qu'ils n'ont le droit de communiquer que des données exactes.
J'ai oublié de régler une facture et me retrouve aujourd'hui «fiché» sur Internet comme mauvais payeur. Est-ce légal?
Il est interdit de publier le nom des mauvais payeurs. Rendre publiques (p. ex. sur Internet ou dans une vitrine) les données personnelles d'un mauvais payeur est contraire à la LPD, parce qu'il n'existe pas de motif justifiant une telle mesure et que le principe de la proportionnalité n'est pas respecté.
Ceci vaut tant pour la publication de l'identité de la personne que pour la publication des données liées à la dette (factures impayées, rappels, poursuites, etc.).
Engagez la personne responsable à mettre sans délai un terme à la publication. Si elle n'obtempère pas, vous pouvez saisir le juge (cf. art. 15 LPD).
Il arrive que des entreprises soient invitées à fournir un certain nombre d'informations sur elles, faute de quoi leur notation serait revue à la baisse. Une telle pratique est-elle licite?
En procédant de la sorte, les sociétés de renseignements comptent sur l'effet de surprise. Car, à première vue, il peut paraître avantageux pour des dirigeants de voir leur entreprise bénéficier d'une bonne notation auprès d'une société de renseignements, et ils ne songent pas au fait qu'ils livrent ainsi de nombreuses informations fort intéressantes à la société de renseignements.
Rien n'oblige une entreprise à fournir de telles informations sur elle. Si une entreprise refuse de fournir à une société de renseignements les données financières que celle-ci lui a demandées, la société n'a pas le droit de lui attribuer automatiquement une mauvaise notation. Une telle pratique est contraire au principe de la bonne foi. En cas de mauvaise notation, les tiers doivent connaître les critères sur la base desquels la notation a été faite, à savoir - dans le cas précis - que la société de renseignements ne disposait pas de certaines données financières de l'entreprise.
Si une entreprise obtient une mauvaise note parce qu'elle a refusé de fournir certaines informations, et que cette note est communiquée à des tiers, il y a atteinte illicite à la personnalité, atteinte qui peut être poursuivie en justice conformément à l'art. 15 LPD.