Vu la requête sommaire et le mémoire complémentaire, enregistrés le 22 février 1999 et le 22 juin 1999 au secrétariat du contentieux du Conseil d'Etat, présentés pour l'ASSOCIATION FRANCAISE DES SOCIETES FINANCIERES, dont le siège social est ... Armée à Paris (75854 Cedex 17), l'ASSOCIATION FRANCAISE DES BANQUES, dont le siège social est ... (75440 Cedex 09) et l'ASSOCIATION FRANCAISE DES ETABLISSEMENTS DE CREDIT, dont le siège social est ... ; l'ASSOCIATION FRANCAISE DES SOCIETES FINANCIERES, l'ASSOCIATION FRANCAISE DES BANQUES et l'ASSOCIATION FRANCAISE DES ETABLISSEMENTS DE CREDIT demandent au Conseil d'Etat d'annuler pour excès de pouvoir la délibération n° 98-101 du 22 décembre 1998 de la Commission nationale de l'informatique et des libertés portant modification de la recommandation relative à la gestion des crédits ou des prêts consentis à des personnes physiques par les établissements de crédit ;
Vu les autres pièces du dossier ;
Vu la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales, notamment son article 6 ;
Vu le traité du 25 mars 1957 instituant la Communauté européenne ;
Vu la convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel faite à Strasbourg le 28 janvier 1981 et publiée par le décret n° 85-1203 du 15 novembre 1985 ;
Vu le code pénal ;
Vu la loi n° 78-17 du 6 janvier 1978 ;
Vu le code de justice administrative ;
Après avoir entendu en séance publique :
- le rapport de M. Mochon, Maître des Requêtes ;
- les observations de la SCP Célice, Blancpain, Soltner, avocat de l'ASSOCIATION FRANCAISE DES SOCIETES FINANCIERES et autres,
- les conclusions de Mme Maugüé, Commissaire du gouvernement ;
Considérant que l'ASSOCIATION FRANCAISE DES SOCIETES FINANCIERES, l'ASSOCIATION FRANCAISE DES BANQUES et l'ASSOCIATION FRANCAISE DES ETABLISSEMENTS DE CREDIT défèrent au Conseil d'Etat la délibération du 22 décembre 1998 par laquelle la Commission nationale de l'informatique et des libertés (CNIL) a entendu modifier sa précédente délibération du 5 juillet 1988 portant adoption d'une recommandation relative à la gestion des crédits ou des prêts consentis à des personnes physiques par les établissements de crédit, en lui apportant deux additifs, qui énoncent respectivement, le premier, "que la nationalité" du demandeur "ne peut constituer une variable entrant en ligne de compte dans" le calcul automatisé de l'appréciation du risque, "qu'elle soit considérée sous la forme "Français, ressortissant CEE, autres" ou a fortiori enregistrée en tant que telle", et, le second, que "dans le cadre de l'appréciation du risque et au-delà du calcul automatisé qui en est fait, seule la prise en compte de la stabilité de la résidence du demandeur de crédit sur le territoire français constitue une information pertinente" ; que les associations requérantes soutiennent que la Commission nationale de l'informatique et des libertés ne pouvait légalement estimer, comme elle l'a fait, que la prise en compte de la nationalité dans le calcul du "score" destiné à apprécier le risque associé à une demande de crédit ne constituait pas une donnée "adéquate, pertinente et non excessive" au sens de l'article 5 de la convention pour la protection des personnes à l'égard du traitement automatisé de données à caractère personnel signée à Strasbourg le 28 janvier 1981 ;
Sur l'exception d'irrecevabilité opposée à la requête par la CNIL :
Considérant qu'il ressort des termes mêmes de la délibération attaquée, et notamment de son dispositif, qu'elle ne se borne pas à commenter les règles que la CNIL a pour mission de mettre en oeuvre, mais qu'elle ajoute à l'ordonnancement juridique ; que les conclusions tendant à son annulation sont par suite recevables ;
Sur la légalité de la délibération attaquée et sans qu'il soit besoin d'examiner les autres moyens de la requête :
Considérant qu'aux termes de l'article 5 de la convention pour la protection des personnes à l'égard du traitement automatisé de données à caractère personnel signée à Strasbourg le 28 janvier 1981, ratifiée en vertu de la loi du 19 octobre 1982 et publiée au Journal officiel en vertu du décret du 15 novembre 1985 : "les données à caractère personnel faisant l'objet d'un traitement automatisé sont :
... c. adéquates, pertinentes et non excessives par rapport aux finalités pour lesquelles elles sont enregistrées" ;
Considérant que, pour l'application de ces stipulations, les données pertinentes au regard de la finalité d'un traitement automatisé d'informations nominatives sont celles qui sont en adéquation avec la finalité du traitement et qui sont proportionnées à cette finalité ;
Considérant que le traitement automatisé d'informations nominatives en cause est destiné à aider à la prise des décisions d'octroi ou de refus d'un prêt en contribuant à évaluer le risque qu'une demande présente pour l'établissement prêteur ; qu'il consiste à combiner dans un calcul automatisé divers critères tirés des renseignements que les auteurs de demandes fournissent sur leur situation familiale, professionnelle et bancaire ;
Considérant que la prise en compte de la nationalité d'un demandeur de prêt comme élément d'appréciation d'éventuelles difficultés de recouvrement des créances correspond à la finalité d'un tel traitement ; qu'il ne ressort pas des pièces du dossier relatives aux conditions dans lesquelles cet élément est combiné avec les autres données du calcul automatisé du risque que cette prise en compte soit disproportionnée à son objet ; qu'ainsi c'est à tort que la CNIL s'est fondée sur ce que la nationalité du candidat à un crédit ne constituerait pas une donnée "pertinente, adéquate et non excessive" au regard de la finalité du traitement ;
Considérant, il est vrai, que la CNIL a également entendu se fonder sur les stipulations du traité instituant la Communauté économique européenne prohibant les discriminations fondées sur la nationalité et sur les articles 225-1 et 225-2 du code pénal ;
Mais considérant que la référence à la nationalité comme l'un des éléments de pur fait d'un calcul automatisé du risque, dont la mise en oeuvre n'entraîne pas le rejet d'une demande sans l'examen individuel de celle-ci, ne constitue pas une discrimination et dès lors n'entre pas, en tout état de cause, dans le champ d'application de l'article 6 du traité CE, devenu, après modification, l'article 12 CE ; qu'elle ne saurait davantage, en l'absence d'élément intentionnel, être regardée comme tombant sous le coup des articles 225-1 et 225-2 du code pénal ;
Considérant qu'il résulte de ce qui précède que l'ASSOCIATION FRANCAISE DES SOCIETES FINANCIERES, l'ASSOCIATION FRANCAISE DES BANQUES et l'ASSOCIATION FRANCAISE DES ETABLISSEMENTS DE CREDIT sont fondées à demander l'annulation de la délibération n° 98-101 du 22 décembre 1998 de la Commission nationale de l'informatique et des libertés portant modification de la recommandation relative à la gestion des crédits ou des prêts consentis à des personnes physiques par les établissements de crédit ;
Article 1er : La délibération n° 98-101 du 22 décembre 1998 de la Commission nationale de l'informatique et des libertés portant modification de la recommandation relative à la gestion des crédits ou des prêts consentis à des personnes physiques par les établissements de crédit est annulée.
Article 2 : La présente décision sera notifiée à l'ASSOCIATION FRANCAISE DES SOCIETES FINANCIERES, l'ASSOCIATION FRANCAISE DES BANQUES et l'ASSOCIATION FRANCAISE DES ETABLISSEMENTS DE CREDIT, à la Commission nationale de l'informatique et des libertés et au ministre de l'économie, des finances et de l'industrie.