Certifier la conformité aux autorisations uniques de la CNIL

2.6 Les Autorisations uniques sont-elles auditables en l'état ?

Nous sommes bien conscients que vouloir faire des Autorisations uniques des référentiels auditables relève du détournement de finalité dans la mesure où cette éventualité n'a pas été prévue au moment de leur rédaction. Les commentaires développés ci-après doivent être relativisés dans ce sens.

Les Autorisations uniques ne constituent pas un référentiel unique. Leur nombre évolue en fonction des sujets qui apparaissent ou disparaissent. On ne peut pas parler d'une norme mais plutôt d'un corpus normatif. Ces autorisations uniques traitant à chaque fois d'un sujet différent, on retrouve la même diversité que dans le monde de la normalisation.

Malgré ces limites dont nous avons pleinement conscience mais qui ne nous semblent en aucun cas rédhibitoires, il nous a semblé intéressant d'analyser celle des Autorisations uniques qui synthétisait le mieux à nos yeux les opportunités et les limites de l'auditabilité des Autorisations uniques sous leur forme actuelle.

L'Autorisation unique N°005 (AU-005) relative à certains traitements de données à caractère personnel mis en oeuvre par les établissements de crédit pour aider à l'évaluation et à la sélection des risques en matière d'octroi de crédit nous nous parait ntéressante pour quatre raisons principales :

- l'AU-005 s'applique au score ou scoring de crédit qui est la fois une procédure mais peut être produit. Les systèmes de score étant aujourd'hui souvent des progiciels⁸¹.

- l'AU-005 reprend le formalisme des autres Autorisations uniques tout en proposant un mode de présentation sous forme de tableau qui nous a semblé intéressant.

81 Progiciels d'analyse du risque dont en autres la société américaine Experian s'est d'ailleurs fait une spécialité. Son offre en la matière est relativement complète et peut être consultée sur son site http://www.experian-da.com/solutions/customer management.html

SECTEUR CONCERNÉ BANQUE - FINANCE - CRÉDIT

Responsable du traitement Tout établissement de crédit

52

- Elle s'inscrit dans le mode rédactionnel commun aux autres Autorisations uniques tout en proposant une approche plus «normative» fait de points successifs et de verbe à l'infinitif.

- Elle définit clairement un certain nombre d'objectifs dont certians soulevent des questions d'interprétation qui prêtent à conséquences.

2.6.1 Un formalisme proche de celui recommandé par les institutions de

normalisation

L'AU-005 ne traite que d'un seul sujet comme le préconise le point 5.1 de la directive ISO/CEI partie 2.

Elle est pourvue d'un titre précis et compréhensible qui va du général au particulier comme le suggère également le point 5.1 de la directive ISO/CEI partie 2.

La présentation sous forme de tableau facilite la lecture. Ce qui rejoint la recommandation de l'ISO défini dans le point 6.6 de la directive ISO/CEI partie 2.

Elle contient un avant-propos qui spécifie «sans ambiguïté le sujet traité, les aspects couverts et les limites d'application du document» et ne contient «ni exigences, ni recommandations, ni figures, ni tableaux. » comme le recommande le point 6.2.

SECTEUR CONCERNÉ BANQUE - FINANCE - CRÉDIT

Responsable du traitement. Tout établissement de crédit

Finalités des traitements. Seuls peuvent faire l'objet d'un engagement de conformité à la présente Autorisation

unique les traitements automatisés relatifs à l'élaboration, à l'actualisation et à l'utilisation de modèles de score pour l'attribution de prêts personnels, de crédits à la consommation, de crédits immobiliers ou professionnels, lorsque ceux-ci visent à :

- mesurer le risque statistique de défaut de remboursement qui correspond aux demandes de crédit (ou de moyen de paiement adossé à un contrat de crédit) présentées par des clients personnes physiques ;

- apporter une aide à la sélection des demandes dont le niveau de risque, ainsi évalué, permet la conclusion d'un contrat de crédit, sous la seule réserve de la production de pièces justificatives.

Le recours aux verbes à l'infinitif ainsi qu'aux verbes devoir et pouvoir indiquent clairement les objectifs de l'Autorisation Unique. Ce qui rejoint les recommandations de l'ISO et du BSI en matière de rédaction.

Finalités des traitements. Conformément à l'article 10 de la loi du 6 janvier 1978, le résultat du score ne peut, en

toute hypothèse, avoir qu'un caractère indicatif lorsqu'il ne conclut pas à l'attribution du crédit sous la seule réserve de la production de pièces justificatives.

Les traitements d'aide à la décision ne peuvent être mis en oeuvre par les établissements de crédit que selon l'une des modalités suivantes :

- dans leurs agences commerciales ou autres services chargés de l'instruction des demandes de crédit ;

- directement à partir de leur site internet ou d'un site internet marchand, sur l'initiative du client ;

- dans les locaux d'un apporteur d'affaires ; - par voie de démarchage à domicile.

53

Bien que la notion d'objectifs et de points de contrôle ne soient pas explicitement prévus dans le texte de l'AU-005, le mode de rédaction de celle-ci permet à notre sens de les extrapoler. On peut en effet considérer que les finalités, les données, les personnes, les tiers et les durées autorisées dans l'Autorisation uniques sont autant d'objectifs à respecter.

Les points de contrôle quant à eux peuvent être extrapolés par opposition. Autrement dit, on peut considérer qu'ils sont sous entendus :

- lorsque l'objectif consiste à limiter les finalités du traitement, le point de contrôle consiste à vérifier que le ou les traitements relevant de cette Autorisation unique n'ont pas d'autres finalités que celle(s) qui a (ont) été spécifiquement prévu(es),

- lorsque l'objectif consiste à limiter les données collectées dans le traitement, le point de contrôle consiste à vérifier que chacun des traitements ne contient pas d'autres données que celles qui ont été spécifiquement prévues,

Dès lors que l'on accepte cette interprétation, on peut considérer que l'AU-005 est conforme aux attentes du point 6 .7 de la directive ISO/CEI partie 2 lorsqu'elle précise que les « normes( ..). ne doivent pas inclure d'autres aspects relatifs à l'évaluation de la conformité que les dispositions d'essai des produits, des processus ou des services spécifiés. »

Pour ce qui est de l'évaluation de la conformité ou pour le dire autrement de la métrique a considérer, il apparait possible de répondre par «oui» ou par «non» à la majorité des points de contrôle de l'Autorisation Unique.

Enfin, il nous semble que l'on peut affirmer que l'AU-005 établit ces objectifs en terme de performance et non pas en termes de conception ou de caractéristiques descriptives comme le préconise le point 4.2 des directives ISO/CEI Partie 2. Ainsi, lorsqu'il est dit que «Les données prises en compte pour le calcul du score sont choisies et pondérées en fonction du lien de corrélation qu'elles présentent avec le risque attaché à l'opération» on constate que l'autorisation définit bien un objectif à atteindre en terme de performance du système. Elle n'intervient pas sur la manière de parvenir à ce résultat.