Espace Banque & Droit

La Cnil remet de nouveau le cap
sur l’utilisation du FICP

Créé le

28.03.2023

-

Mis à jour le

03.04.2023

L’utilisation du fichier des incidents de crédit aux particuliers (FICP) est affichée comme l’une des priorités de contrôle de la Cnil cette année. L’annonce devrait conduire les professionnels à auditer les inscriptions auxquelles ils ont procédé, à arrêter des politiques claires dans la gestion des incidents de remboursement et à respecter strictement les hypothèses de consultation du fichier et de traitement des données qui y figurent.

Myriam Roussille
  • Agrégée des facultés de droit, professeure Université du Mans, JS Sorbonne Affaires-Finance
  • Directrice Institut d’études judiciaires du Mans

Priorité de contrôle 2023. La Cnil vient de rendre publiques les thématiques qu’elle allait privilégier pour les contrôles qu’elle mènera en 20231. L’utilisation du fichier des incidents de crédit aux particuliers (FICP) fait partie des sujets sur lesquels elle entend se concentrer. Le cadre restrictif applicable aux inscriptions et à l’accès à ce fichier engendre de lourdes obligations pour les établissements. Mais le non-respect des règles ou le manque de diligence des établissements est source de tracas (parfois sérieux) pour les particuliers ; ils peuvent également conduire à des traitements illégaux de données personnelles qui justifient les préoccupations de l’autorité.

Cadre légal. Le fichier est encadré par un corps de règles codifiées dans le Code de consommation2 et précisées par l’arrêté du 26 octobre 2010 relatif au fichier national des incidents de remboursement des crédits aux particuliers. Contenu du fichier3, modalités d’enregistrement des données qui y figurent (incidents de paiement4 et situations de surendettement5), règles de consultation et de conservation des données6, le tout est détaillé. Les infractions à ces règles ainsi que tout retard dans les déclarations exposent les établissements à des sanctions disciplinaires de la part de l’ACPR7.

Soumission aux règles relatives à la protection des données personnelles. Mais l’ACPR n’est pas la seule intéressée par le FICP. Puisqu’il centralise des données personnelles (2 093 365 personnes étaient inscrites au FICP en 20228), le fichier est expressément soumis à la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés9. C’est pourquoi la Cnil est expressément appelée à se prononcer sur l’arrêté qui fixe les conditions dans lesquelles la Banque de France et les entreprises doivent informer les personnes concernées de leur inscription et de leur radiation10 ainsi que de leurs droits concernant ce fichier (droit d’accès et de rectification11).

Au-delà de sa mission d’accompagnement réglementaire, la Cnil se préoccupe depuis longtemps de la gestion du FICP et a adopté plusieurs recommandations en la matière12. Sa Commission des sanctions a même prononcé un avertissement public à l’encontre d’une banque pour avoir manqué à son obligation de traiter des données exactes et mises à jour13.

Utilisation du FICP. Dans sa feuille de route pour 2023, la Cnil précise que « les contrôles porteront principalement sur les conditions dans lesquelles les banques accèdent au fichier, en extraient des informations et le tiennent à jour après régularisation des incidents de paiement »14. Ne pas se méprendre : le terme « banque » n’est pas à prendre strictement car en réalité, ce ne sont pas seulement les établissements de crédit, mais aussi les sociétés de financement, les établissements de monnaie électronique et les établissements de paiement (et même les autres organismes habilités à octroyer des prêts15) qui sont potentiellement concernés.

C’est donc l’accès au fichier et l’extraction d’informations par l’ensemble des acteurs du monde du financement et du paiement qui intéressent au premier chef la Cnil.

Centralisant les informations déclarées à la Banque de France16, le FICP constitue ce faisant une mine d’informations précieuses pour les établissements qui peuvent y accéder17. S’ils doivent obligatoirement consulter le FICP avant d’octroyer un crédit à la consommation ou une autorisation de découvert de plus d’un mois, de reconduire un contrat de crédit renouvelable ou encore de consentir un crédit immobilier18, ils ont aussi le droit (la consultation est présentée comme facultative) de consulter le fichier :

– avant d’octroyer un crédit autre que ceux mentionnés supra ;

– avant l’attribution de moyens de paiement19 ;

– dans le cadre de la gestion des risques liés aux crédits souscrits par leurs clients.

Sans doute, la manière d’appréhender ces cas de consultations facultatives peut nourrir des discussions sur le comportement de certains. D’autant que l’arrêté précise que les informations recueillies ne peuvent être utilisées à d’autres fins20.

Mines d’informations pour les établissements. Le FICP est source d’informations stratégiques pour les établissements qui y ont accès, puisque toute inscription signale un doute sur la solvabilité d’un emprunteur et peut même traduire un risque de solidité voire de probité de clients potentiels. Dans le large KYC auquel les établissements sont tenus de procéder21, la possibilité de consulter le FICP est donc précieuse. Or il appert que des entités qui y ont accès le consultent dès qu’elles doivent noter un client ou valoriser un portefeuille de clients, à la suite par exemple d’un rachat de créances (opération de titrisation ou de refinancement), ou à l’octroi d’un crédit non soumis au régime du crédit à la consommation (on pense aux paiements fractionnés, en trois-quatre fois, que les professionnels s’évertuent à faire échapper à ce régime22, ou encore aux crédits à court terme dits aussi « mini-crédits »).

Mise à jour des régularisations. Comme il recense les informations sur les incidents de paiement des emprunteurs, le FICP est un canal de diffusion de données personnelles dont la gestion doit être rigoureuse. Les tracas pratiques des personnes dont le nom est inscrit, alors parfois que l’incident à l’origine de l’inscription est le fait d’un homonyme ou qu’il a été purgé, engendre même des réclamations23, voire des contentieux24. L’inscription au FICP est, en pratique, un motif de refus de crédit (qui doit, selon la Cnil, être révélé au demandeur)25 mais également un motif de refus d’ouverture de compte. C’est aussi l’une des conséquences systématiques de l’ouverture d’un dossier de surendettement qui plonge les intéressés dans la catégorie de la clientèle fragile26. Il a donc des conséquences importantes pour les particuliers. C’est pourquoi la mise à jour après régularisation des incidents doit être rigoureuse et intervenir dans les temps. Or les règles de « fichage/défichage » donnent lieu à des manquements et est source de problèmes identifiés depuis des années27.

Risques de contrôle. Si la Cnil ne dispose pas de suffisamment de moyens pour opérer des contrôles à grande échelle dans le domaine bancaire (et des paiements), elle collabore avec l’ACPR, comme avec les autres régulateurs. Ceci démultiplie les possibilités d’appréhender la gestion de l’accès au FICP et des inscriptions initiées par les établissements28 et devrait donc inciter ces derniers à prêter attention au respect des règles en la matière. n

À retrouver dans la revue
Banque et Droit Nº208
Notes :
1 Cnil, Thématiques prioritaires de contrôle 2023, 15 mars 2023 : https://www.cnil.fr/fr/thematiques-prioritaires-de-controle-2023-cameras-augmentees-applications-mobiles-fichiers-bancaires
2 C. conso., art. L. 751-1 à L. 752-3.
3 Arrêté du 26 octobre 2010 relatif au fichier national des incidents de remboursement des crédits aux particuliers, art. 1 et 2.
4 C. conso., art. L. 751-1, al. 1er ; arrêté du 26 octobre 2010 précit., art. 3 à 8.
5 Arrêté du 26 octobre 2010 précit., art. 9 à 11.
6 Arrêté du 26 octobre 2010 précit., art. 12 et 13.
Arrêté du 26 octobre 2010 précit., art. 16 ; C. monét. fin., art. L. 612-39. Déjà, l’ACPR indiquait, dans son rapport annuel 2013 (p. 96), avoir contrôlé le respect des modalités de déclaration et de radiation au fichier des incidents de remboursement des crédits aux particuliers (FICP) et avoir identifié que le périmètre de déclaration au FICP n’était pas nécessairement respecté.
8 Banque de France, Statistiques du FICP au 31 déc. 2022, 13 janv. 2023 : https://particuliers.banque-france.fr/sites/default/files/media/2023/01/13/sgfip_ppa_ficp_chiffres_cles_2022.pdf
9 C. conso., art. L. 751-1, al. 3.
10 C. conso., art. L. 751-1, al. 1er.
11 C. conso., art. L. 751-4 ; arrêté du 26 octobre 2010 précit., art. 14 et 15
12 Cnil, délib. n° 2006-174, 28 juin 2006 : RD bancaire et fin. 2006, comm. 117, note E. Caprioli ; Cnil, délib. n° 2006-245, 23 nov. 2006 : RD bancaire et fin. 2007, comm. 195, note E. Caprioli ; Cnil, délib. n° 2013-173, 19 juin 2013 : , note J. Morel-Maroger ; Cnil, n° 2014-299, 7 août 2014 : , note J. Morel-Maroger.
13 Cnil, formation restreinte, 26 janv. 2017, n° et 16-80059, avertissement public à l’encontre de la société Carrefour Banque : Gaz. Pal. 13 juin 2017, n° 297h9, p. 83, note J. Morel-Maroger.
14 Cnil, Thématiques prioritaires de contrôle 2023, précit.
15 Ceux visés par le C. monét. fin., art. L. 511-6, 5° à 8°.
16 Arrêté du 26 octobre 2010 précit., art. 1.
17 Arrêté du 26 octobre 2010 précit., art. 2.
18 La Cour de cassation a précisé que les établissements et organismes assujettis à l’obligation de consultation du FICP doivent consulter ce fichier avant toute décision effective d’octroyer un crédit , c’est-à-dire lors de la mise à disposition des fonds (et non pas nécessairement avant l’émission de l’offre ou avant la conclusion du contrat de crédit) : Cass. civ. 1re, 23 nov. 2022, n° 21-15.435, FS-B : GPL 7 févr. 2023, n° GPL445h2, note G. Valdelièvre.
19 En particulier avant de délivrer une première formule de chèques et au moment de l’attribution ou du renouvellement d’une carte de paiement.
20 Arrêté du 26 octobre 2010 précit., art. 2, III in fine et IV.
21 Pour des raisons règlementaires liées aux règles d’octroi de crédit aux particuliers, mais aussi pour des raisons bien comprises de connaissance du profil des clients.
22 Ceci dit, l’ACPR est favorable à la consultation systématique du FICP dans la mise en œuvre de solutions de paiement fractionné : Revue de l’ACPR, juill. 2022, Les enseignements de l’enquête par questionnaire menée par l’ACPR sur les solutions de crédit à court terme et de paiement fractionné : « La consultation systématique du Fichier des incidents de remboursement des crédits aux particuliers (FICP) et un contrôle accru de la capacité de remboursement du demandeur, en exigeant de ce dernier la communication d’informations sur sa situation personnelle et financière, permettraient de lutter contre le risque d’endettement excessif. »
23 Le suivi des réclamations met en évidence que les déclarations injustifiées et les radiations tardives au FICP (comme d’ailleurs au FCC) sont des points d’attention de l’ACPR au titre de sa mission de protection de la clientèle : F. Visnovsky, « Présentation – Les risques pour le système financier et les enjeux de supervision pour 2018 », janv. 2018 (disponible sur le site de l’ACPR).
24 Pour un exemple de litige lié la demande d’un client de mainlevée de son inscription au FICP : Cass. civ. 1re, 27 mars 2019, n° 17-26528, D.
25 https://www.cnil.fr/fr/le-refus-de-credit-en-questions
26 F. Visnovsky, Présentation, « Les engagements sur les frais bancaires, un élément clé de l’inclusion bancaire », nov. 2019 (disponible sur le site de l’ACPR), p. 9 : il est recommandé de « conserver un client identifié comme fragile du fait de sa recevabilité à la procédure de surendettement durant toute sa durée d’inscription au Fichier des incidents de remboursements des crédits aux particuliers (FICP) ».
27 Rapport annuel de l’ACPR 2017, p. 36. Il est précisé : « Lors de ses contrôles, l’ACPR a identifié et fait corriger des défaillances dans l’information délivrée aux clients préalablement au fichage, un manque de transparence quant aux frais prélevés ou aux critères de qualification du caractère abusif de l’usage d’une carte bancaire, et des cas d’oublis de radiation ou des fichages irréguliers. Elle a relevé que la formation des personnels devait être améliorée tout comme certains dispositifs de contrôle interne. »
28 Charte d’accompagnement des professionnels, fév. 2023, p. 4 : « La Cnil travaille en interaction étroite avec les régulateurs et superviseurs sectoriels ou autres autorités concernées (ADLC, ACPR, ARCEP, CSA, CRE, AMF, etc.) afin d’aboutir à une régulation cohérente entre ses différentes dimensions. »