Lorsqu’une entreprise est face à des clients jugés « à risque » ou mauvais payeurs, c’est-à-dire n’ayant pas respecté leurs engagements précontractuels ou contractuels (défaut de paiement, risque de fraude), elle les référence parfois dans ce que l’on appelle une liste noire. Cependant, la commission nationale de l’informatique et des libertés (CNIL) réglemente son usage.
Qu’est-ce qu’une liste noire ?
Une liste noire des mauvais payeurs ou un traitement d’exclusion est un fichier recensant des informations sur des personnes avec lesquelles un responsable de traitement ne souhaite plus entrer en relation ou auxquelles il entend appliquer une surveillance particulière en raison de la survenance antérieure d’un événement comme un impayé ou une fraude. Cette liste est donc à établir avec précaution puisque son contenu peut porter atteinte aux droits des personnes qui y figurent.
Cependant, en France, l’interdiction de la constitution de listes noires de clients est le principe. En effet, elle peut porter atteinte à la vie privée des individus et violer les lois sur la protection des données. La collecte, le stockage et l’utilisation de données personnelles, y compris des informations sur les clients, sont strictement réglementés. Ceci, en vertu du Règlement Général sur la Protection des Données (RGPD) et de la Loi Informatique et Libertés en France.
Des règles strictes à respecter
Le RGPD impose des règles strictes concernant la collecte et le traitement des données personnelles, y compris celles des clients. En vertu de ces règles, toute entreprise ou organisation qui traite des données personnelles doit respecter les principes de base du RGPD. On parle de la transparence, de la légitimité du traitement, de la minimisation des données et du respect des droits des individus (droit d’accès, droit de rectification, droit à l’oubli, etc.).
La constitution de listes noires de clients sans base légale appropriée et sans le consentement explicite des personnes concernées serait susceptible de contrevenir au RGPD et aux lois françaises sur la protection des données. Les sanctions pour non-conformité au RGPD peuvent être sévères, notamment des amendes substantielles.
Les différents critères d’une liste noire des mauvais payeurs
Toutefois, il existe des situations exceptionnelles où la constitution d’une liste noire de clients est possible; On pensera notamment lorsque cela est nécessaire pour se conformer à des obligations légales, réglementaires ou contractuelles spécifiques.
Elle :
- doit faire l’objet d’autorisation préalable de la Cnil en cas d’exclusion d’une personne d’un droit ou d’un contrat,
- peut être au sein d’un organisme ou plusieurs entités mutualisées,
- doit mentionner l’état civil des personnes enregistrées (noms, prénoms, date et lieu de naissance des personnes),
- doit contenir uniquement des données nécessaires et concises,
- doit être régulièrement à jour et accessible aux personnes concernées qui ont un droit de rectification(CNIL) et d’opposition pour motifs légitimes.