A N N E X E
|
SECTEURS CONCERNÉS |
COMMERCES |
|---|---|
|
Responsable du traitement. |
Tout commerçant, à savoir toute personne ou organisme qui exerce des actes de commerce et qui en fait sa profession habituelle conformément à l'article L. 121-1 du code de commerce. |
|
Finalités. |
Seuls peuvent faire l'objet d'un engagement de conformité à la présente autorisation unique les traitements ayant pour finalité la prévention et la gestion des impayés par chèque bancaire qui comprennent : ― un dispositif de détection des chèques impayés non régularisés, remis en paiement au commerçant concerné ; ― et/ou un dispositif d'alerte relatif à l'utilisation répétée d'un chéquier sur un laps de temps très court (au maximum 3 jours), afin de procéder, le cas échéant, à la vérification de l'identité du client et des raisons de cette utilisation répétée du chéquier, à l'exclusion de tout blocage automatique de paiement par chèque dans le système de caisse. |
|
Utilisation(s) exclue(s). |
Est exclue du champ de cette autorisation unique toute forme de mutualisation de données, c'est-à-dire tout partage d'informations, entre plusieurs personnes morales. Seul un partage d'informations au sein d'une même personne morale de même marque de commerce (« enseigne ») entre dans le cadre de cette autorisation unique. Tout projet de traitement mutualisé de données devra par conséquent faire l'objet d'une demande d'autorisation spécifique. |
|
Données traitées. |
Seules les informations suivantes peuvent être traitées : S'agissant des traitements de chèques impayés non régularisés : ― les informations relatives à des créances certaines, liquides et exigibles ; ― les informations relatives à la bande de lecture magnétique CMC7 (identification de la banque, numéro de compte, numéro du chèque) du chèque impayé non régularisé ; ― le montant du chèque impayé, le numéro d'impayé, le nombre de chèques ; ― les nom, prénom et adresse mentionnés sur le chèque ; ― l'identifiant du magasin ; ― le motif du refus de la banque du commerçant de payer le chèque (insuffisance de provision, chèque volé, chèque perdu, opposition du débiteur, compte clôturé, signature non conforme) ; ― la journalisation des accès au traitement (nom, prénom de la personne effectuant la vérification, date, heure, motif de la vérification, actions effectuées). S'agissant des dispositifs d'alerte relatifs à l'utilisation répétée d'un chéquier sur un laps de temps très court (maximum 3 jours) : ― la date et l'heure de passage en caisse ; ― la caisse de passage ; ― le nombre de chèques présentés dans un laps de temps donné ; ― l'identifiant du magasin ; ― le type d'achat effectué ; ― le montant du chèque ; ― le numéro de compte, le numéro de chèque, la banque. |
|
Durée de conservation des données. |
Les informations relatives aux incidents de paiement régularisés doivent être effacées du fichier au plus tard dans les 48 heures suivant la notification de la régularisation auprès du commerçant. Les informations relatives aux incidents de paiement non régularisés ne peuvent être conservées dans le fichier que pendant un délai de 3 ans à compter de la survenance de l'impayé. Le commerçant doit, dès la justification par le porteur du chéquier auprès de celui-ci de l'existence d'un vol ou d'une perte de chéquier (notamment par la déclaration de perte ou de vol), procéder à l'effacement des données inscrites concernant le porteur du chéquier dans le traitement de prévention et de gestion des impayés par chèque bancaire. Toutefois, le commerçant a la possibilité de conserver les numéros de chèques perdus ou volés et le motif de leur rejet. Les informations relatives à l'analyse statistique de l'utilisation répétée d'un chéquier sur un laps de temps très court sont conservées dans le fichier au plus tard pendant 3 jours ouvrés. |
|
Destinataires des données. |
Seuls peuvent avoir communication des informations traitées, dans la limite de leurs attributions respectives : ― les personnels de caisse du magasin uniquement pour les messages d'alerte en caisse ; ― les personnels habilités par le commerçant pour assurer le recouvrement des impayés et la résolution de toute contestation ou de toute demande d'information des clients concernés par un refus de paiement par chèque ; ― les personnels habilités en charge de l'exploitation des statistiques relatives à l'utilisation répétée d'un chéquier sur un laps de temps très court. |
|
Information des personnes et droit d'accès. |
Le responsable de traitement doit procéder, conformément aux dispositions de l'article 32 de la loi du 6 janvier 1978 modifiée, à l'information des clients sur la mise en œuvre du traitement interne de prévention et de gestion des impayés par chèque bancaire, de ses principales caractéristiques et des droits dont ils disposent, par l'affichage permanent, clair et lisible au niveau de chaque caisse enregistreuse, d'une note d'information à leur attention. Cette note d'information doit également préciser que tout client a la possibilité de connaître les raisons de refus de paiement par chèque et de présenter ses observations auprès des personnels habilités par le commerçant. La commission recommande également qu'un affichage de cette note d'information soit réalisée à l'entrée du magasin. Toute personne, étant susceptible de faire l'objet d'une inscription dans le présent traitement de prévention et de gestion des impayés, doit en outre être informée par le commerçant au moment de son inscription dans ledit fichier lors de l'envoi de l'avis de relance. Les droits d'accès, de rectification et, le cas échéant, d'opposition prévus aux articles 38 et suivants de la loi du 6 janvier 1978 modifiée s'exercent directement auprès du personnel habilité par le commerçant dont les coordonnées doivent être clairement indiquées dans la note d'information précitée. Dans le cadre du dispositif de détection des chèques impayés, lorsque le chèque est refusé en paiement aux caisses le client est informé qu'il peut payer au moyen d'un autre mode de paiement. La commission rappelle que, si l'impayé est régularisé auprès du commerçant, celui-ci devra remettre à son client le chèque revenu impayé pour lui permettre de régulariser sa situation auprès de sa banque. La commission recommande également la délivrance d'un quitus daté, associé au chèque restitué par le commerçant, permettant au client, le cas échéant, de se prévaloir de cette régularisation auprès du commerçant. De manière distincte, en cas de consultation du FNCI par le commerçant, une information doit être délivrée aux clients sur l'existence de cette consultation lors du paiement aux caisses. De même, en cas de consultation des sociétés de garantie de paiement par le commerçant, une information des clients doit être réalisée sur l'existence de ce contrôle. Les réponses adressées par le FNCI et les sociétés de garantie de paiement ne doivent pas être enregistrées dans le traitement de prévention et de gestion des impayés. |
|
Sécurités. |
Le responsable du traitement doit prendre toutes précautions utiles pour préserver la sécurité, la confidentialité et l'intégrité des données traitées notamment aux caisses des commerçants et pour empêcher qu'elles ne soient déformées, endommagées ou que des tiers non autorisés puissent en prendre connaissance. En particulier, le responsable du traitement doit assurer une gestion rigoureuse des contrôles d'accès. Ainsi, les accès aux traitements de données doivent s'effectuer par un identifiant et un mot de passe individuels, régulièrement renouvelés, ou par tout autre moyen d'authentification garantissant, a minima, un même niveau de sécurité. En cas de régularisation par le client de son impayé au commerçant via un site internet, les données qui circulent sur le réseau doivent être chiffrées. |
|
Transfert de données hors UE. |
Lorsque des données sont transmises vers un Etat qui n'assure pas un niveau de protection suffisant ou reconnu comme tel par une décision de la Commission européenne, le transfert ne peut être effectué que sous réserve du respect par le responsable du traitement des dispositions de l'article 69 de la loi du 6 janvier 1978. Tout contrat conclu avec les personnes habilitées à avoir communication des données devra respecter les décisions de la Commission européenne relatives aux clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers ou des sous-traitants établis dans des pays tiers en vertu de la directive du 24 octobre 1995 susvisée. |
|
Observations. |
Tout traitement de données à caractère personnel ne correspondant pas en tout point à la présente décision devra faire l'objet d'une demande d'autorisation spécifique auprès de la Commission nationale de l'informatique et des libertés. |
Le président,
A. Türk