Fichiers de mauvais payeurs : quelles obligations, quelles formalités ?

Lorsqu’une personne n’honore pas ses obligations de paiement, il est fréquent qu’une société ne veuille plus lui vendre de produits ou lui fournir de services. Elle crée alors un fichier d’exclusion qui lui permet d’identifier les « mauvais payeurs » et de les exclure de toutes ses futures transactions. La CNIL rappelle aux professionnels les bonnes pratiques et la règlementation pour ces fichiers qui doivent faire l’objet de précautions particulières.
Les principes généraux applicables aux fichiers d’exclusion pour motifs d’impayés
  1. Le fichier d’exclusion ne doit concerner que les impayés avérés
  • L’impayé doit porter sur une somme d’argent : les listes d’exclusion recensant d’autres manquements, comme par exemple des propos déplacés sur un forum de discussion ou un manquement aux conditions générales d’utilisation d’un site web ne constituent pas un impayé ;
  • Le fichier ne doit pas servir à détecter un risque d’impayé : vous ne pouvez pas y inscrire une personne qui, selon vous, est susceptible de ne pas vous payer à l’avenir ;
  • L’impayé doit être certain : il doit être incontestable que la personne vous doit une somme d’argent et son montant doit être déterminé.
  1. Une vérification humaine est effectuée avant l’inscription

  • Avant d’inscrire une personne sur liste d’exclusion, vous devez réaliser des vérifications complémentaires (par exemple : envoyer des relances, demander à la personne d’expliquer pourquoi elle n’a pas été en mesure de payer, vérifier qu’il ne s’agit pas d’un malentendu, etc.) ;
  • Ces vérifications ne peuvent pas se faire de manière automatisée : une intervention humaine avec la personne est nécessaire (par exemple : un échange doit avoir lieu, qu’il soit écrit ou oral, sur un support « papier » ou électronique, etc.) ;   
  • Dès que la personne régularise son paiement, c’est-à-dire qu’elle vous paie la totalité de la somme qui vous est due, vous devez effacer toutes ses données du fichier d’exclusion, il ne doit plus en rester aucune trace.
  1. L’incident de paiement n’est partagé avec personne  
  • Vous ne devez pas partager les données relatives au « mauvais payeur » avec d’autres commerçants ou entreprises.
Quelles précautions prendre au regard de la protection des données ?

Vous devez vous assurer que les obligations imposées par la loi Informatique et Libertés sont bien respectées.

  1. Vérifier la pertinence des données collectées

Vous ne pouvez inscrire que les données pertinentes parmi les suivantes dans votre fichier de mauvais payeurs :

  • le nom et le prénom de la personne concernée ;
  • son adresse et son adresse mail ;
  • son numéro de téléphone ;
  • son numéro de dossier ;
  • la date de l’inscription sur votre fichier d’exclusion.
  1. Informer la personne concernée

Les personnes concernées doivent être informées au préalable de l’existence de ce fichier d’exclusion (article 32 de la loi Informatique et Libertés).

Cette information se fait au moment où vous concluez un contrat avec elle (même oralement) ou au moment où vous collectez les données personnelles la concernant.

L’information peut, par exemple, être donnée sur le formulaire du paiement, ou sur une page d’information sur votre site internet, par courriel ou par tout moyen.

Il s’agit d’une information générale sur l’existence d’une liste d’exclusion et la possibilité que la personne y soit inscrite si elle ne remplit pas ses obligations de paiement.

En cas de survenance d’un impayé, la personne concernée doit par ailleurs être informée :

  • au moment de la survenance de l’incident de paiement :
    • des moyens dont elle dispose pour régulariser son paiement (si par exemple vous lui donnez la possibilité de payer par chèque, par téléphone, ou en ligne…) ; et
    • de la possibilité et des moyens dont elle dispose pour présenter ses observations et, le cas échéant, demander un réexamen de sa situation.
  • si elle n’a pas procédé à la régularisation du paiement :
    • au moment de son inscription dans le fichier d’exclusion pour impayé.
  1. Informer la personne concernée de ses droits

La loi Informatique et Libertés accorde les droits suivants à la personne concernée :

  • elle peut être informée à tout moment des données que vous détenez sur elle dans votre fichier d’exclusion (droit d’accès) ;
  • elle peut également demander de rectifier ces données, comme par exemple un nom de famille erroné, ou une adresse postale incorrecte (droit de rectification) ;
  • elle peut s’opposer à ce qu’elle soit inscrite dans votre fichier d’exclusion (droit d’opposition). Attention, elle ne peut s’opposer à son inscription que pour motifs légitimes : elle doit être en mesure d’expliquer la raison pour laquelle elle considère qu’elle n’a pas à figurer dans le fichier. Même si elle s’y oppose, vous pouvez quand même conserver ses données dans son fichier d’exclusion mais vous devez lui expliquez pourquoi vous estimez que son opposition n’est pas légitime et lui indiquer quels sont les voies et délais de recours.

C’est à vous que s’adressera la personne concernée pour exercer ses droits d’accès, de rectification, d’opposition pour motifs légitimes. Vous devez donc lui indiquer clairement la manière d’exercer ces droits (articles 38 et suivants de la loi Informatique et Libertés).

Veuillez noter que le règlement européen sur la protection des données, qui entre en application le 25 mai 2018 renforce l’obligation d’information. Vous devrez donc être en mesure de prouver que vous avez apporté à la personne concernée une information concise, transparente, compréhensible et aisément accessible.

  1. Limiter la durée de conservation des données

Les données ne peuvent être conservées dans un  fichier d’exclusion que pendant une durée limitée.

  • En cas de régularisation de l’impayé, les informations relatives à la personne concernée doivent être effacées du fichier au plus tard dans les 48 heures à partir du moment où la personne vous notifie qu’elle vous a payé la somme due ;
  • En cas de non régularisation, les informations ne peuvent être conservées dans le fichier que pour une durée limitée dans la limite de 3 ans à compter de la survenance de l’impayé, sauf à justifier (par écrit et de manière étayée) de la nécessité de garder les informations plus longtemps.
  1. Sécuriser le fichier

Seuls certains employés spécialement habilités peuvent avoir accès aux données concernant les personnes inscrites dans un fichier de mauvais payeurs, comme par exemple :

  • les personnes chargées d’assurer le recouvrement des impayés et la résolution des contestations, ou le personnel chargé de traiter la relation client ;
  • si les données sont hébergées ou traitées par un prestataire de service externe agissant exclusivement pour votre compte (un sous-traitant), vous devez passer un contrat avec lui, dans lequel sont énumérées ses obligations en matière de sécurité et de confidentialité des données (article 35 de la loi Informatique et Libertés).

Afin d’empêcher que des personnes non autorisées aient accès aux données, vous devez veiller à :

  • gérer de façon rigoureuse les habilitations et les contrôles d’accès aux données ;
  • définir une traçabilité des actions réalisées sur les données, pour se prémunir notamment contre les risques d’intrusion et de détournement ; et
  • garantir la confidentialité, l’intégrité, et la disponibilité des systèmes d’information.
  1. Accomplir les formalités nécessaires auprès de la CNIL

Si le fichier d’exclusion répond bien à toutes ces conditions, il suffit, avant de le créer et d’y inscrire des mauvais payeurs, d’effectuer une déclaration à la CNIL.

En effet, lorsqu’une personne ne paie pas ses dettes, le Code civil permet à toute société de refuser à l’avenir de lui vendre un bien ou d’exécuter un service pour elle. Par conséquent, l’autorisation préalable de la CNIL n’est pas nécessaire (article 25-I-4° de la loi Informatique et Libertés).Vous devrez en revanche demander l’autorisation de la CNIL avant de mettre en œuvre votre traitement, si vous souhaitez aller au-delà des principes énumérés ci-dessus, comme par exemple :

  • partager le fichier avec d’autres commerçants ou entreprises ;
  • détecter ou prévenir les risques d’impayés (c’est-à-dire inscrire une personne sur le fichier car vous pensez qu’il se peut qu’elle soit un mauvais payeur).