Le fichier d’exclusion des mauvais payeurs : les recommandations de la CNIL.

12/02/2018
Chargé d'enseignement à l'Université catholique de Lille, Doctorant.
N. BORTKO
(Chargé d'enseignement à l'Université catholique de Lille, Doctorant.)

Afin d’assurer la pérennité dans ses relations commerciales, il n’est pas rare qu’une société tienne un fichier d’exclusion des « mauvais payeurs » dans le but de les exclure de toutes futures transactions. Ce procédé peut parfois apparaitre illégal, c’est pourquoi CNIL a décidé d’intervenir. Voici ses recommandations :


  • Le fichier ne doit concerner que les impayés avérés. L’impayé doit réel et non présumé. Il ne doit pas servir à détecter un simple risque d’impayé. Ces données doivent être supprimées dans les 48 heures du paiement.
  • Une vérification humaine est effectuée avant l’inscription par le biais, par exemple, de relances.
  • Cette information, l’incident de paiement, ne doit être partagée avec personne.
  • La société doit vérifier la pertinence des données collectées et n’inscrire que les données pertinentes telles que les coordonnées, l’identité, la facture du « mauvais payeur ».
  • La société doit informer la personne concernée en principe au moment du contrat conformément à l’article 32 de la Loi informatique et libertés. Cette information doit être entendue dans un sens général c’est-à-dire qu’il suffit d’avertir, oralement ou par écrit, qu’il existe, au sein de l’entreprise, une liste d’exclusion et la possibilité que la personne y soit inscrite si elle ne remplit pas ses obligations de paiement. Cette information doit être communiquée au moment de la conclusion du contrat.
  • L’entreprise doit informer la personne concernée de ses droits :

-          Droit d’accès au fichier

-          Droit de rectification

-          Droit d’opposition à condition que les motifs soient légitimes

  • La durée de conservation des données est limitée à 3 ans à compter de la survenance de l’impayé, sauf à justifier par écrit de la nécessité de garder les informations plus longtemps.
  • La société est tenue de sécuriser le fichier et d’en limiter l’accès aux seuls employés spécialement habilités.
  • La société doit effectuer une déclaration auprès de la CNIL, avant la création du fichier, pour obtenir une autorisation préalable en vertu de l’article 25-I-4° de la loi Informatique et Libertés.

Il reste enfin à noter que, lorsqu’une personne n’honore pas ses dettes, le Code civil permet à toute société de refuser à l’avenir de lui vendre un bien ou d’exécuter un service pour elle. Par conséquent, l’autorisation préalable de la CNIL n’est ni obligatoire ni nécessaire. Il ne s’agit que de recommandations. Toutefois, la société devra tout de même demander l’autorisation de la CNIL avant de mettre en œuvre ce fichier, si elle souhaite :

  • partager le fichier avec d’autres commerçants ou entreprises ;
  • détecter ou prévenir les risques d’impayés 
Share on FacebookShare on TwitterShare on LinkedIn