2- La régulation étatique
Les Etats européens ont choisi la voie de la régulation étatique en vue d’établir un régime de protection des données personnelles. Ainsi, en Belgique, la loi du 11 décembre 1998 qui vise à la transposition de la directive européenne 95/46/CE, contient également des exceptions relatives à la collecte d’informations et à la gestion de l’information. En Grèce, la loi n°2472/1997 sur la protection des données personnelles, reprend tous les éléments de la directive communautaire, mais pas sa structure. Enfin, en Suède, la PuL (personuppgiftslagen) SFS 1998 :204 vise le traitement des données, qu’il soit partiellement ou totalement automatisé. La loi ne doit pas entrer en conflit avec les dispositions relatives aux libertés énoncées dans la loi sur la liberté de la presse et la loi fondamentale sur la liberté d’expression et elle prévoit le consentement de la personne faisant l’objet de l’enregistrement.
En France le régime est l’un des plus stricts. La protection des données bancaires lors de la transaction par Internet peut se réaliser par l’intermédiaire de deux systèmes : soit par l’intermédiaire de la protection des données personnelles soit par le régime de la protection de la correspondance privée.
a) La protection des données personnelles
En France, la loi 6 janvier 1978, relative à l’informatique, aux fichiers et aux libertés pose un certain nombre d’obligations et limite la collecte et l’utilisation des informations nominatives. Selon l’art.4 : « Sont réputées nominatives au sens de la présente loi les informations qui permettent, sous quelque forme que ce soit, directement ou non, l’identification des personnes physiques auxquelles elles s’appliquent, que le traitement soit effectué par une personne physique ou par une personne morale». Les données bancaires (par exemple le numéro de carte bancaire) peuvent identifier indirectement leur titulaire. Par conséquent, selon cette définition, les données bancaires sont des données personnelles.
L’art.5, quant à lui, définit le traitement automatisé : « Est dénommé traitement automatisé d’informations nominatives au sens de la présente loi tout ensemble d’opérations réalisées par des moyens automatiques, relatif à la collecte, l’enregistrement, l’élaboration, la modification, la conservation et la destruction d’informations nominatives ainsi que tout ensemble d’opérations de même nature se rapportant à l’exploitation de fichiers ou bases de données et notamment les interconnexions ou rapprochements, consultations ou communications d’informations nominatives ». Le marchand, lors de la transaction, procède à la collecte d’un certain nombre d’informations relatives à son client en vue de protéger ses intérêts. Parmi ses informations, il collecte notamment les données bancaires du client. Une fois ces données enregistrées, le marchand établit des fichiers dans lesquels figurent également toutes les transactions qu’il a réalisées avec un client donné. Ainsi, il peut savoir à n’importe quel moment, si ce client est solvable, s’il tarde les paiements de manière répétitive ou s’il a des factures impayées. De ce fait, ces fichiers entrent dans le cadre de la loi du 6 janvier 1978.
La loi prévoit les droits des personnes fichées : droit d’opposition237, droit à l’information, droit d’accès et de rectification238.
La France n’a toujours pas transposé la directive communautaire 95/46/CE. Un projet de loi est actuellement en discussion239.
b) Le régime de la correspondance privée.
Les transactions par Internet peuvent se conclure en partie ou en totalité par le moyen de courrier électronique. Le client peut envoyer ses coordonnées bancaires par un message crypté. D’autre part, le marchand ou l’établissement financier (ou émetteur de l’instrument de paiement) peut demander confirmation de l’ordre de paiement par courrier électronique. La confirmation elle-même se fait par courrier électronique. La question qui se pose alors, est de savoir si ses messages sont protégés par le régime de la correspondance privée.
La loi du 10 juillet 1991, relative au secret des correspondances émises par la voie des télécommunications, prévoit que « le secret des correspondances émises par la voie des télécommunications est garanti par la loi. Il ne peut être porté atteinte à ce secret que par l’autorité publique, dans les seuls cas de nécessité d’intérêt public prévus par la loi et dans les limites fixées par celle-ci »240. La loi du 10 juillet 1991 prévoit deux cas où la protection de la correspondance privée peut être écartée :
– sur prescription du juge d’instruction, dans le cadre de son pouvoir d’instruction portant sur des faits dont la peine encourue est supérieure à 2 ans d’emprisonnement. Dans le domaine des paiements par Internet, cette hypothèse peut viser particulièrement l’infraction de blanchiment d’argent241.
– Le cas des écoutes administratives. Ces interceptions sont réalisées sur autorisation du Premier ministre, lorsqu’elles ont pour objet de rechercher des renseignements intéressant la sécurité nationale, la sauvegarde des éléments essentiels du potentiel scientifique et économique de la France, la prévention du terrorisme ou de la criminalité organisée. En matière des paiements par Internet, c’est notamment dans le cadre du trafic de stupéfiants ou d’armes qu’une interception peut être ordonnée. C’est la CNCIS (Commission nationale de contrôle des interceptions de sécurité) qui veille au respect de la légalité des interceptions de sécurité242.
Cette loi est complétée par l’art.226-15 al.2 C.P. qui punit d’un an d’emprisonnement et de 300.000 F d’amende « le fait, commis de mauvaise foi, d’intercepter, de détourner, d’utiliser ou de divulguer des correspondances émises, transmises ou reçues par la voie de télécommunication ou de procéder à l’installation d’appareils conçus pour réaliser de telles interceptions ».
D’autre part, une circulaire du 17 février 1988243 précise qu’il y a correspondance privée lorsque le « message est exclusivement destiné à une personne, physique ou morale, déterminée ou individualisée ». Par conséquent, les courriers électroniques entrent dans le champ d’application du régime de la protection de la correspondance privée.
Cependant, cette protection paraît limitée et peu adaptée au phénomène de la cybercriminalité. En effet, ne sont soumises à l’obligation au secret que les opérateurs de réseaux public, les fournisseurs d’accès et les salariés ou agents exploitant des réseaux et fournisseurs de service des télécommunications244.
Il faut enfin noter que le secret des correspondances est prévue par les lois d’autres pays européens. Ainsi, en Espagne, le secret des correspondances est protégé par la Constitution de 1978 et par l’article 197 C.P., qui sanctionne sa violation d’une peine de 1 à 4 ans d’emprisonnement et d’une amende245. Au Luxembourg, le principe du droit au respect de la vie privée est posé par l’article 1er de la loi du 11 août 1982. Aux Pays-Bas, l’inviolabilité du secret des correspondances téléphoniques et télégraphiques est affirmée par l’article 13 de la Constitution. Enfin, la Turquie garantit le secret des correspondances dans l’article 22 de la Constitution246.
Lire le mémoire complet ==> (La sécurité des paiements internationaux par Internet)
Mémoire pour l’obtention de DEA______________________________________________
237 Selon l’article 26 de la loi, « toute personne physique a le droit de s’opposer, pour des raisons légitimes, à ce que des informations nominatives la concernant fassent l’objet d’un traitement ».
238 Prévu par les articles 34, 35 et 36 de la loi.
239 Voir Annexe : Textes.
240 Il faut noter que le champ d’application de la loi n’est pas limité aux seules correspondances téléphoniques, mais s’étend à toutes les correspondances transitant par les réseaux de télécommunications.
241 Selon l’article 324-1 C.P. : « Le blanchiment est le fait de faciliter, par tout moyen, la justification mensongère de l’origine des biens ou des revenus de l’auteur d’un crime ou d’un délit ayant procuré à celui-ci un profit direct ou indirect.
Constitue également un blanchiment le fait d’apporter un concours à une opération de placement, de dissimulation ou de conversion du produit direct ou indirect d’un crime ou d’un délit.
La blanchiment est puni de cinq ans d’emprisonnement et de 2.500.000 francs d’amende ».
242 La CNCIS a établi trois lignes directrices des interceptions administratives :
– l’urgence absolue : il s’agit de la nécessité de répondre très vite à une situation imprévue;
– les écoutes trop anciennes doivent être supprimées et réappréciées en fonction des circonstances prévalant au moment de la demande de renouvellement;
– quant à la ligne de partage entre les interceptions administratives et les interceptions judiciaires : l’interception administrative a pour objectif le recueil des renseignements nécessaires à la prévention. L’interception judiciaire a pour objectif le recueil d’éléments d’information permettant soit l’identification ou la localisation de coupables présumés, soit la réunion d’éléments de preuve d’une ou plusieurs infractions.
243 JO du 9 mais 1988.
244 Selon l’article 432-9 du code pénal, lorsque ces catégories de personnes « agissant dans l’exercice de leurs fonctions, ordonnent, commettent ou facilitent, hors des cas prévus par la loi, l’interception ou le détournement des correspondances émises, transmises ou reçues par la voie des télécommunication, l’utilisation ou la divulgation de leur contenu », sont passibles d’une peine de 3 ans d’emprisonnement et de 300.000 francs d’amende.
245 Il faut encore noter que l’article 18-3° du texte fondamental n’admet comme exception à la protection du secret des correspondances que les interceptions judiciaires.
246 Cependant des aménagements au principe sont prévus. En effet, en l’absence de dispositions plus spécifiques, les juges se sont appuyés sur l’article 91 du code de la procédure pénale, qui permet l’interception des courriers, communications télégraphiques et envois postaux adressés aux inculpés. En plus, la loi du 29 juillet 1999 relative à la lutte contre la criminalité organisée, prévoit une série de mesures de surveillance des communications par téléphone, fax, ordinateur ou messagerie unilatérale, ou par tout système électromagnétique, qu’il s’agisse de signaux écrits, graphiques, vocaux ou visuels.
Accueil » Informatiques et Télécommunications » La régulation étatique, protection des données personnelles