Flux transfrontières de données personnelles via l’Internet

Flux transfrontières de données personnelles via l’Internet

b. Les flux transfrontières de données personnelles

790. Principe

Comme le rappelle l’article 68 de la loi de 1978 modifiée, « le responsable d’un traitement ne peut transférer des données à caractère personnel vers un Etat n’appartenant pas à la Communauté européenne que si cet Etat assure un niveau de protection suffisant de la vie privée et des libertés et droits fondamentaux des personnes à l’égard du traitement dont ces données font l’objet ou peuvent faire l’objet ».

Par conséquent, là où le texte énonce une interdiction de principe au transfert des données hors Union Européenne (sauf protection suffisante), aucune limitation n’est donc autorisée quant au transfert de données entre Etats membres, en raison du principe de libre circulation des données que la directive de 1995 a posé1210 1211.

Par ailleurs, la Convention 108 du Conseil de l’Europe 1212 précise également que les flux transfrontières entre les parties ne peuvent être interdits ni soumis à autorisation.

Ceci étant, s’il s’agit de communiquer les données à un partenaire européen, le principe de libre circulation ne dispense pas de l’obtention du consentement du consommateur au traitement.

De même, cette autorisation demeure nécessaire pour le transfert des données personnelles, hors Union Européenne, à destination d’Etats ne présentant pas un niveau de protection suffisant 1213.

A défaut d’obtenir l’accord de la personne concernée, le TGI de Nanterre a ainsi jugé que le transfert constitue un « spamming commercial » et la clause le prévoyant doit être déclarée abusive au regard du Code de la consommation.1214

 

1210 Article 1 de la directive de 1995.

1211 V. BRAIBANT G. (rapport du groupe présidé par), Données personnelles et société de l’information, Rapport au Premier Ministre sur la transposition en droit français de la directive n°95/46/CE, mars 1998.

1212 Convention 108 du 28 janvier 1981 du Conseil de l`Europe sur la protection des personnes à l`égard du traitement automatisé des données à caractère personnel

1213 La Commission européenne a adopté le 27 décembre 2004 un nouvel ensemble de clauses contractuelles types destinées à encadrer les transferts de données vers des responsables de traitement établis hors de l’Union Européenne.

1214 BENSOUSSAN A., Le transfert de données personnelles est un spamming commercial, 8 octobre 2004, disponible sur : www.01net.com.

791. Contrôle du niveau de protection

Le caractère suffisant du niveau de protection doit s’apprécier en fonction notamment des dispositions en vigueur dans cet Etat, des mesures de sécurité qui y sont appliquées, des caractéristiques propres du traitement, telles que ses fins et sa durée, ainsi que de la nature, de l’origine et de la destination des données traitées.

Le rôle de contrôle incombera dès lors à la Commission Européenne 1215 et les autorités nationales comme la CNIL devront s’y conformer.

Ce n’est qu’en l’absence de telles décisions de la Commission que la CNIL devrait retrouver son pouvoir d’appréciation en fonction des critères définis par la directive de 1995 introduits dans la loi de 1978.

792. Mise en ligne et transfert des données

A partir du moment où des informations sont mises en ligne sur Internet, la CNIL considère qu’il y a transmission d’informations entre le territoire français et l’étranger.

« Ceci est inhérent au moyen de communication utilisé 1216 ». La CJCE, quant à elle, dans un arrêt du 6 novembre 20031217, tout en rappelant que « l’opération consistant à faire figurer, sur une page Internet, des données à caractère personnel est à considérer comme un [tel] traitement », s’est prononcée sur la question de savoir si la mise en ligne de données personnelles constituait un transfert vers un Etat tiers.

En effet, via l’Internet, l’ensemble de ces informations est accessible à tous les Etats y compris ceux dont le niveau de protection n’est pas en adéquation avec la directive de 1995.

Le raisonnement de la Cour, pour admettre qu’il n’y avait pas dans ce cas de transfert de données vers un pays tiers, se fonde sur l’absence de « mécanisme technique » permettant l’envoi automatique des informations ainsi que sur l’absence de transfert direct entre le responsable du traitement et un internaute situé dans un pays tiers, en conséquence de quoi admettre l’existence d’un « transfert vers un pays tiers de données chaque fois que les données à caractère personnel sont chargées sur une page Internet, reviendrait à ériger le régime spécial de l’article 25 [de la directive de 1995] en un régime de droit commun pour toutes les opérations liées à Internet ».

La solution posée par la cour semble basée sur des considérations pratiques mais n’est pas exempte de toute critique.

Comment soutenir qu’il n’y a pas de transfert de données à partir du moment où de telles informations sont chargées sur une page Web ? En réalité, les données sont potentiellement transmises à tous les internautes indépendamment de l’envoi effectif.

On pourrait sentir, dans le raisonnement de la Cour, le spectre de la loi du pays d’origine ; en effet, la mise en ligne de données ne peut pratiquement pas faire l’objet d’une vérification des niveaux de protection de tous les pays du monde.

En revanche, sans ériger, comme l’affirme la Cour, l’article 25 au stade de principe, une possibilité restait offerte : celle du consentement de la personne concernée par le données selon l’article 26 1 a), qu’il soit tacite ou formalisé.

En l’espèce, il nous semble que la Cour aurait dû adopter la solution inverse sur cette question, le consentement de la personne étant le seul moyen de protection efficace.

1215 Par exemple, la Commission a déjà reconnu l’adéquation des systèmes de protection de Guernesey (Décision 2003/821/CE de la Commission du 21 novembre 2003), de l’Argentine (Décision 2003/490/CE de la Commission du 30 juin 2003), du de la Suisse (Décision 2000/518/CE de la Commission du 26 juillet 2000) et de la Hongrie (Décision 2000/519/CE de la Commission du 26 juillet 2000).

1216 SEDALLIAN V., L’utilisation d’Internet dans l’entreprise, art. préc.

1217 CJCE, 6 novembre 2003, LINDQVIST (C-101/01), sur question préjudicielle de la juridiction suédoise. MUNOZ R., Communication Commerce Electronique, Commentaire de l’arrêt Lindqvist et la protection des données personnelles, avril 2004, p.67-71.

Conclusion

793. Bilan

Il ressort clairement de l’analyse que le consommateur se voit doter d’une protection particulièrement forte en ce qui concerne la protection de ses données personnelles.

Tant les droits qui lui sont accordés, d’une part, que les obligations que la loi met à la charge du professionnel, d’autre part, lui permettent de disposer de suffisamment d’outils juridiques pour affronter le monde virtuel de l’Internet.

« La France, l’Europe communautaire, disposent aujourd’hui, par-delà les insuffisances et critiques, d’un système juridique de protection des données personnelles utiles offrant en l’état beaucoup de ressources 1218 ».

La confiance, si chère aux institutions européennes et nationales, ne peut que théoriquement en sortir renforcée 1219.

794. Les particularités du secteur bancaire

Le milieu bancaire et financier est naturellement friand de données personnelles dans la mesure où il doit souvent apprécier un risque financier (opération de crédit et scoring) ou bien fournir un certain nombre d’informations (prestation de renseignements).

La loi de 1978 vient donc utilement réglementer un terrain propice aux atteintes à la sécurité des données personnelles du consommateur.

795. Problème de connaissance de l’outil

Ceci étant, pour que le consommateur puisse faire valoir ses droits, encore faut-il qu’il les connaisse, mais il ne s’agit pas d’un problème propre à l’Internet.

Sur le problème de la protection des données personnelles, un auteur remarque que « ce droit tourne trop à vide parce qu’il n’est pas connu et exercé individuellement et collectivement par les personnes qu’il est sensé protéger…[il] souffre d’une grave déficience de la conscience et de l’action démocratique »1220.

De plus, il est pratiquement impossible pour le consommateur de connaître avec précision tous les modes de collecte des données personnelles le concernant et les traitements qui sont mis en œuvre à sa demande ou non.

En conséquence, la réussite et le développement du commerce électronique passent nécessairement par la moralisation de l’outil Internet du point de vue des professionnels et par un contrôle accru de la CNIL, seule institution à même de vérifier les bonnes pratiques de collecte.

1218 FRAYSSINET J., art. préc., p. 15, in fine.

1219 La Commission, dans son rapport du 15 mai 2003 sur la mise en oeuvre de la directive relative à la protection des données, estime elle-même que l’objectif de haut degré de protection a été atteint.

1220 FRAYSSINET J., ibid.

796. Les avantages du secteur bancaire

Une fois de plus, le droit bancaire vient apporter sa spécificité dans la résolution des problèmes liés à l’usage d’Internet.

Face au risque principal de la collecte et du traitement sauvage de données personnelles, qui est potentiellement considérable, le secteur bancaire se voit imposer le respect strict de la loi, du fait de sa nature réglementée et de l’importance qu’il joue dans l’économie nationale.

Plus simplement, le secteur bancaire et financier est très contrôlé 1221 dans le cadre des ses activités « matérialisées » ; l’Internet ne change pas la donne dans le contexte de ces prestations dématérialisées. Sans doute, le risque d’atteinte pour le consommateur est véritablement réduit grâce à l’intervention et à la surveillance de la CNIL des pratiques en ligne.

Aussi peut- on noter que les établissements de crédit sont les premiers exposés aux lourdes sanctions pénales instituées par la loi 1222.

Le Professeur J. FREYSSINET n’hésite pas alors, à qualifier la CNIL, de « second pilier de la protection des données personnelles », même si elle est souvent présentée comme un « empêcheur de tourner en rond »1223.

1221 BORNET J-P, La vigilance des autorités de contrôle, RDBF, novembre-décembre 2002, n°6, p. 371 ; PARLEANI G., Le risque de vigilance excessive des autorités de contrôle, RDBF, novembre-décembre 2002, n°6, p. 373.

1222 Jusqu’à 300 000 € d’amende (article 47 de la loi de 1978), également article 226- 19 et 21 du Code pénal.

1223 FRAYSSINET J., art. préc, p. 12.

Conclusion de la deuxième partie

797. Protection du consommateur

La réalité d’une protection efficace du consommateur face à l’offre de services bancaires et financiers en ligne repose finalement sur l’existence, de manière cumulative, de trois éléments : la certitude de la transaction, la reconnaissance de droits à son profit et corrélativement d’obligations pour l’établissement de crédit ainsi que la protection de ses données personnelles.

798. Certitude de la transaction bancaire et financière en ligne

Peut-on conclure à une dématérialisation achevée de la prestation bancaire et financière ? dans l’affirmative, cette opération peut-elle être considérée comme contractuellement fiable et intangible ? Il est possible que l’on manque de recul, à ce jour, par rapport aux dernières évolutions législatives en la matière pour répondre de manière catégorique à ces interrogations.

Toutefois, l’objectif de suppression des obstacles juridiques à la dématérialisation de ces transactions est globalement atteint. La distinction des notions d’écrit et de papier en a été le point de départ.

En effet, la reconnaissance d’une valeur juridique à l’écrit numérique ainsi que de la nature ad probationem du formalisme entourant, dans la majeure partie des cas, la transaction bancaire et financière, autorise une utilisation large de l’outil Internet tant par l’établissement de crédit que par le consommateur.

La dématérialisation des ces opérations n’est cependant pas totalement achevée dans la mesure où elle est tributaire d’autres évolutions ; par exemple, l’existence d’une carte d’identité numérique permettrait d’éviter la présentation physique de documents officiels pour l’ouverture de compte en ligne.

En ce qui concerne, ensuite, l’intangibilité de la transaction, l’article 1369-21224 du Code civil valide une technique du « double clic » permettant de s’assurer que le cocontractant s’engage en connaissance de cause de telle sorte qu’il ne pourrait remettre doute le contenu de la transaction.

Par ailleurs, la pratique bancaire et financière a recours à un système d’identification sécurisée, basée sur la fourniture de codes confidentiels (accès au services en ligne sur le site de l’établissement de crédit), système qui permet une relative certitude dans l’identité du consommateur.

Dès lors, le lien contractuel apparaît comme fiable.

1224 Article 1369-2 du Code civil : « Pour que le contrat soit valablement conclu, le destinataire de l’offre doit avoir eu la possibilité de vérifier le détail de sa commande et son prix total, et de corriger d’éventuelles erreurs, avant de confirmer celle-ci pour exprimer son acceptation ».

799. Contenu de la protection

Le consommateur dispose-t-il de droits efficients lors de la réalisation d’une transaction bancaire ou financière en ligne ? A l’analyse, on ne peut que répondre par l’affirmative à cette question.

En matière précontractuelle, il bénéficie d’une information importante et pertinente lui permettant de connaître son cocontractant ainsi que les conditions de son engagement.

En matière contractuelle, principalement, l’article L.121-20-12 du Code de la consommation lui accorde un droit de rétractation de quatorze jours, admettant la remise en cause de la transaction sans avoir à justifier de motif.

En outre, l’article 15 de la LEN institue un régime, restant à préciser, de responsabilité de plein droit pesant sur l’établissement de crédit quant à la bonne exécution des obligations issues de la transaction.

L’ensemble des droits et obligations combinés montre donc une réelle protection du consommateur.

800. Question des données personnelles

Là encore, les droits accordés au consommateur (utilisateur) de même que les obligations imposées à l’établissement de crédit sont conséquents.

Il incombe sur ce dernier, de recueillir le consentement pour la collecte des données mais surtout de déclarer et de respecter la finalité du traitement tandis que l’utilisateur, tout en étant au préalable informé sur les intentions de cet établissement, dispose de la faculté de s’opposer et de rectifier les données qui le concerne.

Le consommateur bénéficie également de la garantie du respect de telles obligations grâce à l’action des autorités de contrôle.

En d’autres termes, la protection des données personnelles du consommateur dans le cadre de transactions bancaires et financières en ligne semble assurée.

801. Bilan

En conséquence, les trois éléments qui, cumulés, doivent manifester d’une protection efficace du consommateur, semblent se trouver réunis grâce au rôle des législateurs (européen et national).

On peut alors affirmer que les outils législatifs développés dans l’optique de gagner la confiance des consommateurs remplissent parfaitement leurs fonctions.

L’Internet n’est pas un lieu où l’utilisateur de services bancaires et financiers est livré en pâture aux établissements de crédit, loin de là !

Conclusion générale

802. Le rôle du législateur

L’influence du législateur, tant européen que national, sur le bon fonctionnement du marché des services bancaires et financiers sur l’Internet est certaine.

Elle s’est traduite par une double évolution, prenant en compte d’une part la nécessité d’encadrer le commerce électronique et d’autre part la volonté de garder une spécificité dans la réglementation des services bancaires et financiers.

803. Législations et confiance

L’actualité juridique de ces dernières années a été le témoin d’un véritable foisonnement législatif en la matière.

L’objectif clairement affiché d’une partie de ces textes est de renforcer la confiance du consommateur, dans la mesure où cette dernière est indispensable au bon fonctionnement du marché.

Mais il est possible de se demander si d’autres facteurs n’interviennent pas dans le processus de confiance : le législateur ne joue-t-il pas un rôle déterminant dans le comportement du consommateur (confiant ou méfiant) ? S’il n’est certainement pas à négliger, ce serait, semble-t-il, accorder trop de considération à ce corpus juridique particulièrement touffu que la grande majorité des consommateurs ignore et, quoi qu’on en dise, continuera à ignorer.

Aussi le phénomène de familiarisation avec l’outil Internet explique-t-il en grande partie l’augmentation du nombre de transactions en ligne.

Dans un premier temps, l’apparition d’un nouveau canal de communication, dématérialisé, a simplement catalysé et amplifié les craintes traditionnelles.

Aujourd’hui, il faut donc en déduire, que chez ses premiers utilisateurs, l’Internet n’en est plus au stade de la nouveauté et, plus encore, que les opportunités commerciales transcendent les peurs juridiques.

Un auteur relève d’ailleurs, à propos de la LEN « qu’on est encore loin d’une application optimale du texte permettant de garantir cette fameuse confiance dans l’économie numérique »1225.

En effet, si certaines mesures sont intervenues (archivage des contrats 1226, ordonnance de juin 2005), des interrogations demeurent notamment sur le régime de responsabilité de plein droit.

804. La nécessité d’une réglementation particulière ?

Nous ne pensons pas qu’une législation autonome et propre à l’Internet soit réellement souhaitable dans la mesure où elle risque d’aboutir à des traitements discriminatoires par rapport aux autres types de vente à distance.

L’Internet est sûrement plus qu’un simple support de communication et de transactions commerciales, dans la mesure où il intègre une vocation culturelle et une multitude d’échanges non commerciaux.

Néanmoins, dans l’optique d’une seule utilisation commerciale, il ne justifie pas de traitement particulier, sous réserve de quelques spécificités que le droit existant doit prendre en compte.

C’est justement ce qu’il tente de faire.

Le Code civil a logiquement su évoluer pour envisager la dématérialisation des transactions ; de la même manière, d’autres dispositions (LEN et ordonnance de juin 2005) sont venues apporter certaines précisions quant à l’usage de l’Internet (notamment l’obligation d’information plus complète, car elle fait intervenir d’autres prestataires – par exemple l’hébergeur).

Ceci étant, l’ensemble des réglementations du Code monétaire et financier et du Code de la consommation restent applicables (dispositions sur les pratiques commerciales) aux transactions bancaires et financières en ligne.

1225 TABAKA B., la LCEN en n+1, 21 juin 2005, disponible sur : http://tabaka.blogspot.com/2005/06/la-lcen-en-n1.html.

1226 Décret n°2005-137 du 16 février 2005, pris pour l’application de l’article L. 134-2 du code de la consommation. Il fixe le délai de conservation des contrats conclus par voie électronique.

805. Les problématiques du secteur bancaire et financier et l’Internet

Il n’est cependant pas possible d’occulter que l’Internet soit à l’origine de problèmes spécifiques touchant le secteur bancaire ; par exemple, la pratique du « phishing » ne concerne, pratiquement, que l’Internet.

Par ailleurs, à l’origine cantonné aux sites bancaires américains, ce phénomène commence à atteindre les établissements de crédit français (Société Générale, BNP Paribas, CIC, CCF)1227.

En revanche, la grande majorité des autres problématiques, telles que le blanchiment de capitaux ou bien l’utilisation frauduleuse de carte bancaire ne lui est pas propre.

Là encore, le chant commercial des sirènes de l’Internet semble difficilement résistible ; aussi, tous les établissements de crédit se sont-ils engagés dans cette odyssée en adoptant des stratégies multi canal, incluant particulièrement l’Internet.

806. La contribution de l’Internet au secteur bancaire et financier

Juridiquement, il est possible d’affirmer que l’Internet se met au service des opérations bancaires et financières dans la mesure où il impose des obligations d’information à la charge des établissements de crédit.

De plus, il substitue au traditionnel « papier » une notion d’écrit numérique, à travers laquelle la dématérialisation du formalisme bancaire peut s’opérer et le consensualisme de principe librement s’exercer.

Tout en demeurant une véritable opportunité, il s’agit par ailleurs d’une des craintes principales quand on aborde la protection du consommateur, et ceci à double titre.

D’une part, le consentement du consommateur, si facilement exprimable via l’Internet (théoriquement un clic suffit pour le manifester), se retrouve plus encadré (réitération du clic) que dans les cas de vente à distance classique créant, par là, un nouveau concept juridique difficilement classifiable.

D’autre part, l’ensemble des informations légalement pertinentes au regard des dispositions bancaires et financières risque de se retrouver littéralement noyé dans une masse de données à vocation commerciale, voire simplement informative.

Appartiendra-t-il au consommateur de faire lui-même le tri ?

807. Le secteur bancaire et financier au service de l’Internet

Là où l’Internet, véritable iceberg de données, laisse subsister certaines zones d’ombre, non pas par l’absence de législation mais surtout par sa délicate mise en œuvre1228 et spécialement là où, traditionnellement, la lumière protectrice d’une autorité de contrôle ne pénètre pas la partie immergée, le secteur bancaire et financier apporte une appréciable lueur.

L’établissement de crédit fait figure « d’épouvantail » en raison de la puissance économique qu’il dégage et du déséquilibre conséquent qu’il imprime à toute transaction avec des consommateurs.

Aussi, la présence de l’AMF et d’autres organismes comme la CNIL est-elle la réelle garantie d’une protection efficace que ne connaissent pas nécessairement d’autres secteurs non réglementés.

808. Bilan

Lors de sa communication du 7 février 20011229, la Commission proposait une double démarche afin de réaliser un marché européen des services financiers pleinement intégré 1230 : imposer la logique du marché intérieur par la mise en œuvre du principe de la reconnaissance mutuelle de la législation du pays d’origine d’un part et d’autre part instituer un niveau élevé de protection harmonisée des consommateurs 1231.

Concernant les outils législatifs, force est de constater que tant la directive « commerce électronique » de 2000 que celle relative aux services financiers à distance de 2002 sont venues remplir cet objectif, en instaurant notamment un terrain propice à l’amélioration de cette fameuse confiance.

En premier lieu, une prestation bancaire ou financière régulièrement fournie dans le pays d’origine peut désormais être librement admise dans les autres Etats membres ; enfin, en second lieu, la protection des consommateurs se voit nivelée selon des standards que connaît déjà le droit français.

809. Cohérence du système

En conséquent, l’harmonisation générale des informations précontractuelles voire des droits accordés au consommateur (rétractation) dans la conclusion en ligne de transactions bancaires et financières ne soulève pas de difficultés particulières.

Ce n’est qu’à l’analyse au cas par cas des législations, des types d’opérations bancaires, que des obstacles peuvent apparaître.

Maître P. LUTZ conteste à cet effet les modèles types imposés par le Code de la consommation dans son article R. 311-6, énonçant que le secteur du crédit au consommateur doit être refondu et que les exigences françaises ne sont plus justifiées : « plutôt que de mener un combat défensif pour le maintien d’un droit de la consommation hexagonal, présenté comme insurpassable, mieux vaudrait aider à la transformation de ce droit pour permettre au consommateur de bénéficier d’un marché plus concurrentiel et d’un éventail de produits plus large »1232.

Il est vrai que, replacé dans un contexte international, le droit français peut apparaître comme trop protectionniste pour son consommateur.

On doit néanmoins reconnaître que, dans l’attente d’une harmonisation plus poussée en la matière, pour autant qu’elle soit souhaitable, la législation française ne semble pas contrevenir de ce point de vue aux dispositions communautaires.

D’ailleurs ces modèles n’empêchent jamais la dématérialisation des contrats.

Reste qu’il ne faut pas confondre, à notre avis, la légalité de l’offre (assurée par le principe de la loi du pays d’origine) et le respect des législations nationales impératives (à partir du moment où le consommateur français est pris pour cible). Là réside l’équilibre permettant la réelle compréhension du système établi.

810. La directive « Marchés d’instruments financiers »

D’autres dispositions devraient prochainement compléter le dispositif national.

Il en est ainsi de la transposition de la directive « Marché d’instruments financiers1233 » qui doit permettre aux entreprises d’investissement, sur la base d’un agrément délivré par l’Etat d’origine, d’offrir leurs services sur l’ensemble du territoire de l’Union européenne 1234.

En outre, elle tend également à renforcer la protection des investisseurs en fixant des normes minimales concernant le mandat et les pouvoirs dont doivent disposer les autorités nationales compétentes.

Pour le Professeur J.-J. DAIGRE, le leitmotiv de cette directive est « de renforcer la concurrence entre les différents systèmes de négociation, quels qu’ils soient, tant à l’échelle de l’Europe qu’à celle de chaque pays. Il y a, derrière cela, un objectif : la création d’un marché financier unique »1235.

Il est à noter que la loi du 20 juillet 20051236, en même temps qu’elle met en place un système de déclarations d’opérations suspectes 1237 aux articles L. 621-17-2 et suivants du Code monétaire et financier, autorise le gouvernement à transposer la directive « Marchés d’instruments financiers » par voie d’ordonnance1238 dans un délai de dix-huit mois.

Ce double objectif de libre prestation et de protection de l’investisseur est désormais classique. En revanche, la directive introduit certaines innovations1239 dont l’Internet ne manquera pas de servir de support.

1227 Rédaction Znet France, Alerte d’escroquerie par « phishing » contre des clients de banques françaises, 27 mai 2005, disponible sur : www.rss.znet.fr/actualites/internet/0,39020774,39227210,00.htm; CROUZILLACQ P., La Cnil met en garde les internautes contre le phishing, 29 avril 2005, disponible sur : www.01net.com; BRAFMAN N. et MAMOU Y., L’usurpation d’identité, une fraude qui se répand sur l’Internet, Le Monde, 1er juin 2005, disponible sur : www.lemonde.fr.

1228 D’un point de vue quantitatif.

1229 Communication « commerce électronique et services financiers » préc.

1230 DE BROUWER F et MARTY C. La communication de la Commission européenne en matière de commerce électronique et de services financiers vers un véritable marché intérieur des services financiers ?, Banque et Droit, mars-avril 2001, n°76, p. 9.

1231 LUTZ P., Les suites de la directive sur le commerce électronique : la nécessaire refonte du droit français du crédit aux consommateur, RDBF, mars-avril 2002, n° 2, p.87.

1232 LUTZ P., art. préc., p. 91.

1233 Directive 2004/39/CE du Parlement européen et du Conseil, du 21 avril 2004, concernant les marchés d’instruments financiers, modifiant les directives 85/611/CEE et 93/6/CEE du Conseil et la directive 2000/12/CE du Parlement européen et du Conseil et abrogeant la directive 93/22/CEE du Conseil.

1234 Toutefois certaines questions restent en suspens, v. GARDELLA G., Le marché financier après la directive MIF : les questions qui restent posées, Banque et droit, juillet-août, n°102, p.3.

811. Les innovations envisagées

Pour le droit français, l’innovation de la directive de 2004 repose sur la création d’un troisième mode d’exécution des ordres 1240.

En effet, celui-ci serait assuré directement par une entreprise d’investissement qui réaliserait la transaction.

Il s’agit donc d’un système bilatéral puisque l’entreprise ne recourt pas à un intermédiaire pour les transactions. Ces dispositions sont assorties de garanties importantes permettant d’assurer la meilleure exécution possible des ordres et la transparence des négociations.

L’entreprise d’investissement joue alors le rôle d’un internalisateur systématique, au sens de l’article 4 7) de la directive1241, qui se place en contrepartie des offres de ses clients.

Dans ce schéma, « l’internalisation [se fait] par des acteurs de marché, c’est-à-dire [par] la confrontation en leur sein – et non plus sur les marchés réglementés – d’ordres dont ils peuvent se porter contrepartie, selon la logique anglo-saxonne des teneurs de marché (« market makers »1242)».

Ces derniers, étant intervenants de marchés dotés d’un accès direct à la négociation des ordres traitant pour leur compte propre, doivent proposer en permanence des prix d’achat et de vente sur les titres pour lesquels ils se sont déclarés market makers.

Ainsi, les valeurs disposant d’un market maker pourront être négociées en continu. Par ailleurs, il peut être sollicité par un intermédiaire pour la négociation d’ordres de ses clients.

812. Les enjeux

L’objectif poursuivi par la directive est de permettre aux investisseurs de voir leurs ordres exécutés dans les meilleures conditions et à meilleur coût. Il n’en reste pas moins des risques que l’Internet pourrait encore une fois accentuer en raison de la rapidité des transactions.

En effet, les titres pourront être échangés sur plusieurs lieux en même temps et non plus uniquement sur un marché réglementé.

« Il importe donc que le prix d’échange soit le plus proche de ce qu’il serait si toute l’offre venait rencontrer toute la demande.

Les prestataires de services d’investissement doivent donc s’assurer que le volume des offres de vente et d’achat de leurs clients est suffisamment élevé pour permettre les échanges à un juste prix. Plus techniquement, il faut s’assurer que la « profondeur » du marché est suffisante 1243 ».

Enfin la présence de nouveaux acteurs, ayant la faculté d’exécuter des ordres sur titres, impose de s’assurer que leurs intérêts propres n’entrent pas en conflit avec ceux de leurs clients.

813. Les futures initiatives bancaires

« Pour les banquiers français, l’harmonisation n’est pas une fin en soi, mais le moyen d’avancer dans la construction de l’Europe bancaire et financière, c’est-à-dire dans la réalisation d’un marché où chacun pourrait trouver, selon ses besoins, une offre de produits et de services facile d’accès, large et variée, de qualité, sûre et compétitive 1244 ».

Dans ce contexte pieusement affiché, les établissements de crédit français ont défini un programme de travail 2005-2010 et établi certaines propositions opérationnelles.

Principalement, trois principes ont été posés :

1) S’adapter aux besoins du marché

Du marché le plus local (la plus grande partie de la banque de détail) au plus intégré (les marchés financiers), « s’interroger sur les raisons de cet état de fait, se demander ce qui est utile et agir en conséquence- et non chercher à imposer un modèle prédéterminé »;

2) Etre efficace

« L’action législative ou réglementaire peut être un levier puissant d’intégration. Elle doit cependant être efficace : c’est-à-dire se fixer des objectifs raisonnables, obtenir de bons résultats avec des moyens en proportion, mis en oeuvre selon un ordre clair de priorités.

Aussi toute nouvelle mesure réglementaire devrait-elle être testée au regard de ce principe : son utilité, son coût (qui sera, au final, répercuté sur le client), sa simplicité (ou lisibilité).

L’harmonisation ne doit pas conduire à empiler des règles, mais à définir ce qui est vraiment important pour la mise en regard d’offres diverses » ;

1235 DAIGRE J.-J., De la directive de 1993 à celle de 2004 : d’un modèle de marché à un autre, Banque et droit, juillet-août 2005, n° 102, p. 10.

1236 Loi n°2005-811 du 20 juillet 2005 portant diverses dispositions d’adaptation au droit communautaire dans le domaine des marchés financiers.

1237 C’est-à-dire l’obligation de déclarer à l’AMF toute opération pour laquelle des raisons de suspecter qu’elle pourrait constituer une opération d’initié ou une manipulation de cours au sens des dispositions du règlement général de l’Autorité des marchés financiers existent.

1238 Article 5 II de la loi du 20 juillet 2005 : « le Gouvernement est autorisé à prendre par ordonnance, dans les conditions prévues à l’article 38 de la Constitution, les mesures nécessaires pour transposer la directive 2004/39/CE du Parlement européen et du Conseil, du 21 avril 2004, concernant les marchés financiers, et notamment celles tendant à la protection des investisseurs, par le renforcement de la transparence et de l’intégrité des marchés financiers. Dans ce cadre, il veille plus particulièrement à définir les principes et modalités garantissant la meilleure exécution possible des ordres et la fluidité de leur circulation entre les infrastructures de marché, la prévention des conflits d’intérêt au sein des prestataires de services d’investissement, et une définition équitable des dérogations accordées à la transparence des négociations ».

1239 V. à ce sujet : KORL J., Présentation générale de la directive MIF et de sa mise en œuvre, Banque et droit, juillet-août 2005, n° 102, p. 5.

1240 Trois modes d’exécution des ordres sont déterminés par la directive : l’exécution sur un marché réglementé, sur un système multilatéral de négociation et directement par un prestataire de services d’investissement (système bilatéral).

1241 C’est-à-dire une entreprise d’investissement qui, de façon organisée, fréquente et systématique, négocie pour compte propre en exécutant les ordres des clients en dehors d’un marché réglementé ou d’un mtf.

1242 Rapport général de MARINI P. fait au nom de la commission des finances, du contrôle budgétaire et des comptes économiques de la nation sur le projet de loi de finances pour 2005, adopté par l’assemblée nationale, commentaire de l’article 21 portant sur la modernisation de différentes dispositions relatives au financement d’investissements à risques ou de proximité, 25 novembre 2004, document disponible sur : http://www.senat.fr/rap/l04-074-21-1/l04-074-21-133.html.

1243 Rapport n°2351 de MALLIÉ R. fait au nom de la commission des finances, de l’économie générale et du plan sur le projet de loi, adopté par le Sénat, portant diverses dispositions d’adaptation au droit communautaire dans le domaine des marchés financiers, Assemblée nationale, 1er juin 2005, disponible sur : http://www.assemblee-nationale.fr/12/rapports/r2351.asp#P206_21630.

1244 Communiqué de la Fédération bancaire française, Europe bancaire et financière 2005-2010 : les banquiers français proposent une harmonisation différenciée, 17 mars 2004, disponible à l’adresse :

3) Favoriser une saine concurrence

« Une saine concurrence est la meilleure garantie de développement de l’industrie et de respect des intérêts du consommateur.

Elle doit s’exercer dans un cadre transparent, où sont prises en compte les règles qui s’appliquent effectivement (et notamment du système juridique et de la fiscalité) »1248.

814. Le rôle futur de l’Internet

Peut-être, peut-on voir dans ce texte une critique du secteur bancaire français vis-à-vis de l’action prolifique du législateur de ces dernières années.

Quoi qu’il en soit, on peut s’interroger, in fine, sur le rôle que l’Internet jouera dans ce véritable plan d’action : permettra-il de favoriser ces trois principes ?

• En premier lieu, les établissements de crédit envisagent de « s’adapter aux besoins du marché ».

On peut penser que l’Internet jouera un rôle certain dans la satisfaction de cet objectif dans la mesure où il permet une analyse rapide des évolutions des besoins et surtout une réactivité accrue des établissements de crédit par rapport à ces évolutions.

De la même manière, si ces dernières années ont montré l’échec relatif des banques « 100% Internet », il n’en demeure pas moins que les services bancaires en ligne (consultation de solde, virement, paiement) recueillent de plus en plus d’adeptes et que, faute de réels obstacles juridiques, ils sont appelés à se multiplier.

• En second lieu, il s’agit, précise le texte, d’être efficace.

En tout état de cause, cet objectif dépend largement du législateur. Mais déjà, les autorités françaises se sont engagées dans une démarche de transparence normative à laquelle l’Internet participe grandement.

On peut d’ailleurs affirmer qu’aujourd’hui l’Internet constitue le meilleur vecteur de transmission de l’information juridique. Certes, la compréhension de la règle reste un problème, mais l’Internet offre une accessibilité sans précédent.

Par exemple, l’ensemble de la réglementation bancaire et financière peut être consulté via le site de l’AMF (www.amf-France.org). De même, tout autre texte français, ainsi qu’une jurisprudence abondante, se retrouvent sur le site Légifrance (www.legifrance.gouv.fr).

Par ailleurs, le site de l’Union européenne (www.europa.eu.int) offre, lui aussi, une importante base de données juridiques et ainsi que des dossiers thématiques sur le secteur bancaire et financier.

Nul doute que le rôle de l’Internet apparaîtra donc comme primordial dans la diffusion de l’information bancaire et financière à destination tant des professionnels établissements de crédit que des consommateurs.

Ainsi, la prise en compte de ces facteurs par le droit bancaire a déjà conduit l’AMF, dans de nombreux articles de son Règlement général, à rendre obligatoires certaines publications sur son propre site (article 123-1 du RG AMF sur la publication du rescrit) et sur le site des émetteurs (article 222-10 sur l’information permanente, à partir du moment où l’émetteur dispose d’un tel site, article 411-56-2 sur la mise en ligne de la version électronique du prospectus) ; sans revenir, de surcroît, sur les dispositions particulières portant sur la réception-transmission ou exécution des ordres de bourse via l’Internet (articles 321-54 et suivants du RG), le règlement utilise pleinement cet outil au point de prévoir une faculté de substitution à la lettre recommandée et au simple courrier (article 251-3 et 320-60 du RG).

Vu l’évolution entreprise, l’Internet deviendra un outil incontournable, s’il ne l’est déjà, des acteurs du secteur bancaire et financier.

• En troisième et dernier lieu, une saine concurrence doit s’opérer entre les différents établissements de crédit nationaux et internationaux.

C’est, sans doute, là le point le plus flagrant de l’apport de l’Internet au secteur bancaire.

Il est à l’origine de cette réflexion, tant il permet aujourd’hui la comparaison des offres ; il servira, naturellement, cet objectif demain avec la même ardeur au profit du consommateur.

Dans une optique de dématérialisation totale de la relation établissement de crédit/consommateur, on peut imaginer que de la même manière qu’un compte est « ouvrable » en ligne, il restera possible de le clôturer, et la suppression des frais qui en résultent facilitera très certainement la mobilité des clients. Se pose alors la question de savoir si l’établissement de crédit, en fin de compte, en sortira vainqueur.

Table des matières

• INTRODUCTION 1
• PREMIERE PARTIE – LA PRESENTATION DE SERVICES BANCAIRES ET FINANCIERS SUR L’INTERNET ET LE BON FONCTIONNEMENT DU MARCHE 8
• Observations préliminaires 9
• Titre I – La clause de marché intérieur comme fondement de la libre prestation de services bancaires et financiers sur l’Internet 14
• CHAPITRE 1 : Portée de la clause de marché intérieur 19
• Section 1 : Le contenu de la clause de marché intérieur 26
• §.1 : La libre prestation de services bancaires et financiers sur l’Internet 26
• A. Le principe 26
• B. Champ d’application 28
• §.2 : Conséquences et incertitudes induites par la clause de marché intérieur 30
• A. Une concurrence réglementaire à la baisse 31
• B. La question de l’harmonisation 31
• C. Une responsabilité pesant sur le destinataire 33
• D. La question de la compétence de juridiction 35
• Section 2 : Les dérogations à la clause de marché intérieur 38
• §.1 : Dérogations générales visées à l’annexe 39
• A. L’émission de monnaie électronique 41
• B. La publicité afférente à la commercialisation des OPCVM 42
• C. Le secteur des assurances 42
• D. L’envoi des communications non sollicitées 43
• E. Le droit applicable aux contrats 44
• F. Les obligations contractuelles dans les contrats conclus avec le consommateur 44
• §.2 : Les dérogations du fait de l’Etat destinataire et les objectifs communautaires 46
• A. Analyse de l’article 3§4 48
• B. Procédure de l’article 3§4 50
• C. Analyse de la jurisprudence de la CJCE 51
• a. Des mesures non discriminatoires 51
• b. Des mesures poursuivants un but d’intérêt général 52
• c. Des mesures respectant le droit communautaire dérivé 52
• d. Des mesures nécessaires et adéquates 53
• CHAPITRE 2 : L’impact de la clause de marché intérieur 58
• Section 1 : Les agréments et le principe de reconnaissance mutuelle confrontés à la clause de marché intérieur 61
• §.1 : Solution posée par les directives 63
• §.2 : L’Internet comme mode d’expression de la libre prestation de services bancaires 64
• Section 2 : La clause de marché intérieur et la procédure de notification de libre prestation de service 68
• §.1 : L’opposition existante 69
• §.2 : L’intention du prestataire 69
• §.3 : Implications pratiques 71
• Section 3 : Les règles relatives à la publicité et au démarchage au regard de la clause de marché intérieur 73
• Titre II – La sécurité technique et juridique des transactions bancaires et financières sur l’Internet 79
• CHAPITRE 1 : Cryptologie et facturation par voie électronique comme réponses aux attentes sécuritaires 81
• Section 1 : La cryptologie, outil de libéralisation des opérations bancaires et financières 83
• §.1 : La nécessaire utilisation de la cryptologie dans le secteur bancaire et financier 83
• A. Précisions relatives à la cryptologie 83
• a. Cryptographie symétrique 84
• b. Cryptographie asymétrique 85
• B. La sécurité en tant que motif déterminant du recours à la cryptologie 88
• §.2 : Le régime juridique français de la cryptologie et ses conséquences pour le secteur bancaire et financier 89
• A. Régime issu de la loi de 1990 90
• a. Le régime de la cryptologie « libre » 90
• b. Le régime des tiers agréés 92
• c. Le régime de la cryptologie « soumise à formalité préalable » 93
• B. Les apports de la loi pour la confiance dans l’économie numérique 96
• Section 2 : La transmission par voie électronique des factures relatives à des opérations bancaires et financières 102
• §.1 : La notion de facture indépendante de son support 103
• §.2 : La transmission de la facture électronique 104
• §.3 : Le rôle probatoire de la facture 107
• CHAPITRE 2 : Moyens de paiement en ligne comme nouvelles opportunités pour les établissements bancaires et financiers 112
• Section 1 : Typologie des moyens de paiement sur l’Internet 115
• §.1 : Les moyens de paiements usuels 116
• A. La carte de crédit 116
• B. Le chèque 122
• §.2 : Les nouveaux moyens de paiement 125
• A. Le paiement par intermédiaire virtuel 126
• B. La monnaie électronique 126
• a. Les cartes à puce ou cartes prépayées 127
• b. Les porte-monnaie virtuels 128
• Section 2 : Le régime juridique de la monnaie électronique 130
• §.1 : Définition 130
• §.2 : Qualification 132
• A. Une unité de compte 132
• B. Un nouveau moyen de paiement 132
• C. Un nouvel instrument monétaire 133
• §.3 : Le risque de blanchiment de la monnaie électronique 136
• A. Définitions du blanchiment d’argent 137
• B. Les techniques de blanchiment de la monnaie électronique 140
• a. Le placement 142
• b. L’empilement 142
• c. L’intégration 143
• Section 3 : Analyse du cadre instauré par la directive 2000/28/CE du Parlement européen 144
• §.1 : Principes directeurs 144
• A. Limitation des activités des établissements de monnaie électronique 144
• B. Remboursabilité 145
• C. Garantie de solvabilité 146
• a. Exigences en matière de capital et de fonds propres permanents 147
• b. Limitation des placements 147
• D. Contrôle prudentiel 147
• E. Libre prestation de services 148
• F. Exemptions 148
• §.2 : Transposition de la directive 148
• Titre III – La résolution des litiges internationaux relatifs aux opérations bancaires et financières sur l’Internet 154
• CHAPITRE 1 : Juge compétent et loi applicable en matière d’opérations bancaires et financières sur l’Internet 156
• Section 1 : La juridiction compétente pour trancher les conflits relatifs aux opérations bancaires et financières sur l’Internet 157
• §.1 : En matière délictuelle 157
• A. La réponse apportée par les textes européens 159
• a. Critère général de compétence 160
• b. Critère spécial de compétence 161
• B. La réponse apportée par le législateur français 163
• §.2 : En matière contractuelle 167
• A. En l’absence d’une clause attributive de compétence 168
• B. En présence d’une clause attributive de compétence 171
• Section 2 : La loi applicable aux conflits relatifs aux opérations bancaires et financières sur l’Internet 174
• §.1 : En matière délictuelle 175
• §.2 : En matière contractuelle 176
• CHAPITRE 2 : Les modes de règlement extrajudiciaire des litiges 188
• Section 1 : Aperçu sur les modes alternatifs de règlement des litiges 189
• §.1 : La diversité des modes alternatifs de règlement des litiges 191
• A. La « co- médiation » 192
• B. La « last-offer mediation » 192
• C. La « med-arb » 192
• D. Le « conseiller neutre » et le « Dispute review board » 193
• E. Le « mini-trial » 193
• F. La « tierce décision obligatoire » 194
• G. Les systèmes d’ORD 194
• §.2 : L’utilisation des modes alternatifs de règlement des litiges dans le secteur bancaire et financier 195
• Section 2 : Le développement des modes alternatifs de règlement des litiges encouragé par le législateur européen 198
• §.1 : Utilisation des modes alternatifs de règlement des litiges en ligne : obligation de résultat de mettre fin aux obstacles juridiques 200
• §.2 : Conservation des garanties procédurales dans le mécanisme alternatifs de règlement des litiges : obligation de moyen 202
• A. Principe de transparence 203
• B. Principe de contradictoire 205
• C. Principe d’indépendance 205
• D. Principe de l’efficacité 207
• E. Principe de liberté 208
• F. Principe de légalité 209
• G. Principe de représentation 210
• DEUXIEME PARTIE – LA PRESTATION DE SERVICES BANCAIRES ET FINANCIERS SUR L’INTERNET ET LA PROTECTION DES CONSOMMATEURS 215
• Observations préliminaires 216
• Titre I – Le formalisme et la preuve des transactions bancaires et financières sur l’Internet 224
• CHAPITRE 1 : Le formalisme lié à la prestation de services bancaires et financiers sur l’Internet 228
• Section 1 : La fin des obstacles formels aux contrats bancaires et financiers en ligne 231
• §.1 : Les évolutions de textes favorisant la conclusion des contrats en ligne 232
• A. L’article 9 de la directive sur le commerce électronique 232
• a. Le principe établi par l’article 9§1 : supprimer les obstacles 233
• b. Les exceptions de l’article 9§2 235
• B. La suppression des obstacles en droit interne 236
• a. L’approche fonctionnelle : une révolution dans le formalisme contractuel classique 236
• b. La transposition opérée par la LEN 239
• §.2 : Diversité et manifestation du formalisme dans les opérations bancaires et financières 242
• A. Diversité des formalismes dans les opérations bancaires et financières 243
• B. Les manifestations du formalisme dans les opérations bancaires et financières 246
• C. La dématérialisation des contrats bancaires 249
• Section 2 : La signature électronique : technique d’identification et de preuve des transactions bancaires et financières sur l’Internet 254
• §.1 : Les obstacles historiques à l’admissibilité de la preuve électronique 259
• §.2 : La reconnaissance légale de la signature électronique : l’article 5 de la directive européenne sur les signatures électroniques 264
• A. La double définition du concept de signature électronique 265
• B. Les effets juridiques : les clauses de non discrimination et d’assimilation 266
• §.3 : L’adaptation du droit français de la preuve aux technologies de l’information 270
• A. Définition de la preuve littérale indépendamment du support 271
• B. Equivalence juridique entre la preuve littérale électronique et traditionnelle 272
• C. Pouvoir du juge de trancher les conflits de preuve et consécration légale du caractère supplétif des règles de preuve 273
• D. Signature électronique et pratique bancaire 274
• CHAPITRE 2 : De quelques exemples de contraintes spécifiques 280
• Section 1 : Le secteur du crédit 282
• §.1 : La nature de l’opération de crédit 282
• §.2 : Exigences formelles dans les opérations de crédit 284
• Section 2 : Le courtage en ligne 292
• §.1 : La conclusion du contrat 294
• A. La nécessité d’une convention 294
• B. L’identification du client 296
• §.2 : L’information du client 299
• Section 3 : L’émission des actions en ligne 302
• Section 4 : Le conseil et l’information bancaire 308
• Titre II – La réglementation des services bancaires et financiers à distance 313
• CHAPITRE 1 : La protection du consommateur confronté à l’offre de services bancaires et financiers en ligne 317
• Section 1 : Les protections de base 319
• §.1 : L’information du consommateur 320
• A. L’information préalable du consommateur : le pilier de la directive sur les services financiers à distance 320
• a. Les informations préalables à fournir 320
• b. Les modalités et le moment de communication des informations 322
• c. Articulation avec les exigences supplémentaires en matière d’information 324
• B. Les informations à fournir dans le cadre de la réglementation « commerce électronique » 325
• a. Les informations relatives au prestataire de service 326
• b. Informations à fournir avant la passation de la commande 327
• c. Informations postérieures à la commande 328
• §.2 : Le droit de rétractation 330
• A. Délai de rétractation 331
• B. Exceptions au droit de rétractation 333
• Section 2 : Les protections complémentaires 334
• A. Les mesures réparatrices en cas d’utilisation frauduleuse de la carte bancaire du consommateur 334
• B. L’interdiction de la vente forcée 336
• C. Le régime des communications commerciales non sollicitées 338
• D. Les voies de recours 339
• E. Autres mesures 340
• CHAPITRE 2 : L’articulation des directives « commerce électronique » et « services financiers à distance » 344
• Section 1 : L’articulation des deux directives entre elles 345
• §.1 : Champ d’application de la directive de 2002 345
• A. Champ d’application rationae materiae 346
• a. Les services financiers 346
• b. Les contrats à distance 348
• B. Le champ d’application rationae personae 350
• §.2 : Les recoupements entre la directive de 2002 et celle de 2000 353
• A. Points de contact 354
• B. Complémentarités 355
• Section 2 : L’articulation des directives avec les autres textes 358
• §.1 : L’adaptation des autres législations sectorielles à l’Internet 359
• A. Les obligations contractuelles concernant les contrats conclus par les consommateurs 359
• B. Autres réglementations 361
• §.2 : La possibilité pour les Etats membres de prendre des mesures spécifiques à l’égard d’un service particulier : les services financiers non harmonisés 363
• Titre III – La protection des données personnelles dans le cadre des opérations bancaires et financières sur l’Internet 368
• CHAPITRE 1 : La protection par les droits accordés 372
• Section 1 : Le champ d’application de la protection 373
• §.1 : Rationae materiae 373
• §.2 : Rationae personae 376
• Section 2 : Les droits du consommateur 376
• §.1 : Droit d’opposition 377
• §.2 : Droit d’accès 379
• A. Droit de communication 379
• B. Droit de modification et de suppression 381
• CONCLUSION du chapitre 1 382
• CHAPITRE 2 : La protection par les obligations imposées 383
• Section 1 : Les conditions de la légalité du traitement 383
• §.1 : Conditions relatives aux données 384
• A. Finalité de la collecte 384
• B. La durée de conservation des données 386
• §.2 : Conditions relatives aux traitements 390
• Section 2 : La mise en œuvre du traitement 392
• §.1 : Obligations préalables à la mise en œuvre du traitement 392
• A. Contenu des obligations préalables 392
• B. La notation de la clientèle bancaire 394
• §.2 : Obligations du responsable du traitement 396
• A. L’obligation de sécurité 397
• B. Obligation d’information 398
• C. Communication des données à des partenaires commerciaux 399
• a. Remarques générales 399
• b. Les flux transfrontières de données personnelles 401
• CONCLUSION GENERALE