La première page du mémoire (avec le fichier pdf):
Université Panthéon-Assas (Paris II) - Droit- Economie- Sciences sociales
Thèse pour le Doctorat en Droit, présentée et soutenue publiquement le 17 mars 2078

Le champ d’application de la protection des données personnelles

  1. Internet au service des opérations bancaires et financières
  2. Prestation de services bancaires et financiers sur l’internet
  3. Clause de marché intérieur et Prestation de services bancaires
  4. Distinction entre prestation de services et mouvement de capitaux
  5. Marché des services bancaires et financiers : Contenu de la clause
  6. Conséquences induites par la clause de marché des services bancaires
  7. La compétence de juridiction – le marché des services bancaires
  8. Les dérogations à la clause de marché intérieur
  9. La publicité afférente à la commercialisation des OPCVM
  10. Les dérogations du fait de l’Etat destinataire du service
  11. Analyse de la jurisprudence de la CJCE
  12. L’impact de la clause de marché intérieur
  13. La reconnaissance mutuelle et la clause de marché intérieur
  14. Internet : mode d’expression de la libre prestation de services bancaires
  15. Clause de marché intérieur et Notification de libre prestation de service
  16. La publicité et le démarchage et la clause de marché intérieur
  17. La sécurité juridique des transactions bancaires sur l’internet
  18. Utilisation de la cryptologie dans le secteur bancaire et financier
  19. Le régime juridique français de la cryptologie / secteur bancaire
  20. Les apports de la loi pour la confiance dans l’économie numérique
  21. La notion de facture indépendante de son support
  22. La transmission de la facture électronique
  23. Le rôle probatoire de la facture (la facture électronique)
  24. Moyens de e-paiement: nouvelles opportunités pour le secteur bancaire
  25. Les moyens de paiement usuels : la carte de crédit et le chèque
  26. Le paiement par intermédiaire virtuel et la monnaie électronique
  27. Le régime juridique de la monnaie électronique : Définition
  28. Le blanchiment d’argent : risque et définitions
  29. Les techniques de blanchiment de la monnaie électronique
  30. L’activité d’émetteur de monnaie électronique : les principes
  31. Transposition de la directive 2000/28/CE du Parlement européen
  32. Loi applicable en matière d’opérations bancaires sur l’internet
  33. Les opérations bancaires et financières sur l’Internet
  34. Le législateur français et la responsabilité délictuelle sur l’Internet
  35. La juridiction compétente dans un contrat électronique
  36. La loi et les conflits relatifs aux opérations financières sur l’Internet
  37. Modes de règlement extrajudiciaire des litiges nés de transactions en ligne
  38. Utilisation des modes alternatifs de règlement des litiges en ligne
  39. Garanties procédurales dans les mécanismes de règlement des litiges
  40. La prestation de services financiers online en droit français
  41. Formalisme et preuve des transactions financières sur l’Internet
  42. Les obstacles formels aux contrats bancaires et financiers en ligne
  43. L’article 9 de la directive sur le commerce électronique
  44. Adoption de la loi pour la confiance dans l’économie numérique LEN
  45. La loi pour la confiance dans l’économie numérique et Transposition
  46. Diversité des formalismes dans les opérations bancaires et financières
  47. Manifestations du formalisme dans les opérations bancaires et financières
  48. La dématérialisation des contrats bancaires
  49. Signature électronique : preuve des transactions financières sur l’Internet
  50. Obstacles historiques à l’admissibilité de la preuve électronique
  51. La signature électronique : Reconnaissance légale et Définition
  52. Les effets de la reconnaissance légale de la signature électronique
  53. Adaptation du droit français de la preuve aux technologies
  54. La signature électronique et la pratique bancaire
  55. La nature de l’opération de crédit sur un site Internet
  56. Exigences formelles dans les opérations de crédit via l’Internet
  57. Le courtage en ligne : la nécessité d’une convention
  58. L’identification du client et l’opération de crédit en ligne
  59. L’information du client d’un établissement de crédit
  60. L’émission des actions en ligne
  61. Le conseil et l’information bancaire – la banque en ligne
  62. La règlementation des services bancaires et financiers à distance
  63. Protection du consommateur et Offre des services bancaires en ligne
  64. Informations à fournir dans le cadre de la réglementation sur le e-commerce
  65. Le droit de rétractation : le délai et les exceptions
  66. L’utilisation frauduleuse de la carte bancaire du consommateur
  67. Le régime des communications commerciales non sollicitées
  68. L’articulation des directives e-commerce et services financiers à distance
  69. Les directives sur les contrats à distance et sur le e-commerce
  70. L’adaptation des autres législations sectorielles à l’Internet
  71. Les services financiers non harmonisés : conditions et procédure
  72. Protection des données personnelles – Opérations financières sur l’internet
  73. Le champ d’application de la protection des données personnelles
  74. Les droits du consommateur et la protection des données personnelles
  75. La protection des données à caractère personnel
  76. La mise en œuvre du traitement des données à caractère personnel
  77. La notation de la clientèle bancaire et la protection des données
  78. Obligations du responsable du traitement des données personnelles
  79. Flux transfrontières de données personnelles via l’Internet

La protection par les droits accordés – Chapitre 1er :
730. Une protection ancienne. Les droits accordés à la personne concernée par les données à caractère personnel ne sont pas une nouveauté issue de la loi de 2004. Déjà, la loi informatique et libertés, dans sa rédaction de 1978, lui consentait un droit d’accès et de rectification à travers son article 34. L’objectif affirmé de ce texte est de protéger la personne fichée, le législateur ayant considéré que les collectes de telles données ainsi que leur traitement constituaient des atteintes aux libertés et à la vie privée.
731. Internet et monde bancaire. Si certains ont pu la qualifier de « réussite législative assez exceptionnelle »1112, la montée en puissance de l’Internet et des moyens informatiques, permettant une mondialisation et une automatisation des collectes et des traitements, soumet la loi de 1978 à un nouveau défi. Pourtant, à sa lecture, force est de constater qu’elle n’est pas particulièrement propre à l’Internet. L’article 23 envisage toutefois la possibilité d’effectuer la déclaration du traitement électroniquement et l’article 32 vise expressément les utilisateurs des réseaux de communication électroniques. Certes, l’Internet n’est qu’un canal de communication mais le texte apparaît pauvre en références électroniques. La question de l’adaptation des droits du consommateur au contexte dématérialisé est donc importante, d’autant plus que les établissements de crédit semblent concernés au premier plan par le traitement des données à caractère personnel. En effet, non seulement les opérations bancaires mentionnées à l’article L.311-1 du Code monétaire et financier, comme par exemple les opérations de crédit, nécessitent un tel traitement, mais encore la pratique bancaire a développé des outils basés sur ces données afin d’évaluer les capacités financières de leurs clients et les risques encourus par ceux-ci. Dans l’ensemble, les consommateurs sont habitués à fournir des informations générales dans le cadre du commerce électronique, ils sont en revanche plus réticents lorsqu’il s’agit de données personnelles financières. « Dès lors, les banques proposant des services en ligne se doivent d’assurer la confidentialité des données qu’elles possèdent et ont tout intérêt à démontrer leur volonté de protéger et satisfaire leurs clients par des signes tels que : labels, signatures, chartes de respect de la vie privée »1113.
732. Processus. Il est évident que le fonctionnement des opérations en ligne suppose au préalable un échange d’informations entre le client et sa banque. Les données à caractère personnel collectées en ligne à l’aide de formulaires remplis volontairement par le consommateur, proviennent majoritairement des sites bancaires1114. L’ensemble de ces données collectées, compilé dans un fichier1115, fait ensuite l’objet d’un traitement en agence ou par un automate. Ainsi, les notions clés de données à caractère personnel et de traitement doivent être précisées, définissant, entre autres, le champ d’application de la protection (section 1) avant d’analyser le contenu même des droits reconnus au consommateur (section 2).
Section 1. Le champ d’application de la protection
733. Plan. On peut noter une forte convergence entre la loi de 1978 et la directive de 1995, une ressemblance qui se manifeste par de grandes similitudes textuelles. Très simplement, nous pouvons délimiter un champ d’application de la protection accordée ratione materiae (§1) et ratione personae (§2).
§ 1er. Ratione materiae
734. Activités personnelles. Concrètement, aux termes de son article 2, la loi de 1978 modifiée concerne tant les traitements automatisés de données à caractère personnel que les traitements non automatisés de telles données contenues ou appelées à figurer dans des fichiers, à l’exception des traitements mis en oeuvre pour l’exercice d’activités exclusivement personnelles. S’agissant d’opérations bancaires et financières en ligne, ce sont systématiquement des traitements automatisés qui seront employés en raison de la quantité d’informations collectées et des délais de traitement. Les établissements de crédit, par suite, seront automatiquement englobés dans le champ d’application de la loi, ces derniers n’agissant jamais dans le cadre d’activités personnelles ; par là, le législateur en effet, n’a voulu viser globalement que les carnets personnels d’adresses. Au-delà de ces activités, les notions de données à caractère personnel et de traitement appellent un examen particulier.

1113 GAUZENTE C., DUVAL A.-C., PIHAN B. et HUYNH H., Respect des informations personnelles des clients : les pratiques des sites français, Banque magazine, avril 2004, n° 657, p. 48.

1114 Ibid.
1115 L’article 2 alinéa 4 de la loi de 1978 indique que constitue un fichier de données à caractère personnel tout ensemble structuré et stable de données à caractère personnel accessibles selon des critères déterminés.
735. Données à caractère personnel : définition. On considère comme une donnée à caractère personnel1116 toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres1117. Le texte de la loi est ici assez large. Il peut s’agir du nom1118, prénom, date de naissance, adresse postale, adresse IP d’un ordinateur, numéro de téléphone, plaque d’immatriculation d’un véhicule, empreinte digitale ou génétique, photo1119, numéro de sécurité sociale… De même, le numéro de carte de paiement doit recevoir la qualification de donnée à caractère personnel parce qu’il permet d’identifier son titulaire.
736. Comparaison. Le législateur de 2004 a été amené, en transposant la directive de 1995 à préciser la définition qu’il avait donnée de la notion de données à caractère personnel sans toutefois se calquer complètement sur celle de la directive. En effet, il n’a pas souhaité reprendre la liste des éléments spécifiques propres à la personne concernée, telle qu’elle était suggérée par la directive (identité physique, physiologique, psychique, économique, culturelle ou sociale). D’autres définitions des données à caractère personnel existent, notamment celle énoncée par la Convention du conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel1120, ou bien celle du Comité des ministres du conseil de l’Europe issue d’une recommandation sur la protection des données à caractère personnel utilisées à des fins de recherche scientifique et de statistique1121. Quelles que soient les distinctions textuelles, l’essentiel, le point commun reste l’information qui concerne une personne physique identifiée ou identifiable.
737. La question de l’adresse électronique, le courriel1122. Il est d’usage que le site d’un établissement de crédit collecte une adresse email afin de permettre à son titulaire de recevoir des offres commerciales1123 ou bien une lettre d’information. La question de savoir si cette adresse fait partie des données à caractère personnel ne semble pas aujourd’hui poser de problème. Dans une délibération en date du 24 octobre 20021124, la CNIL a rappelé le caractère nominatif de cette données : « sont réputées nominatives au sens de la présente loi1125 les informations qui permettent, sous quelque forme que ce soit, directement ou indirectement, l’identification des personnes physiques auxquelles elles s’appliquent, que le traitement soit effectué par une personne physique ou par une personne morale ». Ainsi, une adresse électronique est directement nominative lorsque le nom de l’internaute figure dans le libellé de l’adresse et, lorsque tel n’est pas le cas, elle est considérée indirectement nominative dans la mesure où toute adresse électronique peut être associée à un nom. La protection instaurée par la loi de 1978 modifiée trouvera donc à s’appliquer.
738. Notion de traitement des données. Selon l’alinéa 3 de l’article 2 de la loi de 1978, constitue un traitement de données à caractère personnel « toute opération ou tout ensemble d’opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction ». Bien que cette liste ne soit pas exhaustive, l’énumération peut paraître impressionnante. Quoi qu’il en soit, le traitement par l’automate d’un site Internet rentre évidemment dans cet inventaire1126.

1116 Dans sa rédaction antérieure, la loi de 1978 parle de données nominatives ; les deux notions sont, semble-t-il synonymes, le législateur de 2004 se mettant simplement en conformité avec le vocabulaire de la directive de 1995.

1117 Article 2 al. 2 de la loi de 1978 modifiée.
1118 Pour la diffusion d’un annuaire professionnel en ligne, cf. délibération de la CNIL du 7 novembre 1995, Droit de l’informatique et des télécoms, 1996, n°2, p65, note MOLE A.
1119 Tribunal correctionnel de Privas, 3 septembre 1997, disponible sur : http://www.cyberlex.org/haas/coquine.htm, note HAAS G. et TISSOT O.
1120 « Toute information concernant une personne physique identifiée ou identifiable ».
1121 Recommandation n°R (83), 1983 : « Toute information concernant une personne physique identifiée ou identifiable. Une personne physique n’est pas considérée comme identifiable si cette identification nécessite des délais, des coûts ou des activités déraisonnables ».
1122 BISIAUX P. et MONEGER F., Le commerce électronique sur Internet et la protection des données personnelles, mémoire DEA Informatique et Droit, 1997-1998.
1123 « L’Union française du marketing direct a conçu, avec l’appui de la Cnil, un code de déontologie détaillant les conditions d’utilisations de l’e-mail marketing », DEVILLARD A., L’e-mail commercial donne des gages de bonne conduite, 8 avril 2005, disponible sur www.01net.com . Dans le même sens, la CNIL par les délibérations du 22 et 30 mars 2005 « a reconnu conformes à la loi du 6 janvier 1978 deux projets de codes de déontologie des professionnels du marketing direct relatifs à l’e-mailing », 11 avril 2005, disponible sur : www.cnil.fr .
1124 Délibération n° 02- 075 du 24 octobre 2002 portant dénonciation au parquet d’infractions a la loi du 6 janvier 1978.
1125 Article 4 de la loi du 6 janvier 1978.
1126 Office de Coordination Bancaire et Financier, Bulletin d’information n°663, décembre 2004, p.2
§ 2. Ratione personae
739. Le consommateur. Le consommateur est au centre du dispositif de protection des données personnelles dans la mesure où la loi ne vise que les données relatives à des personnes physiques1127. Par conséquent, toutes les données collectées par l’établissement de crédit sur ce type de clients que ce soit à l’occasion de l’ouverture d’un compte, de l’octroi d’un crédit ou de la souscription à un service de bourse en ligne, seront concernées par la protection légale. Pourtant, d’autres protagonistes influent sur le champ d’application de la loi, qui ne sera pas nécessairement applicable à tout consommateur de services financiers français.
740. Le responsable du traitement. En effet, l’applicabilité de la protection légale est encore conditionnée par l’existence de traitements de données à caractère personnel dont le responsable est établi sur le territoire français ou qui, sans être établi sur le territoire français ou sur celui d’un autre Etat membre de la Communauté européenne, recourt à des moyens de traitement situés sur le territoire français. Avec l’Internet, il n’est jamais heureux de définir un champ d’application au moyen du critère du territoire. Ceci étant, la loi de 1978 trouvera à s’appliquer dès lors que le site d’un établissement, quel que soit son Etat d’origine, est hébergé en France. Dans le cas contraire, la loi pourrait ne pas s’appliquer si l’établissement de crédit ne désigne pas un responsable du traitement parmi son personnel en France, s’il en dispose. C’est, par ce biais, une sorte de principe de la loi du pays d’origine qui se trouve mise en avant, de facto ; simplement la loi de 1978 va un peu plus loin en soumettant tous « moyens de traitement » situés en France à la loi informatique et liberté.
Lire le mémoire complet ==> (L’Internet au service des opérations bancaires et financières)
Thèse pour le Doctorat en Droit
Université Panthéon-Assas (Paris II) – Droit- Economie- Sciences sociales

Rechercher
Abonnez-vous!
Inscrivez-vous gratuitement à la Newsletter et accédez à des milliers des mémoires de fin d’études ! Inscrivez-vous gratuitement à la Newsletter et accédez à des milliers des mémoires de fin d’études !
En continuant, vous acceptez la politique de confidentialité

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.