Obligations du responsable du traitement des données personnelles

  1. Internet au service des opérations bancaires et financières
  2. Prestation de services bancaires et financiers sur l’internet
  3. Clause de marché intérieur et Prestation de services bancaires
  4. Distinction entre prestation de services et mouvement de capitaux
  5. Marché des services bancaires et financiers : Contenu de la clause
  6. Conséquences induites par la clause de marché des services bancaires
  7. La compétence de juridiction – le marché des services bancaires
  8. Les dérogations à la clause de marché intérieur
  9. La publicité afférente à la commercialisation des OPCVM
  10. Les dérogations du fait de l’Etat destinataire du service
  11. Analyse de la jurisprudence de la CJCE
  12. L’impact de la clause de marché intérieur
  13. La reconnaissance mutuelle et la clause de marché intérieur
  14. Internet : mode d’expression de la libre prestation de services bancaires
  15. Clause de marché intérieur et Notification de libre prestation de service
  16. La publicité et le démarchage et la clause de marché intérieur
  17. La sécurité juridique des transactions bancaires sur l’internet
  18. Utilisation de la cryptologie dans le secteur bancaire et financier
  19. Le régime juridique français de la cryptologie / secteur bancaire
  20. Les apports de la loi pour la confiance dans l’économie numérique
  21. La notion de facture indépendante de son support
  22. La transmission de la facture électronique
  23. Le rôle probatoire de la facture (la facture électronique)
  24. Moyens de e-paiement: nouvelles opportunités pour le secteur bancaire
  25. Les moyens de paiement usuels : la carte de crédit et le chèque
  26. Le paiement par intermédiaire virtuel et la monnaie électronique
  27. Le régime juridique de la monnaie électronique : Définition
  28. Le blanchiment d’argent : risque et définitions
  29. Les techniques de blanchiment de la monnaie électronique
  30. L’activité d’émetteur de monnaie électronique : les principes
  31. Transposition de la directive 2000/28/CE du Parlement européen
  32. Loi applicable en matière d’opérations bancaires sur l’internet
  33. Les opérations bancaires et financières sur l’Internet
  34. Le législateur français et la responsabilité délictuelle sur l’Internet
  35. La juridiction compétente dans un contrat électronique
  36. La loi et les conflits relatifs aux opérations financières sur l’Internet
  37. Modes de règlement extrajudiciaire des litiges nés de transactions en ligne
  38. Utilisation des modes alternatifs de règlement des litiges en ligne
  39. Garanties procédurales dans les mécanismes de règlement des litiges
  40. La prestation de services financiers online en droit français
  41. Formalisme et preuve des transactions financières sur l’Internet
  42. Les obstacles formels aux contrats bancaires et financiers en ligne
  43. L’article 9 de la directive sur le commerce électronique
  44. Adoption de la loi pour la confiance dans l’économie numérique LEN
  45. La loi pour la confiance dans l’économie numérique et Transposition
  46. Diversité des formalismes dans les opérations bancaires et financières
  47. Manifestations du formalisme dans les opérations bancaires et financières
  48. La dématérialisation des contrats bancaires
  49. Signature électronique : preuve des transactions financières sur l’Internet
  50. Obstacles historiques à l’admissibilité de la preuve électronique
  51. La signature électronique : Reconnaissance légale et Définition
  52. Les effets de la reconnaissance légale de la signature électronique
  53. Adaptation du droit français de la preuve aux technologies
  54. La signature électronique et la pratique bancaire
  55. La nature de l’opération de crédit sur un site Internet
  56. Exigences formelles dans les opérations de crédit via l’Internet
  57. Le courtage en ligne : la nécessité d’une convention
  58. L’identification du client et l’opération de crédit en ligne
  59. L’information du client d’un établissement de crédit
  60. L’émission des actions en ligne
  61. Le conseil et l’information bancaire – la banque en ligne
  62. La règlementation des services bancaires et financiers à distance
  63. Protection du consommateur et Offre des services bancaires en ligne
  64. Informations à fournir dans le cadre de la réglementation sur le e-commerce
  65. Le droit de rétractation : le délai et les exceptions
  66. L’utilisation frauduleuse de la carte bancaire du consommateur
  67. Le régime des communications commerciales non sollicitées
  68. L’articulation des directives e-commerce et services financiers à distance
  69. Les directives sur les contrats à distance et sur le e-commerce
  70. L’adaptation des autres législations sectorielles à l’Internet
  71. Les services financiers non harmonisés : conditions et procédure
  72. Protection des données personnelles – Opérations financières sur l’internet
  73. Le champ d’application de la protection des données personnelles
  74. Les droits du consommateur et la protection des données personnelles
  75. La protection des données à caractère personnel
  76. La mise en œuvre du traitement des données à caractère personnel
  77. La notation de la clientèle bancaire et la protection des données
  78. Obligations du responsable du traitement des données personnelles
  79. Flux transfrontières de données personnelles via l’Internet

§ 2. Obligations du responsable du traitement
782. Des obligations classiques1192. On peut y voir l’adaptation du droit commun des obligations à la question particulière des données à caractère personnel. Aussi, comme tout professionnel, le responsable du traitement doit-il respecter une obligation de sécurité (A) concernant les données et une obligation d’information (B) à l’égard de la personne concernée. D’autres obligations, enfin, lui incombent en cas de communication de ces données (C).

1189 Le Conseil de la concurrence, dans un avis n°05-A-08 du 31 mars 2005, s’est prononcé sur ce service bancaire de base. Il estime que la non rémunération des services pourrait inciter les établissements de crédit à agir pour éviter que les consommateurs y aient accès, principalement les consommateurs défaillants titulaires de comptes à qui ils facturent déjà ces services.

1190 Cf. BONNEAU T., Du droit au crédit, RDBF, janvier/février 2002, n° 1, p.3.
1191 Pour des dispositions similaire en droit belge, la loi du 8 juin 1992 sur la protection de la vie privée modifiée par la loi du 11 décembre 1998 interdit qu’une telle décision de refus ou d’acceptation soit prise en vertu d’un processus entièrement automatisé sans la moindre intervention humaine.
1192 MALLET-POUJOL N., op. cit., n° 26 et s. p.6 et s.
A. L’obligation de sécurité.
783. Une obligation de moyens ? L’article 17 de la directive du 24 octobre 1995 et l’article 34 alinéa 1 de la loi de 1978 imposent au responsable du traitement de prendre toutes précautions utiles pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. Cela comprend certainement la destruction accidentelle ou illicite, la perte accidentelle, l’altération, la diffusion ou l’accès non autorisé à ces données. Il semble pourtant qu’on ne puisse y déceler qu’une obligation de moyens à la charge du responsable du traitement. En effet, la CNIL rappelle que « ces mesures doivent assurer, compte tenu de l’état de l’art et des coûts liés à leur mise en oeuvre, un niveau de sécurité approprié au regard des risques présentés par le traitement et de la nature des données à protéger »1193. A ce titre, on peut considérer que les données nominatives à caractère financier, et particulièrement le numéro de carte bancaire, sont d’une nature justifiant une protection particulière. En d’autres termes, l’obligation que pourra avoir le responsable du traitement d’un établissement de crédit ou d’un professionnel mettant en œuvre un paiement en ligne1194 ne sera probablement pas de la même teneur que celle d’autres professionnels se contentant d’un formulaire de prise de contact. De plus, en cas de sous-traitance du traitement, l’établissement de crédit ne pourrait faire supporter contractuellement la charge de sa responsabilité à son co-contractant, étant donné que le contrat qui les lie doit impérativement prévoir que le sous-traitant n’agit que sur la seule instruction du responsable du traitement des données, même si l’obligation de sécurité lui est également applicable.

1193 Délibération n° 03-034 préc.

1194 Pratiquement, il s’agira du responsable de l’établissement de crédit dans la mesure où le paiement s’effectue souvent sur son propre site.
784. Recommandations prudentielles. La CNIL recommande1195 principalement aux responsables de traitement de prendre des mesures organisationnelles telles « qu’une politique de gestion stricte des habilitations de leur personnel, ne donnant accès au numéro de carte bancaire des clients que lorsque cela est rigoureusement nécessaire et aux seules personnes exerçant des fonctions liées à la finalité déclarée ». De même, des mesures de base peuvent consister en des numéros tronqués (seuls les 5 derniers chiffres restent apparents) ou bien le recours à des procédé de cryptage du numéro dès la réalisation de la transaction1196.
B. Obligation d’information.
785. Contenu. Aux termes de l’article 32 de la loi de 1978 modifiée, la personne auprès de laquelle sont recueillies des données à caractère privé, c’est-à-dire – pour ce qui nous concerne – le consommateur, doit être informée :
• De l’identité du responsable du traitement et, le cas échéant, de celle de son représentant ;
• De la finalité poursuivie par le traitement auquel les données sont destinées ;
• Du caractère obligatoire ou facultatif des réponses ;
• Des conséquences éventuelles, à son égard, d’un défaut de réponse ;
• Des destinataires ou catégories de destinataires des données ;
• Des droits qu’elle tient des dispositions de la loi (droit d’accès…) ;
• Le cas échéant, des transferts de données à caractère personnel envisagés à destination d’un Etat non membre de la Communauté européenne.
786. Internet et « formalisme ». S’agissant d’une obligation d’information à respecter dans le cadre d’Internet, les renseignements devront nécessairement être « formalisées » dans une page prévue à cet effet. Néanmoins, la protection instaurée par la loi est bien plus subtile car l’établissement de crédit ne pourrait, aux fins de respecter ses obligations, se contenter d’une page de mentions générales regroupant toutes les informations prévues par la loi (généralement illisible en raison du caractère de la police volontairement employée). A cet effet, lorsque la collecte sera opérée – c’est dans la grande majorité le cas – via un formulaire, celui-ci devra porter mention des prescriptions relatives à l’identité du responsable, de la finalité du traitement des données, du caractère obligatoire des réponses, des droits d’accès et de modification de sorte que le consentement du consommateur soit le plus éclairé possible. De même, en cas d’utilisation de cookies par le site de l’établissement de crédit, le consommateur devra être informé1197 de manière claire et complète de leur finalité et des moyens dont il dispose pour s’y opposer. Pratiquement, les établissements de crédit devront décrire simplement la procédure informatique à suivre pour supprimer ces fichiers.
C. Communication des données à des partenaires commerciaux1198.
787. Plan. Plusieurs remarques générales seront faites (a) avant d’envisager le flux transfrontières de données à caractère personnel (b).
a. Remarques générales
788. Communication et spam. A la suite d’une collecte loyale de données nominative en ligne, au moyen de la souscription à un service bancaire ou financier, il peut arriver que le consommateur reçoive d’autres propositions émanant d’organismes qu’il n’a pas directement sollicités. La qualification juridique de ces messages électroniques commerciaux pourrait tomber dans la catégorie des messages non sollicités (spam) pour lesquels la LEN impose de requérir le consentement préalable (opt in) du consommateur. La question relève alors de l’information sur la finalité comme précédemment. Dans le cas d’une collecte déloyale, l’auteur de cette pratique est susceptible d’être sanctionné pénalement au sens de l’article 226-18 du Code pénal. En ce sens, l’arrêt du 18 mai 2005 de la Cour d’appel de Paris qui a condamné une société pour avoir collecté des adresses électroniques sans le consentement de leurs détenteurs1199. Bien entendu, le même sort pourrait être réservé à une banque agissant d’une manière illégale.
789. Communication et secret bancaire. En revanche, plus délicate est celle la communication de données financières, autres que le courriel, eu égard au secret bancaire prévu par l’article L.511-33 du Code monétaire et financier « qui a consacré, dans le prolongement de l’article 378 du Code pénal, le secret professionnel du banquier, en tant que principe de portée générale »1200. L’établissement de crédit peut, en effet, être tenté de céder, par exemple des informations relatives au revenu des clients… En réalité, comme le relève le Professeur T. BONNEAU, le secret bancaire1201 couvre « uniquement les informations confidentielles [c’est-à-dire] des informations précises comme par exemple les informations chiffrées »1202. Concrètement, le secret bancaire vise les soldes de compte, le montant d’un crédit accordé1203, l’existence et le montant d’un découvert ou encore le verso d’un chèque, qui porte les coordonnées bancaires du bénéficiaire1204. En revanche ne tombent pas dans le champ du secret bancaire les informations générales : comme le souligne justement l’auteur, « la fourniture de renseignement est d’ailleurs un service bancaire »1205 1206. En outre, certains estiment que le secret ne s’étend pas aux éléments purement factuels relatifs à la demande de prêt1207. Toutefois, il n’est pas contestable que les données collectées aient un caractère de renseignement d’ordre privé. Pour cela, afin d’éviter une éventuelle sanction, on peut envisager que l’établissement de crédit, dans ces conditions générales d’utilisation de son site Internet, insère une clause particulière dite de « levée du secret bancaire »1208. Se pose alors la question de la validité de l’opération, c’est-à-dire de la communication des données à des partenaires à des fins de prospection suite à l’insertion d’une telle stipulation. On peut légitimement s’interroger sur la disproportion, au détriment du consommateur, induite par une telle mention dans le cadre d’une convention qui est, quasi systématiquement, un contrat d’adhésion. Il semble que pour cette raison, l’insertion de la clause de levée du secret bancaire ne suffirait pas à justifier de l’accord du consommateur concernant la finalité de la collecte. Par ailleurs, la CNIL a recommandé1209, dans ce cas, de recueillir expressément le consentement du consommateur au sens de la directive de 1995. Bien entendu, cet accord ne pourrait donc se déduire d’une non objection de sa part.

1195 Délibération n° 03-034 préc.

1196 En 2003, la CNIL a délivré deux avertissements en 2004 à des banques pour défaut de sécurité et de confidentialité des informations concernant leurs clients, JCP E, n°27, 1er juillet 2004, p.1077.
1197 Sauf s’ils ont pour finalité exclusive de permettre ou faciliter la communication par voie électronique ou s’ils sont strictement nécessaires à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur.
1198 « Dis-moi ce que tu consommes et je saurai qui tu es pour le faire savoir aux autres » ; FRAYSSINET J., Bases de données comportementales sur les consommateurs et Cnil, commentaire de l’arrêt du Conseil d’Etat du 30 juillet 1997, Expertises des systèmes d’information, janvier 1998, p.431.
1199 DUMOUT E., La société ABS condamnée à 3000 euros d’amende pour collecte illégale d’e-mails, 30 mai 2005, disponible sur : www.zdnet.fr ; CNIL, La Cour d’appel de Paris condamne un expéditeur de courriers électroniques non sollicités dont la CNIL avait dénoncé les agissements et qui avait été relaxé en première instance, 30 mai 2005, disponible sur : www.cnil.fr .
Lire le mémoire complet ==> (L’Internet au service des opérations bancaires et financières)
Thèse pour le Doctorat en Droit
Université Panthéon-Assas (Paris II) – Droit- Economie- Sciences sociales

Print Friendly, PDF & Email

Cliquez sur suivant article pour lire la suivante partie de ce mémoire:

Abonnez-vous!
Inscrivez-vous gratuitement à la Newsletter et accédez à des milliers des mémoires de fin d’études !
Publier son mémoire!
WikiMemoires - Publier son mémoire de fin d’études !

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *