La protection des données à caractère personnel
Chapitre 2 :
La protection par les obligations imposées
755. Un ensemble protecteur
législateur français, sous impulsion communautaire, crée véritablement un cadre sécuritaire pour le consommateur dans le cadre de l’utilisation des données à caractère personnel le concernant ; en plus d’une série de droits qu’il lui accorde, il impose au responsable du traitement, le professionnel dans notre cas, de respecter de nombreuses obligations.
Celles-ci, au-delà de leur « sanctionnablilité », n’ont pour autre objectif que de moraliser les pratiques de collecte et de traitement.
En effet, avec l’Internet, qui organise par définition un transfert (émission, réception) d’informations depuis l’ordinateur de l’utilisateur, un flot considérable de données se retrouve accessible en ligne.
756. Un ensemble cohérent
Les obligations du responsable du traitement, corollaires des droits du consommateur, ont également pour vocation d’intervenir à tous les stades du traitement au sens large.
Avant même la réalisation effective de la collecte de données, le consommateur devra en connaître la finalité : la collecte doit être loyale et la durée de conservation des données devra respecter la finalité prévue.
757. Plan
Aussi, diverses obligations à la charge du responsable sont-elles identifiées par la loi de 1978. Certaines concernent la légalité du traitement (section 1), d’autres sa mise en œuvre (section 2).
Section 1 :
Les conditions de la légalité du traitement
758. Distinction
La légalité du traitement stricto sensu suppose simplement que ce traitement ait reçu le consentement de la personne concernée par les données (§2) ; pourtant d’autres conditions relatives à la collecte et à la conservation de données (§1) doivent être remplies.
§1. Conditions relatives aux données
759. Licéité de la collecte
Pour qu’elles fassent l’objet d’un traitement, les données à caractère personnel doivent encore avoir été loyalement collectées1141.
Par exemple, des adresses mail recueillies sur Internet au moyen de logiciels dits « aspirateurs »1142 ne respecteraient pas les conditions de la loi, pas plus que les données collectées au moyen de cookies installés sur l’ordinateur du client à son insu.
Ces données sont théoriquement et juridiquement « intraitables ». Outre l’achat en ligne de fichiers (eux-mêmes régulièrement constitués), le principal mode de collecte loyale est donc pour l’établissement de crédit la présence d’un formulaire que le consommateur remplit volontairement ; il faut encore que la collecte réponde à une finalité certaine (A).
Enfin, ces données, une fois traitées seront généralement conservées ; la question de la durée de conservation se pose alors (B).
A. Finalité de la collecte
760. La nécessité d’une finalité explicite
D’une part, il ne peut exister de collecte sans finalité de traitement déterminée, explicite et légitime1143 et le respect de celle-ci.
Il s’agit probablement d’un des points les plus importants de la loi de 1978 qui conditionne, outre la proportionnalité des données et leur durée de conservation, la bonne information des consommateurs.
Ce n’est, en effet, que si les finalités de traitement effectivement annoncées par l’établissement de crédit sont respectées que la confiance du consommateur pourra se voir renforcée. En d’autres termes, une adresse mail collectée sur le site d’un établissement de crédit suite à une demande de crédit ne doit pas servir à prospecter ultérieurement le candidat à l’emprunt sur d’autres produits bancaires.
La loi précise à cet effet que ces données ne doivent pas être traitées ultérieurement de manière incompatible avec ces finalités1144.
761. Fichiers négatifs / fichiers positifs
Le FICP constitue assurément un fichier dit « négatif » dans la mesure où sa finalité est de prévenir les incidents répétés de remboursement et d’endettement excessif. On constate à l’heure actuelle un double mouvement.
En premier lieu, les établissements de crédit tentent de consulter les fichiers existants pour se prémunir des risques représentés par les clients insolvables, réalisant par-là un véritable détournement des finalités, notamment du FICP1145.
En second lieu, comme l’indique un membre de la CNIL, « un nouvel échelon risque d’être franchi par la mise en œuvre de fichiers positifs »1146 lesquels permettraient de connaître les capacités d’emprunt des consommateurs.
1141 Article 6 1° de la loi de 1978.
1142 V. à ce sujet, CAHEN M.-I., L’aspiration d’un site web, 29 mai 2002, disponible sur : www.droit-ntic.com.
1143 Article 6 2° de la loi de 1978.
1144 Les traitements à des fins statistiques restent en tout état de cause compatibles avec les finalités initiales.
762. Proportionnalité à la finalité
Outre leur caractère exact et complet1147, les données doivent être adéquates, pertinentes et non excessives au regard des finalités du traitement et de la collecte1148.
D’une part, cela signifie que sont interdites1149 les collectes de données qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l’appartenance syndicale des personnes, ou qui sont relatives à la santé ou à la vie sexuelle de celles-ci, c’est-à-dire qui pourraient générer une discrimination.
D’autre part, ne peuvent être collectées pour un traitement mis en oeuvre que les données qui lui sont strictement nécessaires.
S’agissant de prestations bancaires et financières en ligne, toutes les données relatives à l’état civil, aux revenus, à la situation patrimoniale et à la situation professionnelle pourront paraître pertinentes ; l’appréciation se fera donc nécessairement au cas par cas, en fonction de la teneur du produit ou du service bancaire et surtout du risque financier encouru par l’établissement de crédit lors de l’opération.
763. Objectivisation de la demande
Il apparaît de ce point de vue que l’Internet peut davantage protéger le consommateur en supprimant ces risques de discrimination fondés justement sur les origines ethniques, la religion ou la nationalité dans la mesure où le formulaire de collecte ne demandera que des informations objectives liées aux revenus ou à la situation patrimoniale du demandeur, la profession, l’âge, voire les incompatibilités d’humeur, inhérents à tout contact physique.
Là encore, il est accordé des garanties au consommateur vis-à-vis des données sensibles comme la nationalité car le traitement de cette donnée doit s’effectuer dans le respect des principes de finalité et de pertinence des données traitées établis par la loi « Informatique et Libertés ».
764. Nationalité : fin de l’ambiguïté
La CNIL, dans une délibération du 22 décembre 1998, a précisé « que la nationalité des demandeurs d’un crédit ne saurait être prise en compte pour apprécier la capacité de remboursement des intéressés ».
Pratiquement, cela impliquerait qu’elle ne peut pas entrer dans le calcul du score attribué au consommateur ; pourtant les établissements de crédit justifient de l’emploi d’un critère lié à la nationalité pour prendre en compte les difficultés de recouvrement dans l’hypothèse où le débiteur regagnerait son pays d’origine.
De son côté, la CNIL admet que « la durée de validité du titre de séjour des ressortissants étrangers vivant en France constitue une variable pertinente en tout cas pour les crédits comportant un long échelonnement d’amortissement dans la mesure où elle permet de déterminer la stabilité de l’emprunteur ».
Ainsi, le traitement de cette donnée n’est pas parfaitement clair pour la CNIL car comme elle le souligne elle-même, « admettre que l’information relative à la nationalité soit pondérée différemment selon la nationalité serait considérer que celle-ci constituerait un critère pouvant déterminer de manière significative un comportement, indifféremment des conditions sociales, financières ou matérielles caractérisant la situation de l’intéressé », ce qui pourrait constituer une pratique discriminatoire pour le consommateur.
Devant cette difficulté, le Conseil d’Etat s’est prononcé dans une décision du 30 octobre 20011150, indiquant que le critère de la nationalité n’est pas une discrimination et constitue une donnée pertinente d’évaluation.
La pratique de la prise en compte par les établissements de crédit de la nationalité de leurs clients est donc « légalisée ». Il n’en reste pas moins que la collecte de cette donnée doit suivre la finalité du traitement.
1145 « La CNIL a délivré en mars et juin [2004] cinq nouveaux avertissements à des banques ou établissement de crédit. Les banques utilisent parfois le FICP comme un fichier commun de clients indésirables », JCP E, n°27,
1er juillet 2004, p.1077.
1146 NOGRIX P., risques bancaires, tribune de la CNIL, 18 juin 2004, disponible sur : www.cnil.fr.
1147 Article 6 4° de la loi de 1978.
1148 Article 6 3° de la loi de 1978.
1149 Article 6 4° de la loi de 1978.
1150 CE, 30 octobre 2001, Les Petites Affiches, n°218, 1er novembre 2001. 3 ; Communication-Commerce électronique mai 2002, n°79, note LEPAGE ; D. 2002. J. 1869, note AUDIT ; JCP G, 2002, II, 10140, note SOMBETZKI-LENGAGNE.
B. La durée de conservation des données
765. Durée nécessaire
La loi n’indique pas de durée maximale de conservation des données mais calque celle-ci sur la finalité pour lesquelles elles sont collectées1151, ce qui est d’autant plus souhaitable.
En effet, certaines données ne seront conservées que pour une durée très courte, comme par exemple le temps d’obtenir un renseignement de la part d’un établissement de crédit concurrent ou bien, au contraire, pour toute la durée des relations contractuelles entre l’établissement et son client dans le cadre d’une convention de compte (plusieurs années).
Il est à noter que pour certains types de données, le législateur s’est prononcé pour une durée maximale1152.
Consciente de l’enjeu entourant la conservation des informations collectées, la CNIL dans sa délibération n° 2005-213 du 11 octobre 2005 a adopté une recommandation concernant les modalités d’archivage électronique, dans le secteur privé, de données à caractère personnel1153.
Désormais, il convient d’entendre par archivage électronique « les pratiques de conservation des données visées à l’article 2 de la loi du 6 janvier 1978 modifiée, que celles-ci soient collectées, reçues, établies ou transformées sous forme électronique, par toute personne, service ou organisme privé dans l’exercice de son activité »1154.
En outre, c’est au responsable du traitement qu’il revient de mettre en place de procédures d’archivage nécessaires pour s’adapter aux catégories de données identifiées par CNIL1155.
766. Conservation des numéros de cartes bancaires1156
Dans la mesure où le numéro de carte bancaire permet l’identification de son titulaire, il constitue une donnée nominative au sens de l’article 2 de la loi de 1978.
En outre, nous l’avons vu, la principale réticence du consommateur au paiement en ligne réside dans la communication au site marchand de son numéro de carte bancaire et, par suite, la crainte d’une réutilisation ultérieure à son insu, voire une interception.
Par conséquent, la problématique du stockage de ce numéro suite à une opération en ligne (et plus largement dans la cadre d’une vente à distance) est primordiale : la CNIL considère que « la question de l’utilisation des moyens de paiement … reste certainement l’un des éléments -clés du développement futur du commerce électronique »1157.
1151 Article 6-5° de la loi de 1978.
1152 1 an pour la conservation des données de connexion par les fournisseurs d’accès à Internet. Pour une application, cf. Vanves, ordonnance de référé du 25 juin 2002.
1153 Délibération n° 2005-213 du 11 octobre 2005 portant adoption d’une recommandation concernant les modalités d’archivage électronique, dans le secteur privé, de données à caractère personnel, disponible sur : http://www.cnil.fr/index.php?id=1887
1154 Ibid.
1155 A savoir : données d’utilisation courantes, données intermédiaires, données définitives. V. délibération précitée, DOMNESQUE V., Recommandation de la CNIL sur l’archivage électronique de données personnelles dans les entreprises du secteur privé, 5 décembre 2005, disponible sur : www.droit-ntic.com
1156 Numéro et date de validité figurant sur le recto des cartes de paiement « CB » émises par les établissements de crédit utilisables chez les commerçants et prestataires de services affiliés au réseau « CB ».
1157 Recommandation de la CNIL sur l’utilisation du numéro de carte bancaire dans le secteur de la vente à distance, disponible sur : http://www.cnil.fr/index.php?id=1005
767. Le cadre légal
Il n’y a pas, à notre connaissance, d’obligations légales limitant a priori la durée de conservation du numéro de carte bancaire ; ce n’est qu’a posteriori, lors de la déclaration faite à la CNIL de l’utilisation par un site Internet d’un système de traitement des données nominatives1158 qu’une durée de conservation, commune à l’ensemble de ces données, doit être déclarée, en vertu de l’article 30 5° de la loi de 1978.
Il y a, de ce point de vue, peut- être une distinction à opérer entre les différentes données nominatives, certaines paraissant, eu égard au double objectif de sécurisation des consommateurs et de développement du commerce électronique, plus importantes que d’autres.
Le numéro de carte bancaire fait assurément partie de ces données sensibles. Par ailleurs, l’article 24 I 5° de la loi de 1798, accorde à la CNIL un véritable pouvoir normatif lui permettant de déterminer la durée de conservation de telle ou telle donnée.
Notons également que la convention n°108 du Conseil de l’Europe1159, dans son article 5, impose que la collecte et la conservation du numéro de carte bancaire dans un traitement automatisé d’informations nominatives doivent s’effectuer dans le respect de finalités déterminées et légitimes, ce qui supposerait que le numéro communiqué par le consommateur lors d’un achat en ligne, ne soit conservé que pour la durée strictement nécessaire à son traitement1160.
Cela ne semble pas poser de problème particulier, par exemple dans la réalisation d’une transaction financière ponctuelle ; en revanche, dans le cadre de conventions à exécution successive, la durée de conservation serait probablement calquée sur celle de la convention elle-même.
Quoi qu’il en soit, lorsque les données nominatives ne sont plus nécessaires à l’accomplissement des fins prévues, elles devraient être supprimées. Déjà, une recommandation du Conseil de l’Europe en date du 13 septembre 19901161 préconisait cette solution dans son article 11.1.
Enfin un autre problème apparaît du fait de l’utilisation de cette donnée non plus uniquement à des fins de paiement mais comme identifiant, permettant l’accès à un service en ligne.
On pense particulièrement aux portefeuilles électroniques : le consommateur installe un portefeuille virtuel sur son ordinateur et lie une ou plusieurs cartes de crédit à ce dernier.
Les numéros des cartes sont entrés de manière sécurisée une seule fois et les transactions suivantes ne nécessitent alors plus la saisie de ces numéros.
768. Position de la CNIL
Elle résulte essentiellement d’une délibération du 19 juin 20031162 et à pour objectif de fixer des garanties minimales.
Selon la commission, l’utilisation du numéro de carte bancaire à des fins d’identification commerciale doit être subordonnée, lorsque ce numéro est conservé au-delà du temps nécessaire à la réalisation de la transaction, au recueil du consentement de la personne concernée, rappelant « qu’aux termes de la directive 95/46 du 24 octobre 19951163, le consentement est toute manifestation de volonté, libre, spécifique et informée par laquelle la personne concernée accepte que les données la concernant fassent l’objet d’un traitement ».
Par ailleurs, s’agissant du problème de la conservation du numéro de carte bancaire, la CNIL considère que le professionnel de la vente à distance ne pourrait légitimement conserver ce numéro que dans le cadre d’un fichier « ayant pour finalité de lutter contre la fraude au paiement en conservant la trace d’agissements lui ayant porté préjudice … et que cette utilisation du numéro de carte bancaire soit subordonnée à une information claire des personnes fichées ainsi qu’à la possibilité pour ces personnes de s’opposer, pour des motifs légitimes, à un tel traitement ».
La recommandation de la CNIL paraît mesurée et soucieuse de la protection de l’économie générale du marché et ne peut être qu’approuvée. Ceci étant, remarquons que cette possibilité n’est ouverte qu’en cas de fraude et non pas, semble-t-il, à tout incident de paiement, même s’il en résulte nécessairement un préjudice pour le professionnel.
En conséquent, ce dernier ne pourrait s’en servir pour justifier une discrimination ou un refus de vente, même s’il pourrait légitimement refuser ce mode de paiement.
769. Conséquences
Sous réserve que ce fichier « fraude » soit lui-même régulièrement déclaré, il en résulte que les personnes fichées, en application de l’article 10 de la directive de 1995, doivent également être informées de la finalité et de l’identité du responsable du traitement.
Conformément à l’article 26 de la loi du 6 janvier 1978, ces personnes (physiques) auront le droit de s’opposer, pour des raisons légitimes, à ce que des informations nominatives les concernant fassent l’objet de ce traitement.
On constate donc une opposition entre la légitimité du traitement pour le professionnel, d’un côté, et le droit d’opposition du particulier, de l’autre, réduisant à néant le premier. Reste que l’appréciation de la « légitimité » de l’opposition pourrait venir au secours du professionnel.
770. Bilan : protection par l’information
In fine, l’essentiel est que s’agissant d’utilisation des numéros de cartes bancaires collectés loyalement1164, sa condition soit clairement exposée au consommateur, notamment sa finalité et que soit prévue une faculté pour lui de s’y opposer.
En pratique, sur l’Internet, le droit d’opposition peut facilement s’exercer, par exemple, au moyen d’une case à cocher dans un formulaire.
De même, en cas de mémorisation de ce numéro sur ordinateur1165, le consommateur doit être informé des risques liés à tel dispositif, et doit disposer de la possibilité de s’y opposer1166 (c’est-à-dire de les désactiver ou de les supprimer).
Théoriquement, les protections existent au profit du consommateur ; il reste donc à espérer une généralisation de leur mise en œuvre.
Néanmoins, malgré ces précautions et au- delà de la protection des données nominatives, la Commission appelle de ses vœux l’utilisation de moyens de paiement électronique sécurisés alternatifs garantissant l’anonymat des paiements réalisés par leurs clients1167.
En effet, la quantité d’informations véhiculée par le recours à ces modes peut engendrer des risques d’atteinte à la vie privée.
1158 Selon l’article 16 de la loi de 1978.
1159 Convention n°108 du Conseil de l’Europe du 28 janvier 1981 pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel.
1160 Le fait de conserver cette information au delà de la durée prévue dans la déclaration est constitutif d’une infraction pénale (article 226-20 du Code pénal).
1161 Recommandation n° R (90) 19 du Conseil de l’Europe du 13 septembre 1990 relative à la protection des données à caractère personnel à des fins de paiement et autres opérations connexes.
1162 Délibération n° 03-034 du 19 juin 2003 portant adoption d’une recommandation relative au stockage et à l’utilisation du numéro de carte bancaire dans le secteur de la vente à distance, disponible sur : http://www.cnil.fr/index.php?id=1357.
1163 Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.
1164 L’article 25 de la loi du 6 janvier 1978 dispose que la collecte de données opérée par tout moyen frauduleux, déloyal ou illicite est interdite.
1165 Notamment par l’utilisation de cookies.
1166 Directive du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques.
1167 Délibération de 19 juin 2003, précitée.
1168 Article 7 alinéa 1 de la loi de 1978.
§2. Conditions relatives aux traitements
771. Principe du consentement de la personne concernée
En tout état de cause, le traitement de données à caractère personnel doit avoir reçu le consentement de la personne concernée1168.
Il s’agit là d’une protection générale complétant l’idée de collecte loyale ; néanmoins, on peut espérer que cette disposition serve de base à la lutte contre les cookies et autre fichier traçant le comportement du consommateur, dans la mesure où ces fichiers sont quasi systématiquement mis en œuvre à l’insu de l’utilisateur.
Simplement, ce principe souffre exception. Il en est ainsi naturellement si une obligation légale incombe au responsable du traitement ou dans le cadre de l’exécution, soit d’un contrat auquel la personne concernée est partie, soit de mesures précontractuelles prises à la demande de celle-ci.
Cette exception est compréhensible car le traitement des données peut être considéré comme l’accessoire du contrat auquel la personne a consenti.
772. Remise en cause du principe ?
En revanche, le 5° de l’article 7 de la loi de 1978 prévoit une dernière exception délicate à interpréter. En effet, le consentement du consommateur ne serait pas nécessaire dans le cadre de la « réalisation de l’intérêt légitime poursuivi par le responsable du traitement ou par le destinataire, sous réserve de ne pas méconnaître l’intérêt ou les droits et libertés fondamentaux de la personne concernée ».
Certes, la loi de 2004 modifiant celle de 1978 reprend les termes du f) de l’article 7 de la directive de 1995. Cependant certains s’interrogent sur la portée particulièrement générale de cette dernière exception qui « fragilise substantiellement la portée du principe du consentement de la personne1169 ».
Il est vrai que les exemples fournis par le considérant 30 de la directive1170 ne sont pas limitatifs et que cette exception pourrait rapidement couvrir l’ensemble des traitements : gestion courante des entreprises, communication à des tiers de données à caractère personnel à des fins de prospection commerciale.
Dès la conception du projet de loi, le Professeur J. FRAYSSINET s’était inquiété de la reprise, par le droit interne, de ce point, jugeant que « prise au pied de la lettre, cette rédaction ruine en grande partie le principe du consentement et amène à peser au trébuchet1171 ».
En effet, une fin commerciale est toujours légitime pour l’entreprise. Pour ces raisons, nous pensons avec certains auteurs que cette disposition ne doit pas « être considérée comme constituant la règle en matière de traitement des données »1172.
Certes, la loi de 1978 rajoute une spécificité textuelle française puisqu’elle semble tempérer cette exception en insérant la formule « sous réserve de ne pas méconnaître l’intérêt ou les droits et libertés fondamentaux de la personne concernée » qui comme le relève l’auteur, « utilisé par la CNIL ou le juge, peut se révéler moins laxiste et ambiguë que le texte1173 », mais il conclut justement que ce peut également être l’inverse. L’exception prévue reste donc pour le moins douteuse.
1169 TABAKA B., TESAR Y., Loi informatique et libertés, un nouveau cadre juridique pour le traitement des données à caractère personnel, dossier in le forum des droits sur l’Internet, octobre 2004, disponible sur : http://www.foruminternet.org/telechargement/documents/doss-loi78-20041018.pdf, p.34.
1170 « Considérant que, pour être licite, un traitement de données à caractère personnel doit en outre être fondé sur le consentement de la personne concernée ou être nécessaire à la conclusion ou à l’exécution d’un contrat liant la personne concernée, ou au respect d’une obligation légale, ou à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique, ou encore à la réalisation d’un intérêt légitime d’une personne à condition que ne prévalent pas l’intérêt ou les droits et libertés de la personne concernée; que, en particulier, en vue d’assurer l’équilibre des intérêts en cause, tout en garantissant une concurrence effective, les Etats membres peuvent préciser les conditions dans lesquelles des données à caractère personnel peuvent être utilisées et communiquées à des tiers dans le cadre d’activités légitimes de gestion courante des entreprises et autres organismes; que, de même, ils peuvent préciser les conditions dans lesquelles la communication à des tiers de données à caractère personnel peut être effectuée à des fins de prospection commerciale, ou de prospection faite par une association à but caritatif ou par d’autres associations ou fondations, par exemple à caractère politique, dans le respect de dispositions visant à permettre aux personnes concernées de s’opposer sans devoir indiquer leurs motifs et sans frais au traitement des données les concernant ».
1171 FRAYSSINET J., Le projet de loi relatif à la protection des personnes physiques à l’égard des traitements de données à caractère personnel : constante et nouveauté, Chroniques, Ed. J.-Cl., janvier 2002, p. 12.
1172 TABAKA B., TESAR Y., ibid.
1173 FRAYSSINET J., ibid.