Communication bancaire et Protection des données personnelles

By 7 November 2012

2- Le cadre communautaire

La protection des données personnelles au niveau communautaire est strictement encadrée par un arsenal de textes219, dont les plus importants sont la directive n° 95/46/CE sur la protection des données personnelles du 24 oct. 1995 (dite « directive-mère ») et la directive sectorielle du 15 décembre 1997 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des télécommunications (dite « directive-fille »).

La protection des données personnelles est également prévue par l’article 8 de la Charte des droits fondamentaux de l’Union européenne220, signée lors de la Conférence Nice. Il faut néanmoins noter, que ce texte n’a pas valeur obligatoire; il ne s’agit que d’une déclaration.

219 Notamment la directive n°97/7 du 20 mai 1997 sur la protection des consommateurs en matière de contrat à distance (article 10), et la directive n°2000/31 du 8 juin 2000, dite directive sur le commerce électronique, qui traite des communications commerciales non sollicitées et des options entre « l’opt-in » et « l’opt-out ».
220 « 1. Toute personne a droit à la protection des données à caractère personnel la concernant.
2. Ces données doivent être traitées loyalement, à des fins déterminées et sur la base du consentement de la personne concernée ou en vertu d’un autre fondement légitime prévu par la loi. Toute personne a le droit aux données collectées la concernant et d’en obtenir la rectification.
3. Le respect de ces règles est soumis au contrôle d’une autorité indépendante ».

a) La directive n°95/46/CE du 24 octobre 1995.

La directive phare en la matière c’est la directive n° 95/46/CE du 24 oct. 1995. Cette directive considère les données personnelles comme des biens informationnels, ayant une valeur marchande. Par conséquent elles doivent circuler librement sur le territoire communautaire, tout en faisant l’objet d’une protection sous le régime de la vie privée. Selon son article 1er, les Etats doivent assurer la protection des libertés et droits fondamentaux des personnes physiques, notamment de leur vie privée. L’article 2 définit de manière large les notions de données personnelles et de traitement à caractère personnel qui peuvent être automatisés ou manuels.

L’article 4 de la directive énonce le principe de la territorialité de la loi applicable. En effet, c’est le lieu du traitement des données qui est pris en compte pour trouver la loi applicable (et non pas le lieu de l’établissement). En d’autres termes, si le traitement est réparti entre différents établissements se trouvant sur le territoire de deux ou plusieurs Etats membres, le responsable du traitement doit veiller au respect, par chacun des établissements, des obligations prévues par la loi locale. A ce propos, il faut noter que si la directive tend à une harmonisation des législations nationales, elle laisse les Etats libres de choisir un niveau de protection supérieur à celui qu’elle établit.

En plus, la directive oppose une procédure de notification à l’autorité compétente nationale. En effet, il est demandé à chaque Etat de créer une autorité de contrôle. Au niveau communautaire est institué un « Groupe de protection des personnes à l’égard du traitement des données à caractère personnel » composé de représentants des autorités nationales.

Elle établit, également, les règles communes que doivent respecter ceux qui collectent, détiennent, divulguent ou transmettent des données personnelles par des moyens automatisés. Elle énonce six fondements juridiques d’un traitement : le consentement de la personne, l’obligation contractuelle ou légale, la sauvegarde de l’intérêt vital de la personne, l’intérêt public ou l’intérêt légitime du détenteur du traitement mis en balance avec celui de la personne concernée.

Son chapitre V est consacré aux codes de bonne conduite, consacrant ainsi la pratique de la corrégulation221. En effet, l’art. 27 précise que les Etats membres et la Commission encouragent l’élaboration de codes de bonne conduite destinés à contribuer à la bonne application des dispositions nationales prises en application de la directive. Dans le cadre de la corrégulation, le 31 mai dernier a été créé en France un Forum des droits sur l’Internet, association loi 1901, présidée par Isabelle Falque-Pierrotin222

221 On appèle corrégulation, la rencontre entre l’autorégulation par les auteurs concernés et la régulation étatique et communautaire.
222 Selon Isabelle Falque-Pierrotain « il s’agit d’un travail de recommandation émanant d’une entité qui ne formule que des avis consultatifs à la différence des autorités administratives indépendantes ». Source : www.journaldunet.com/printer/010601forumdesdroits.shtml et www.legalnews.fr du 1 juin 2001.

Enfin, elle interdit les transferts de données vers les pays tiers qui ne peuvent pas assurer « un niveau de protection adéquat », sauf consentement « indubitable » de la personne concernée ou nécessité contractuelle223. Le caractère adéquat du niveau de protection offert par un pays tiers s’apprécie au regard de toutes les circonstances relatives à un transfert ou à une catégorie de transfert de données. En particulier est pris en considération la nature des données, la finalité et la durée du ou des traitements envisagés, les pays d’origine et de destination finale, les règles de droit, générales ou sectorielles, en vigueur dans les pays tiers en cause, ainsi que les règles professionnelles et les mesures de sécurité qui y sont respectées. En d’autres termes, si un pays ne dispose par d’un « niveau de protection adéquat », le transfert de données européennes vers ce pays est interdit.

Certains Etats très importants pour le commerce extérieur de l’Union Européenne ont été considérés par la Commission comme ne remplissant pas la condition de « protection adéquate ». Sur la base de l’article 26 de la même directive, se sont alors engagées des négociations avec ces pays, et surtout avec les Etats Unis. Ces négociations ont donné naissance à l’accord Safe Harbor224.

223 Art.25 : « le transfert vers un pays tiers de données à caractère personnel faisant l’objet d’un traitement, ou destinées à faire l’objet d’un traitement après leur transfert, ne peut avoir lieu que si, sous réserve du respect des dispositions nationales prises en application des autres dispositions de la présente directive, le pays tiers en question assure un niveau de protection adéquat ».
224 Voir infra.

En effet, l’article 26 instaure des dérogations au principe de l’interdiction du transfert des données vers les pays ne disposant pas d’un niveau de « protection adéquat ». Ainsi, le transfert de données vers un tel pays est possible si :

– la personne concernée a indubitablement donné son consentement au transfert envisagé;
– le transfert est nécessaire à l’exécution d’un contrat entre la personne concernée et le responsable du traitement;
– le transfert est nécessaire à la conclusion ou à l’exécution d’un contrat;
– le transfert est nécessaire ou obligatoire pour la sauvegarde d’un intérêt public important ou pour la constatation, l’exercice ou la défense d’un droit en justice;
– le transfert est nécessaire à la sauvegarde de l’intérêt vital de la personne concernée;
– le transfert intervient au départ d’un registre public;
– le responsable du traitement offre des garanties suffisantes de protection des données.

Cette directive a été critiquée comme ayant d’exporter le modèle de protection communautaire. Mais il ne s’agit pas du seul texte qui est aussi restrictif. En effet, la Suisse a adopté une loi fédérale sur la protection des données (LPD) le 19 juin 1992. Selon cette loi :
« Aucune donnée personnelle ne peut être communiquée à l’étranger si la personnalité des personnes concernées devait s’en trouver gravement menacée, notamment du fait de l’absence d’une protection des données équivalente à celle qui est garantie en Suisse ».

b) La directive 97/66/CE

Cette directive est relative au traitement des données à caractère personnel et la protection de la vie privée dans le secteur des télécommunications et elle complète la directive 65/46/CE. Elle consiste à contrôler la nature et l’utilisation des données en rapport avec la facturation de communications téléphoniques, l’identification de l’appelant et le contrôle des appels.

c) Le Livre vert du 3 déc. 1997

Il s’agit du Livre vert sur la convergence des secteurs des télécommunications; des médias et des technologies de l’informatique. Il avait pour objectif d’initier la discussion sur le phénomène de la convergence et les éventuels besoins de nouvelles règles.

Lire le mémoire complet ==> (La sécurité des paiements internationaux par Internet)
Mémoire pour l’obtention de DEA