Normes TEDIS et UNCID, protection juridique des données personnelles

By 6 November 2012

§2- La communication des données bancaires sous le régime de la protection juridique des données personnelles.

La protection des données personnelles entre dans une catégorie juridique plus large : la protection de la vie privée 210. Mais le terme de « vie privée » pose un sérieux problème terminologique, ce qui justifie la grande diversité des régimes juridiques. Selon François Rigaux211 « le concept de vie privée est l’émanation du rapport que la culture d’une société détermine, institue entre la zone d’intimité, méritant protection et la nature des relations sociales, publiques et privées ».

La question qui se pose est de savoir si les données bancaires communiquées lors d’une transaction par Internet, constitue une donnée personnelle. Une donnée personnelle est celle qui identifie directement ou indirectement son titulaire. Les données financière ou bancaire identifient incontestablement leur titulaire.

Lors d’une transaction par Internet, le client envoie ses données bancaires. L’article 2 a) de la loi-type CNUDCI définit le terme « message de données » comme « l’information créée, envoyée, reçue ou conservée par des moyens électroniques ou optiques ou des moyens analogues, notamment, mais non exclusivement, l’échange de données informatisées (EDI), la messagerie électronique, le télégraphe, le télex et la télécopie ».

L’utilisation de l’EDI présent un certain nombre d’avantages pour le fournisseur/marchand, notamment :
– la diminution des frais d’envoi des documents relatifs à la transaction (ex. contrat, facture);
– rend plus rapides les transactions;
– permet de personnaliser le contact avec le client.

L’application la plus connue d’EDI est le SWIFT212. L’EDI est fortement recommandé pour l’envoi des ordres de paiement.

D’une manière générale, la transaction commerciale par l’intermédiaire du réseau (notamment, la communication des données bancaires) peut être considérée à première vue, comme violant le principe de l’anonymat et de la protection de la vie privée. En effet, la majorité des sites marchands, utilisent un système de pré-inscription. Le client lors de sa première commande (qu’il s’agisse d’un professionnel ou d’un consommateur), doit remplir un formulaire. Lors des prochaines visites sur le site, le client n’a plus besoin de s’identifier, grâce aux programmes appelés cookies213. En outre, la CNIL, dans son 15e rapport publié en 1994, a estimé, a propos du paiement de spectacles télévisés à la séance sur les réseaux câblés : « Le paiement à la séance marque la fin de l’anonymat puisque sont enregistrés l’identité du téléspectateur et le programme choisi » (p.62).

A- Les sources européennes et internationales

Déjà l’article 14 GATT, concernant les échanges mondiaux de services, avait admis la possibilité de dérogation au principe d’ouverture des marchés pour des motifs relavant du respect de la vie privée. Mais les deux programmes les plus importantes, et les plus ambitieux en la matière sont le programme européen TEDIS et le programme de la CCI, l’UNCID.

1- Les normes TEDIS et UNCID

L’EDI (Echange de données informatisées est défini par les Nations Unies comme « la transmission d’ordinateur à ordinateur de données commerciales selon un mode de présentation informatisé ». Dans le cadre de cette transmission, les parties peuvent passer un accord ou contrat-cadre par lequel elles établissent « les conditions juridiques et techniques d’utilisation de l’échange de données informatisées dans le cadre de leurs relations commerciales et administratives »214. Ces contrats contiennent des dispositions de nature juridique (visant les conditions de validité et de formation des contrats par EDI, la preuve, la responsabilité, la loi applicable et le tribunal compétent), des dispositions de nature technique ainsi que des dispositions ayant comme objet la sécurité de l’échange.

Le 22 septembre 1987, le Comité directeur de la Chambre de commerce internationale CCI a adopté un certain nombre de règles dans le domaine de l’EDI215. Ces règles de nature contractuelle, appelées UNCID216, ont plusieurs objectifs :
– faciliter l’utilisation de l’EDI;
– elles sont applicables à l’échange et non au contenu des messages transmis;
– introduire les normes internationalement acceptées comme celles de l’ISO;
– traiter les questions de sécurité, vérification, authentification et de stockage des données;
– établir une interprétation uniforme du code.

Ce texte est composé de 11 articles et d’une importante note introductive217.

a) La défaillance du système d’échange des données.

En cas de dysfonctionnement du système d’échange des données, le texte UNCID prévoit que le risque pèse sur l’émetteur du message et non sur son destinataire. Il convient alors de s’interroger sur la possibilité d’application de ces règles en matière de commerce B to C. Si tel était le cas, le risque pèserait alors au consommateur qui envoie ses coordonnées bancaires par l’intermédiaire du réseau. Le texte ne donne pas d’indications précises quant aux personnes qu’il vise, mais il laisse entendre qu’il s’agit des professionnels, dans leurs relations d’importation/exportation de biens et services.

De son côté le modèle TEDIS vise cette hypothèse d’une manière différente. En effet, l’article 11 du modèle TEDIS exclue la responsabilité pour les dommages indirects, secondaires ou spéciaux. Une telle clause d’exclusion de responsabilité est généralement incluse dans les accords EDI.

b) La sécurité des échanges des données

Concernant la question de sécurité de l’échange des messages, selon les termes du modèle TEDIS, l’accord lui-même doit contenir des dispositions relatives à son organisation. Ces dispositions doivent viser les hypothèses d’accès non-autorisés, des altérations, des retards, des destructions et des pertes (art.6.1 TEDIS).

Le modèle du WP.4 stipule que les parties devront prendre en considération la nature des messages échangés afin d’adapter les règles de sécurité à leurs besoins commerciaux.

c) La confidentialité et la protection des données à caractère personnel

Selon l’art.7.3218 du modèle TEDIS, les accords cadre doivent préciser que la confidentialité et la sécurité des transmissions d’informations confidentielles sont garanties. Tout en affirmant une présomption de non-confidentialité pour les informations appartenant au domaine public, le modèle TEDIS énonce à la charge des parties l’obligation d’assurer la confidentialité et la non divulgation des informations.

Quant au modèle du WP.4, son article 5.1 énonce que le contenu d’un message ne sera pas considéré comme confidentiel en l’absence d’une telle mention. Il se présente, par conséquent, comme un modèle plus souple que TEDIS.

d) L’enregistrement et la conservation des messages EDI.

Selon le modèle TEDIS, un enregistrement complet et chronologique de tous les messages échangés par chaque partie doit être conservé, inaltéré et sécurisé, selon les prescriptions légales nationales en matière de délai de conservation. Cette disposition est très utile dans le cadre de la production de la preuve lors d’un litige.

Le modèle WP.4 prévoit que les modalités de l’enregistrement et de la conservation des données doivent être précisées dans l’annexe technique de l’accord cadre.

e) Autres dispositions

Concernant l’obligation d’accuser réception des messages EDI, il est intéressant de noter que ni le modèle TEDIS, ni celui du WP.4 ne prévoient une telle obligation.

Lire le mémoire complet ==> (La sécurité des paiements internationaux par Internet)
Mémoire pour l’obtention de DEA

________________________________________
210 Le Conseil constitutionnel a reconnu au principe du respect de la vie privée, une valeur constitutionnelle par son rattachement au principe de la liberté individuelle, qui est une liberté constitutionnellement garantie (DC 94-352).
211 Voir François Rigaux, « La protection de la vie privée et des autres biens de la personnalité », Bibliothèque de la faculté de droit de l’université catholique de Louvain, Bruxelles, Bruylant, 1990.
212 Voir supra.
213 Voir glossaire.
214 E. A. Caprioli, « Echange de données informatisées (EDI) », J.-Cl. Droit de l’entreprise, n°27.
215 Ces règles furent approuvées par la Commission économique pour l’Europe des Nations Unies.
216 Voir Annexe : Textes, 1).
217 Les articles du texte précisent les points suivants : les définitions; l’application des normes d’échange; les précautions à prendre en matière de communication; l’identification et authentification des messages; la confirmation du contenu des messages; les accusés de réception des transmissions; la protection des données; et, les conditions et durée de stockage des données.
218 « Les parties peuvent convenir d’utiliser une protection spécifique à certains messages, telle qu’une méthode de chiffrement dans la mesure où la loi de leur pays respectif les y autorise ».