Le champ d’application de la protection des données personnelles

By 6 July 2013

La protection par les droits accordés – Chapitre 1er :

730. Une protection ancienne. Les droits accordés à la personne concernée par les données à caractère personnel ne sont pas une nouveauté issue de la loi de 2004. Déjà, la loi informatique et libertés, dans sa rédaction de 1978, lui consentait un droit d’accès et de rectification à travers son article 34. L’objectif affirmé de ce texte est de protéger la personne fichée, le législateur ayant considéré que les collectes de telles données ainsi que leur traitement constituaient des atteintes aux libertés et à la vie privée.

731. Internet et monde bancaire. Si certains ont pu la qualifier de « réussite législative assez exceptionnelle »1112, la montée en puissance de l’Internet et des moyens informatiques, permettant une mondialisation et une automatisation des collectes et des traitements, soumet la loi de 1978 à un nouveau défi. Pourtant, à sa lecture, force est de constater qu’elle n’est pas particulièrement propre à l’Internet. L’article 23 envisage toutefois la possibilité d’effectuer la déclaration du traitement électroniquement et l’article 32 vise expressément les utilisateurs des réseaux de communication électroniques. Certes, l’Internet n’est qu’un canal de communication mais le texte apparaît pauvre en références électroniques. La question de l’adaptation des droits du consommateur au contexte dématérialisé est donc importante, d’autant plus que les établissements de crédit semblent concernés au premier plan par le traitement des données à caractère personnel. En effet, non seulement les opérations bancaires mentionnées à l’article L.311-1 du Code monétaire et financier, comme par exemple les opérations de crédit, nécessitent un tel traitement, mais encore la pratique bancaire a développé des outils basés sur ces données afin d’évaluer les capacités financières de leurs clients et les risques encourus par ceux-ci. Dans l’ensemble, les consommateurs sont habitués à fournir des informations générales dans le cadre du commerce électronique, ils sont en revanche plus réticents lorsqu’il s’agit de données personnelles financières. « Dès lors, les banques proposant des services en ligne se doivent d’assurer la confidentialité des données qu’elles possèdent et ont tout intérêt à démontrer leur volonté de protéger et satisfaire leurs clients par des signes tels que : labels, signatures, chartes de respect de la vie privée »1113.

732. Processus. Il est évident que le fonctionnement des opérations en ligne suppose au préalable un échange d’informations entre le client et sa banque. Les données à caractère personnel collectées en ligne à l’aide de formulaires remplis volontairement par le consommateur, proviennent majoritairement des sites bancaires1114. L’ensemble de ces données collectées, compilé dans un fichier1115, fait ensuite l’objet d’un traitement en agence ou par un automate. Ainsi, les notions clés de données à caractère personnel et de traitement doivent être précisées, définissant, entre autres, le champ d’application de la protection (section 1) avant d’analyser le contenu même des droits reconnus au consommateur (section 2).

Section 1. Le champ d’application de la protection

733. Plan. On peut noter une forte convergence entre la loi de 1978 et la directive de 1995, une ressemblance qui se manifeste par de grandes similitudes textuelles. Très simplement, nous pouvons délimiter un champ d’application de la protection accordée ratione materiae (§1) et ratione personae (§2).

§ 1er. Ratione materiae

734. Activités personnelles. Concrètement, aux termes de son article 2, la loi de 1978 modifiée concerne tant les traitements automatisés de données à caractère personnel que les traitements non automatisés de telles données contenues ou appelées à figurer dans des fichiers, à l’exception des traitements mis en oeuvre pour l’exercice d’activités exclusivement personnelles. S’agissant d’opérations bancaires et financières en ligne, ce sont systématiquement des traitements automatisés qui seront employés en raison de la quantité d’informations collectées et des délais de traitement. Les établissements de crédit, par suite, seront automatiquement englobés dans le champ d’application de la loi, ces derniers n’agissant jamais dans le cadre d’activités personnelles ; par là, le législateur en effet, n’a voulu viser globalement que les carnets personnels d’adresses. Au-delà de ces activités, les notions de données à caractère personnel et de traitement appellent un examen particulier.

1113 GAUZENTE C., DUVAL A.-C., PIHAN B. et HUYNH H., Respect des informations personnelles des clients : les pratiques des sites français, Banque magazine, avril 2004, n° 657, p. 48.

1114 Ibid.

1115 L’article 2 alinéa 4 de la loi de 1978 indique que constitue un fichier de données à caractère personnel tout ensemble structuré et stable de données à caractère personnel accessibles selon des critères déterminés.

735. Données à caractère personnel : définition. On considère comme une donnée à caractère personnel1116 toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres1117. Le texte de la loi est ici assez large. Il peut s’agir du nom1118, prénom, date de naissance, adresse postale, adresse IP d’un ordinateur, numéro de téléphone, plaque d’immatriculation d’un véhicule, empreinte digitale ou génétique, photo1119, numéro de sécurité sociale… De même, le numéro de carte de paiement doit recevoir la qualification de donnée à caractère personnel parce qu’il permet d’identifier son titulaire.

736. Comparaison. Le législateur de 2004 a été amené, en transposant la directive de 1995 à préciser la définition qu’il avait donnée de la notion de données à caractère personnel sans toutefois se calquer complètement sur celle de la directive. En effet, il n’a pas souhaité reprendre la liste des éléments spécifiques propres à la personne concernée, telle qu’elle était suggérée par la directive (identité physique, physiologique, psychique, économique, culturelle ou sociale). D’autres définitions des données à caractère personnel existent, notamment celle énoncée par la Convention du conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel1120, ou bien celle du Comité des ministres du conseil de l’Europe issue d’une recommandation sur la protection des données à caractère personnel utilisées à des fins de recherche scientifique et de statistique1121. Quelles que soient les distinctions textuelles, l’essentiel, le point commun reste l’information qui concerne une personne physique identifiée ou identifiable.

737. La question de l’adresse électronique, le courriel1122. Il est d’usage que le site d’un établissement de crédit collecte une adresse email afin de permettre à son titulaire de recevoir des offres commerciales1123 ou bien une lettre d’information. La question de savoir si cette adresse fait partie des données à caractère personnel ne semble pas aujourd’hui poser de problème. Dans une délibération en date du 24 octobre 20021124, la CNIL a rappelé le caractère nominatif de cette données : « sont réputées nominatives au sens de la présente loi1125 les informations qui permettent, sous quelque forme que ce soit, directement ou indirectement, l’identification des personnes physiques auxquelles elles s’appliquent, que le traitement soit effectué par une personne physique ou par une personne morale ». Ainsi, une adresse électronique est directement nominative lorsque le nom de l’internaute figure dans le libellé de l’adresse et, lorsque tel n’est pas le cas, elle est considérée indirectement nominative dans la mesure où toute adresse électronique peut être associée à un nom. La protection instaurée par la loi de 1978 modifiée trouvera donc à s’appliquer.

738. Notion de traitement des données. Selon l’alinéa 3 de l’article 2 de la loi de 1978, constitue un traitement de données à caractère personnel « toute opération ou tout ensemble d’opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction ». Bien que cette liste ne soit pas exhaustive, l’énumération peut paraître impressionnante. Quoi qu’il en soit, le traitement par l’automate d’un site Internet rentre évidemment dans cet inventaire1126.

1116 Dans sa rédaction antérieure, la loi de 1978 parle de données nominatives ; les deux notions sont, semble-t-il synonymes, le législateur de 2004 se mettant simplement en conformité avec le vocabulaire de la directive de 1995.

1117 Article 2 al. 2 de la loi de 1978 modifiée.

1118 Pour la diffusion d’un annuaire professionnel en ligne, cf. délibération de la CNIL du 7 novembre 1995, Droit de l’informatique et des télécoms, 1996, n°2, p65, note MOLE A.

1119 Tribunal correctionnel de Privas, 3 septembre 1997, disponible sur : http://www.cyberlex.org/haas/coquine.htm, note HAAS G. et TISSOT O.

1120 « Toute information concernant une personne physique identifiée ou identifiable ».

1121 Recommandation n°R (83), 1983 : « Toute information concernant une personne physique identifiée ou identifiable. Une personne physique n’est pas considérée comme identifiable si cette identification nécessite des délais, des coûts ou des activités déraisonnables ».

1122 BISIAUX P. et MONEGER F., Le commerce électronique sur Internet et la protection des données personnelles, mémoire DEA Informatique et Droit, 1997-1998.

1123 « L’Union française du marketing direct a conçu, avec l’appui de la Cnil, un code de déontologie détaillant les conditions d’utilisations de l’e-mail marketing », DEVILLARD A., L’e-mail commercial donne des gages de bonne conduite, 8 avril 2005, disponible sur www.01net.com . Dans le même sens, la CNIL par les délibérations du 22 et 30 mars 2005 « a reconnu conformes à la loi du 6 janvier 1978 deux projets de codes de déontologie des professionnels du marketing direct relatifs à l’e-mailing », 11 avril 2005, disponible sur : www.cnil.fr .

1124 Délibération n° 02- 075 du 24 octobre 2002 portant dénonciation au parquet d’infractions a la loi du 6 janvier 1978.

1125 Article 4 de la loi du 6 janvier 1978.

1126 Office de Coordination Bancaire et Financier, Bulletin d’information n°663, décembre 2004, p.2

§ 2. Ratione personae

739. Le consommateur. Le consommateur est au centre du dispositif de protection des données personnelles dans la mesure où la loi ne vise que les données relatives à des personnes physiques1127. Par conséquent, toutes les données collectées par l’établissement de crédit sur ce type de clients que ce soit à l’occasion de l’ouverture d’un compte, de l’octroi d’un crédit ou de la souscription à un service de bourse en ligne, seront concernées par la protection légale. Pourtant, d’autres protagonistes influent sur le champ d’application de la loi, qui ne sera pas nécessairement applicable à tout consommateur de services financiers français.

740. Le responsable du traitement. En effet, l’applicabilité de la protection légale est encore conditionnée par l’existence de traitements de données à caractère personnel dont le responsable est établi sur le territoire français ou qui, sans être établi sur le territoire français ou sur celui d’un autre Etat membre de la Communauté européenne, recourt à des moyens de traitement situés sur le territoire français. Avec l’Internet, il n’est jamais heureux de définir un champ d’application au moyen du critère du territoire. Ceci étant, la loi de 1978 trouvera à s’appliquer dès lors que le site d’un établissement, quel que soit son Etat d’origine, est hébergé en France. Dans le cas contraire, la loi pourrait ne pas s’appliquer si l’établissement de crédit ne désigne pas un responsable du traitement parmi son personnel en France, s’il en dispose. C’est, par ce biais, une sorte de principe de la loi du pays d’origine qui se trouve mise en avant, de facto ; simplement la loi de 1978 va un peu plus loin en soumettant tous « moyens de traitement » situés en France à la loi informatique et liberté.

Lire le mémoire complet ==> (L’Internet au service des opérations bancaires et financières)
Thèse pour le Doctorat en Droit
Université Panthéon-Assas (Paris II) – Droit- Economie- Sciences sociales