Les droits du consommateur et la protection des données personnelles

By 6 July 2013

Les droits du consommateur – Section 2.

741. Plan. L’alinéa 5 de l’article 2 de la loi de 1978 ne définit pas clairement, c’est le moins que l’on puisse dire, la notion de personne protégée. C’est en réalité la référence à d’autres articles de la loi qui permettent de la situer comme une personne physique. L’alinéa 5 de l’article 2 se contente d’affirmer que « la personne concernée par un traitement de données à caractère personnel [donc susceptible d’être protégée] est celle à laquelle se rapportent les données qui font l’objet du traitement ». Le contraire eût été en effet étonnant ; par contre, on peut déduire de cette formulation que l’exercice des droits sera attaché à la personne concernée par les données. La loi consacre à son profit deux types de droits : le droit d’opposition (§1) et le droit d’accès (§2) que l’on peut lui-même subdiviser en droit de communication ainsi qu’en droit de modification et de suppression.

1127 Pour l’application aux données dans l’entreprise, cf. SEDALLIAN V., L’utilisation d’Internet dans l’entreprise, Lettre de l’Internet juridique, 28 janvier 1998, disponible sur : http://www.argia.fr/lij/; Lamy droit de l’Informatique et des réseaux, n°448, 2003, p280 ; MATHIAS G., l’impact de la directive européenne relative à la protection des données à caractère personnel sur les entreprises européennes et extra-européennes, 10 janvier 2000, disponible sur: . http://www.juriscom.net/pro/2/priv20000110.htm.

§ 1. Droit d’opposition

742. Contrôle du secteur bancaire. Le contenu et les limites du droit d’opposition font l’objet d’une illustration particulière dans le secteur bancaire et financier en raison des pratiques commerciales des établissements de crédit. Etant donnée la surveillance accrue de la CNIL la protection du consommateur sera nécessairement plus forte dans les domaines précités.

743. Principe : contenu et limites. Le droit d’opposition accordé au consommateur1128 résulte de l’article 38 de la loi informatique et liberté modifiée. Ainsi, toute personne physique a-t-elle le droit de s’opposer, pour des motifs légitimes, à ce que des données à caractère personnel fassent l’objet d’un traitement. Le client d’un établissement de crédit a donc le droit de refuser à ce que les données le concernant soient utilisées à des fins de prospection, notamment commerciale, suite à la souscription d’un service financier en ligne. En revanche, ce droit d’opposition disparaît lorsque le traitement répond à une obligation légale ou lorsque l’application de ces dispositions a été écartée par une stipulation expresse de l’acte autorisant le traitement. En d’autres termes, le client de l’établissement de crédit ne pourra pas faire jouer son droit d’opposition s’il a contractuellement donné son accord, fût-ce dans un acte concernant un autre objet que la prospection commerciale ou bien dans le cas où la loi impose un tel traitement. Dans le secteur bancaire et financier, on pense particulièrement au FICP dont l’existence est légalement prévue par les articles L. 333-4 et 333-5 du Code de la consommation.

744. Illustration : obligation de transparence et réticence des établissements de crédit. Nous l’avons vu, afin de renforcer les droits du consommateur investisseur, suite à l’adoption de la loi MURCEF, les principaux établissements de crédit se sont engagés, dans une charte signée le 9 janvier 2003, à proposer à leurs clients une convention de compte précisant le fonctionnement de leur compte de dépôt. Aujourd’hui, plus précisément, c’est l’arrêté du 8 mars 20051129 qui précise les principales stipulations devant figurer dans les conventions de compte de dépôt. Tant la charte signée que le nouvel arrêté, dans son article 2 2°, imposent aux établissements de crédit d’informer leurs clients sur « les finalités des traitements mis en oeuvre par l’établissement de crédit, les destinataires des informations, le droit de s’opposer à un traitement des données à des fins de prospection commerciale ainsi que les modalités d’exercice du droit d’accès aux informations concernant le client, conformément aux lois en vigueur ». La mesure ne choque pas ; en effet, via l’Internet, il ne s’agit que d’une application simple de la loi de 1978. Pourtant, elle se heurte pratiquement à la réticence des établissements de crédit, principalement dans la disposition concernant l’information et l’opposition à l’utilisation des données à des fins de prospection commerciale. En effet, quoi de plus facile pour ces organismes, profitant d’un fichier de prospection loyalement constitué, que de reprendre les données fournies à l’occasion d’une ouverture de compte pour ensuite prospecter le consommateur sur un autre produit ou service bancaire ? La tentation est grande1130 ! Aussi, une analyse de la CNIL1131 a-t-elle récemment révélé la carence de la majorité des établissements de crédits sur l’information des consommateurs à propos de la finalité du traitement (commercial en l’espèce), alors que les moyens permettant au consommateur de s’opposer à une telle prospection sont techniquement très simples à mettre en œuvre (case à cocher sur le formulaire en ligne). La mauvaise foi des établissements de crédit est donc claire, ces derniers attendant une intervention de la CNIL pour légaliser leurs pratiques. Par conséquent, ces établissements doivent prendre conscience qu’ils ont un rôle très important à jouer dans la protection du consommateur et que leur politique commerciale peut directement influer sur la confiance1132 de ce dernier. L’Internet est un outil qui peut, outre leur permettre de remplir leurs obligations légales, renforcer encore cette confiance.

745. Droit d’opposition et opt in. Le droit d’opposition prévu par la loi de 1978 se rapproche dans sa finalité du régime d’opt in consacré par la LEN ; en effet, rappelons qu’en vertu de ce dernier, les communications électroniques à caractère commercial ne peuvent être adressées à leur destinataire (consommateur) qu’avec leur consentement préalable. La question de l’articulation entre les deux mesures peut donc se poser. En réalité, il semble qu’il faille appréhender ces deux dispositions sous un angle chronologique. Ainsi, la LEN s’applique-t- elle pour toute prospection, a priori, en dehors de toute relation contractuelle ou souscription à un service financier en ligne. Ensuite, le droit d’opposition prend le relais, le consommateur pouvant s’opposer à ce que l’établissement de crédit se serve des données personnelles à d’autres fins que celles justifiant la collecte.

1128 MALLET-POUJOL N., Appropriation de l’information : l’éternelle chimère, Dalloz 1997, 38ème cahier, Chron. p. 330.

1129 Arrêté du 8 mars 2005 portant application de l’article L. 312-1-1 du code monétaire et financier précisant les principales stipulations devant figurer dans les conventions de compte de dépôt.

1130 Comp. TGI Nanterre 2 juin 2004, invalidant 36 clauses du contrat d’accès à Internet d’AOL dont celle relative à la transmission des donnés à de tiers sans accord des personnes concernées, BEKY A., Net : L’UFC- Que Choisir est satisfaite de la condamnation d’AOL, disponible sur :http://www.neteco.com/article_20040621153555_.html.

1131 Séance du 18 juin 2004.

1132 GAUZENTE C., DUVAL A-C., PIHAN HOANG HUYNH B., Respect des informations personnelles des clients : les pratiques des sites français, Banque magazine, n°657, avril 2004, p.48

§ 2. Droit d’accès

746. Plan. Protection majeure, le droit d’accès comprend un droit de communication et un droit de modification (A) et de suppression (B). Là encore, les principes généraux posés par la loi trouvent une application particulière en droit bancaire du fait de l’existence de fichiers d’origine légale.

A. Droit de communication

747. Contenu général. Aux termes de l’article 39 de la loi de 1978, toute personne physique justifiant de son identité a le droit d’interroger le responsable d’un traitement de données à caractère personnel en vue d’obtenir :

• La confirmation que des données à caractère personnel la concernant font ou ne font pas l’objet de ce traitement ;
• Des informations relatives aux finalités du traitement, aux catégories de données à caractère personnel traitées et aux destinataires ou aux catégories de destinataires auxquels les données sont communiquées ;
• Le cas échéant, des informations relatives aux transferts de données à caractère personnel envisagés à destination d’un Etat non membre de la Communauté européenne ;
• La communication, sous une forme accessible, des données à caractère personnel qui la concernent ainsi que de toute information disponible quant à l’origine de celles-ci ;
• Les informations permettant de connaître et de contester la logique qui sous-tend le traitement automatisé en cas de décision prise sur le fondement de celui-ci et produisant des effets juridiques à l’égard de l’intéressé.

748. FICP1133. Prévu par les articles L.333-41134 et L.333-5 du Code de la consommation, dernièrement modifiés par la loi du 18 janvier 20051135, ce fichier recense les incidents de paiement relatifs aux crédits1136. Les informations qu’il contient sont par nature des données à caractère personnel, car l’alinéa 1 de l’article L.334-4 indique clairement qu’il est soumis à la loi informatique et liberté de 1978, ce qui constitue indéniablement une protection pour le consommateur dans la mesure où il bénéficiera a priori des droits d’accès et de rectification.

De même, d’autres textes envisagent une information du consommateur préalable à l’inscription au FICP. En effet, l’article 4 du Règlement n° 2004-01 du 15 janvier 20041137 impose à l’établissement de crédit, dès qu’un incident est constaté, d’informer le débiteur défaillant que le problème sera déclaré à la Banque de France à l’issue d’un délai d’un mois1138. Pourtant, le dernier alinéa de l’article L. 333-4 interdit la remise à quiconque d’une copie, sous quelque forme que ce soit, des informations qu’il contient, y compris au consommateur qui exercerait ses prérogatives en vertu de la loi de 1978. Il en résulte que le droit d’accès consacré par cette loi s’efface devant l’ordre public économique et que, finalement, le consommateur ne pourra obtenir de la Banque de France que l’existence ou non de son inscription, voire demander sa main levée via l’établissement de crédit qui a fait procéder à l’inscription. Mais il faut noter que cette mesure ne porte pas nécessairement atteinte aux droits du consommateur, mais le protège davantage contre des demandes d’accès extérieures aux informations le concernant, y compris sollicitées via l’Internet.

749. Refus de crédit et droit d’accès et de communication. Dans l’hypothèse où le consommateur se voit refuser l’octroi d’un crédit, la loi de 1978 modifiée lui reconnaît, en vertu de son article 39-4°, un droit à se voir communiquer, sous une forme accessible, les renseignements qui la concernent. Plus encore, l’article 39-5° impose également dans ce cas la communication des informations « permettant de connaître et de contester la logique qui sous-tend le traitement automatisé en cas de décision prise sur le fondement de celui-ci et produisant des effets juridiques ». Dès lors, en cas de refus de crédit, le consommateur pourra légalement demander la communication du score et de la raison de ce résultat négatif. En conséquence, si en droit français, l’établissement de crédit n’est théoriquement pas tenu de motiver son refus d’octroi de crédit, la loi de 1978 introduit de facto cette hypothèse.

1133 Fichier national des Incidents de remboursement des Crédits aux Particuliers, créé par la loi du 31 décembre 1989 relative à la prévention et au règlement des difficultés liées au surendettement des particuliers et des familles.

1134 Article relevant de l’ordre public de protection sociale par avis de la Cour de cassation n°09420028P du 16 décembre 1994.

1135 Loi n°2005-32 du 18 janvier 2005.

1136 Découvert bancaire, carte de paiement différé ou crédit remboursable par échéances.

1137 Règlement du Comité de la Réglementation bancaire modifiant le Règlement 90-05 du 11 avril 1990.

1138 La demande de délais de paiement formulée auprès du juge n’empêche pas l’inscription au FICP. V. à ce sujet Cass. 1er civ., 23 nov. 2004, Contrats conc. consom., février 2005, p.23, note RAYMOND G.

B. Droit de modification et de suppression

750. Une protection complémentaire. L’article 40 de la loi précise encore que cette personne peut exiger du responsable d’un traitement que soient, selon les cas, rectifiées, complétées, mises à jour, verrouillées ou effacées les données à caractère personnel la concernant, qui sont inexactes, incomplètes, équivoques, périmées, ou dont la collecte, l’utilisation, la communication ou la conservation est interdite. De cette manière, un consommateur ayant obtenu la mainlevée d’un fichage au FICP pourra naturellement faire rectifier ses données auprès de son établissement de crédit, de manière à récupérer sa capacité d’emprunt. Mais la protection du consommateur va ici plus loin, dans la mesure où la loi impose au responsable du traitement de justifier qu’il a procédé aux opérations de rectification et instaure un véritable renversement de la charge de la preuve en cas de contestation1139. De même, il appartient au responsable du traitement d’accomplir toutes les diligences utiles en cas de communication des données à des tiers. Le consommateur en ressort donc largement protégé.

1139 Sauf lorsqu’il est établi que les données contestées ont été communiquées par l’intéressé ou avec son accord (article 40 alinéa 3).

Conclusion

751. Un champ d’application large. Pratiquement, la loi couvre toutes les informations concernant un consommateur client d’un établissement de crédit qui se servirait d’Internet pour l’accomplissement d’opérations de banque.

752. Des droits complets. On peut conclure que les droits accordés à la personne concernée par les données à caractère personnel sont importants. Et il revient à cette dernière d’en contrôler l’usage. Soit d’abord, a priori, en s’opposant à tout traitement, soit ensuite, en interrogeant l’établissement de crédit pour savoir si des données la concernant font l’objet d’un traitement soit, enfin, en demandant la rectification de ces données voire leur suppression. L’ensemble de la chaîne du traitement est couvert et le consommateur sera susceptible d’intervenir quel qu’en soit le stade.

753. Une protection accrue. Particulièrement, dans le secteur bancaire et financier, s’il présente certaines spécificités (FICP) pouvant restreindre l’exercice de ses droits par le consommateur, de manière plus générale on peut remarquer que la protection qui lui est accordée sera plus grande que dans d’autres secteurs du commerce. C’est en effet grâce au contrôle de la CNIL que les établissements de crédit seront plus enclins à respecter les droits des consommateurs1140.

754. Une protection « négative ». Il n’en reste pas moins que la protection du consommateur, au- delà des droits qui lui sont reconnus, pourrait se voir limiter par d’autres aspects liés à l’utilisation de ces données à caractère personnel. La loi impose donc à la charge du responsable du traitement, et par lui, à la charge de l’établissement de crédit, un certain nombre d’obligations lourdement sanctionnées.

1140 En 2003, la CNIL a délivré quatre avertissements à des établissements financiers qui n’avaient pas respecté la réglementation relative au fichier national des incidents de remboursement des crédits aux particuliers, 24ème rapport d’activité 2003 de la CNIL du 22 juin 2004, in JCP E, n°27, 1er juillet 2004, p.1077. D’autres organes auront sûrement un rôle à jouer comme par exemple le groupe de travail « article 29 » sur la protection des données, établi par la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995. Cf. recommandation concernant certaines exigences minimales pour la collecte en ligne de données à caractère personnel dans l’Union européenne adoptée par ce groupe le 17 mai 2001 ; également pour une initiative d’autorégulation : la Liberty Alliance, cf. HOGGE B., la Liberty Alliance sensibilise sur la protection des données au sein de l’UE, 15 avril 2005, disponible sur : www.zdnet.fr.

Lire le mémoire complet ==> (L’Internet au service des opérations bancaires et financières)
Thèse pour le Doctorat en Droit
Université Panthéon-Assas (Paris II) – Droit- Economie- Sciences sociales