Obligations du responsable du traitement des données personnelles

Obligations du responsable du traitement des données personnelles

§2. Obligations du responsable du traitement

782. Des obligations classiques1192

On peut y voir l’adaptation du droit commun des obligations à la question particulière des données à caractère personnel. Aussi, comme tout professionnel, le responsable du traitement doit-il respecter une obligation de sécurité (A) concernant les données et une obligation d’information (B) à l’égard de la personne concernée. D’autres obligations, enfin, lui incombent en cas de communication de ces données (C).

1192 MALLET-POUJOL N., op. cit., n° 26 et s. p.6 et s.

A. L’obligation de sécurité

783. Une obligation de moyens ?

L’article 17 de la directive du 24 octobre 1995 et l’article 34 alinéa 1 de la loi de1978 imposent au responsable du traitement de prendre toutes précautions utiles pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès

Cela comprend certainement la destruction accidentelle ou illicite, la perte accidentelle, l’altération, la diffusion ou l’accès non autorisé à ces données.

Il semble pourtant qu’on ne puisse y déceler qu’une obligation de moyens à la charge du responsable du traitement. En effet, la CNIL rappelle que « ces mesures doivent assurer, compte tenu de l’état de l’art et des coûts liés à leur mise en oeuvre, un niveau de sécurité approprié au regard des risques présentés par le traitement et de la nature des données à protéger »1193.

A ce titre, on peut considérer que les données nominatives à caractère financier, et particulièrement le numéro de carte bancaire, sont d’une nature justifiant une protection particulière.

En d’autres termes, l’obligation que pourra avoir le responsable du traitement d’un établissement de crédit ou d’un professionnel mettant en œuvre un paiement en ligne1194 ne sera probablement pas de la même teneur que celle d’autres professionnels se contentant d’un formulaire de prise de contact.

De plus, en cas de sous-traitance du traitement, l’établissement de crédit ne pourrait faire supporter contractuellement la charge de sa responsabilité à son co-contractant, étant donné que le contrat qui les lie doit impérativement prévoir que le sous-traitant n’agit que sur la seule instruction du responsable du traitement des données, même si l’obligation de sécurité lui est également applicable.

1193 Délibération n° 03-034 préc.

1194 Pratiquement, il s’agira du responsable de l’établissement de crédit dans la mesure où le paiement s’effectue souvent sur son propre site.

784. Recommandations prudentielles

La CNIL recommande1195 principalement aux responsables de traitement de prendre des mesures organisationnelles telles « qu’une politique de gestion stricte des habilitations de leur personnel, ne donnant accès au numéro de carte bancaire des clients que lorsque cela est rigoureusement nécessaire et aux seules personnes exerçant des fonctions liées à la finalité déclarée ».

De même, des mesures de base peuvent consister en des numéros tronqués (seuls les 5 derniers chiffres restent apparents) ou bien le recours à des procédé de cryptage du numéro dès la réalisation de la transaction1196.

B. Obligation d’information

785. Contenu

Aux termes de l’article 32 de la loi de 1978 modifiée, la personne auprès de laquelle sont recueillies des données à caractère privé, c’est-à-dire – pour ce qui nous concerne – le consommateur, doit être informée :

  • De l’identité du responsable du traitement et, le cas échéant, de celle de son représentant ;
  • De la finalité poursuivie par le traitement auquel les données sont destinées ;
  • Du caractère obligatoire ou facultatif des réponses ;
  • Des conséquences éventuelles, à son égard, d’un défaut de réponse ;
  • Des destinataires ou catégories de destinataires des données ;
  • Des droits qu’elle tient des dispositions de la loi (droit d’accès…) ;
  • Le cas échéant, des transferts de données à caractère personnel envisagés à destination d’un Etat non membre de la Communauté européenne.
786. Internet et « formalisme »

S’agissant d’une obligation d’information à respecter dans le cadre d’Internet, les renseignements devront nécessairement être « formalisées » dans une page prévue à cet effet.

Néanmoins, la protection instaurée par la loi est bien plus subtile car l’établissement de crédit ne pourrait, aux fins de respecter ses obligations, se contenter d’une page de mentions générales regroupant toutes les informations prévues par la loi (généralement illisible en raison du caractère de la police volontairement employée).

A cet effet, lorsque la collecte sera opérée – c’est dans la grande majorité le cas – via un formulaire, celui-ci devra porter mention des prescriptions relatives à l’identité du responsable, de la finalité du traitement des données, du caractère obligatoire des réponses, des droits d’accès et de modification de sorte que le consentement du consommateur soit le plus éclairé possible.

De même, en cas d’utilisation de cookies par le site de l’établissement de crédit, le consommateur devra être informé1197 de manière claire et complète de leur finalité et des moyens dont il dispose pour s’y opposer.

Pratiquement, les établissements de crédit devront décrire simplement la procédure informatique à suivre pour supprimer ces fichiers.

C. Communication des données à des partenaires commerciaux1198

787. Plan

Plusieurs remarques générales seront faites (a) avant d’envisager le flux transfrontières de données à caractère personnel (b).

a. Remarques générales

788. Communication et spam

A la suite d’une collecte loyale de données nominative en ligne, au moyen de la souscription à un service bancaire ou financier, il peut arriver que le consommateur reçoive d’autres propositions émanant d’organismes qu’il n’a pas directement sollicités.

La qualification juridique de ces messages électroniques commerciaux pourrait tomber dans la catégorie des messages non sollicités (spam) pour lesquels la LEN impose de requérir le consentement préalable (opt in) du consommateur.

La question relève alors de l’information sur la finalité comme précédemment. Dans le cas d’une collecte déloyale, l’auteur de cette pratique est susceptible d’être sanctionné pénalement au sens de l’article 226-18 du Code pénal.

En ce sens, l’arrêt du 18 mai 2005 de la Cour d’appel de Paris qui a condamné une société pour avoir collecté des adresses électroniques sans le consentement de leurs détenteurs1199. Bien entendu, le même sort pourrait être réservé à une banque agissant d’une manière illégale.

1195 Délibération n° 03-034 préc.

1196 En 2003, la CNIL a délivré deux avertissements en 2004 à des banques pour défaut de sécurité et de confidentialité des informations concernant leurs clients, JCP E, n°27, 1er juillet 2004, p.1077.

1197 Sauf s’ils ont pour finalité exclusive de permettre ou faciliter la communication par voie électronique ou s’ils sont strictement nécessaires à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur.

1198 « Dis-moi ce que tu consommes et je saurai qui tu es pour le faire savoir aux autres » ; FRAYSSINET J., Bases de données comportementales sur les consommateurs et Cnil, commentaire de l’arrêt du Conseil d’Etat du 30 juillet 1997, Expertises des systèmes d’information, janvier 1998, p.431.

1199 DUMOUT E., La société ABS condamnée à 3000 euros d’amende pour collecte illégale d’e-mails, 30 mai 2005, disponible sur : www.zdnet.fr ; CNIL, La Cour d’appel de Paris condamne un expéditeur de courriers électroniques non sollicités dont la CNIL avait dénoncé les agissements et qui avait été relaxé en première instance, 30 mai 2005, disponible sur : www.cnil.fr .

789. Communication et secret bancaire

En revanche, plus délicate est celle la communication de données financières, autres que le courriel, eu égard au secret bancaire prévu par l’article L.511-33 du Code monétaire et financier « qui a consacré, dans le prolongement de l’article 378 du Code pénal, le secret professionnel du banquier, en tant que principe de portée générale »1200.

L’établissement de crédit peut, en effet, être tenté de céder, par exemple des informations relatives au revenu des clients… En réalité, comme le relève le Professeur T. BONNEAU, le secret bancaire1201 couvre « uniquement les informations confidentielles [c’est-à-dire] des informations précises comme par exemple les informations chiffrées »1202.

Concrètement, le secret bancaire vise les soldes de compte, le montant d’un crédit accordé1203, l’existence et le montant d’un découvert ou encore le verso d’un chèque, qui porte les coordonnées bancaires du bénéficiaire1204.

En revanche ne tombent pas dans le champ du secret bancaire les informations générales : comme le souligne justement l’auteur, « la fourniture de renseignement est d’ailleurs un service bancaire »1205 1206.

En outre, certains estiment que le secret ne s’étend pas aux éléments purement factuels relatifs à la demande de prêt1207. Toutefois, il n’est pas contestable que les données collectées aient un caractère de renseignement d’ordre privé.

Pour cela, afin d’éviter une éventuelle sanction, on peut envisager que l’établissement de crédit, dans ces conditions générales d’utilisation de son site Internet, insère une clause particulière dite de « levée du secret bancaire »1208.

Se pose alors la question de la validité de l’opération, c’est-à-dire de la communication des données à des partenaires à des fins de prospection suite à l’insertion d’une telle stipulation.

On peut légitimement s’interroger sur la disproportion, au détriment du consommateur, induite par une telle mention dans le cadre d’une convention qui est, quasi systématiquement, un contrat d’adhésion.

Il semble que pour cette raison, l’insertion de la clause de levée du secret bancaire ne suffirait pas à justifier de l’accord du consommateur concernant la finalité de la collecte.

Par ailleurs, la CNIL a recommandé1209, dans ce cas, de recueillir expressément le consentement du consommateur au sens de la directive de 1995. Bien entendu, cet accord ne pourrait donc se déduire d’une non objection de sa part.

1200 LEGRAND G., Le secret bancaire ou la théorie de la relativité. Etat des lieux à l’usage des banques et de leurs clients, JCP E, 30 juin 2005, n° 26, p. 1105.

1201 GAVALDA C., le secret bancaire français, Dr. Prat. Com. Int. 1990. 57, spéc. n°5.

1202 BONNEAU T., op. cit., n°413, p. 283.

1203 Rennes, 13 janvier 1992, JCP E, 1993, II, 432, note GAVALDA C. ; RDBF n°46, novembre-décembre 1994. 258, obs. CREDOT F-.J. et GERARD Y. ; Versailles, 23 mars 1994, D. 1994. som. com. 328, obs. VASSEUR M. ; Banque, n°556, février 1995. 89, obs. GUILLOT J.L. ; RDBF n°46, novembre-décembre 1994. 259, obs. CREDOT F.J. et GERARD Y. ; Paris, 24 septembre 1996, RDBF n°58, novembre/décembre 1996. 235, obs. CREDOT F.J. et GERARD Y.

1204 Cass. Com., 13 juin 1995, n° 93-16.317: Bull. civ. 1995, IV, n° 172, p. 159; RTD com. 1995, p.818, n°4, obs. CABRILLAC; Banque 1995, n° 563, p.93, obs. Guillot; RDBF 1995, p.145, obs. CREDOT F. et GERARD Y. – Cass. Com., 8 juill. 2003, n° 00-11.993, Sté Générale c/ Mme Montaurier : D. 2003, p. 2170, obs. AVENA- ROBARDET ; JCP G 2004, II, 10068, note GIBIRILA D. ; JCP E 2004, 1020 ; Banque et droit 2004, n° 93, p.54, obs. BONNEAu T. ; RDBF 2004, comm. 5 ; RTD com. 2003, p. 783, obs. CABRILLAC. – Cass. Com., 18 févr. 2004 n° 353 : RJDA 2004, n° 878. – Cass. Com. 9 juin 2004 n° 918 F-D, BNP Paribas c/ Delannoy : RJDA 2004, n° 1363, p. 1212.Références citées dans LEGRAND G., art. précité.

1205 BONNEAU T., op. cit., n°413, p. 284 note 422.

1206 CREDOT F.J., Le secret bancaire, son étendue et ses limites, la fourniture de renseignements commerciaux par les banques, LPA, n°21, 17 février 1993. 8.

1207 BERTREL J.P., Obligation au secret professionnel du banquier, BRDA n°14, 31 juillet1991, p.3.

1208 « Parce que le secret bancaire est de simple protection du client, celui-ci peut y renoncer », BONNEAU, op. cit., note 425, p 284 ; Com., 11 avril 1995, Bull. civ. IV, n°121, p. 197 ; RDBF n°50, juillet/août 1995. 145, obs. CREDOT F. et GERARD Y. ; RTD com. 1995. 635, obs. CABRILLAC ; Quotidien juridique n°51, 27 juin 1995. 4 ; JCP 1996, ed. E., I, 525, n°6, obs. GAVALDA et STOUFFLET; D. 1996. J. 573, note, MATSOPOULOU ; BONNEAU T., communication de pièces et secret bancaire, RDBF n°49, mai/juin 1995.94 ; Com. 23 octobre 2001, Dr. soc., février 2002, n°22 , note BONNEAU T.

1209 Communication présentée en séance plénière le 3 juin 2004.

Pour citer ce mémoire (mémoire de master, thèse, PFE,...) :
📌 La première page du mémoire (avec le fichier pdf) - Thème 📜:
L’Internet au service des opérations bancaires et financières
Université 🏫: Université Panthéon-Assas (Paris II) - Droit- Economie- Sciences sociales
Auteur·trice·s 🎓:
Georges Daladier ABI-RIZK

Georges Daladier ABI-RIZK
Année de soutenance 📅: Thèse pour le Doctorat en Droit, présentée et soutenue publiquement le 17 mars 2083
Rechercher
Télécharger ce mémoire en ligne PDF (gratuit)

Laisser un commentaire

Votre adresse courriel ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Scroll to Top