Obligations du responsable du traitement des données personnelles

By 7 July 2013

§ 2. Obligations du responsable du traitement

782. Des obligations classiques1192. On peut y voir l’adaptation du droit commun des obligations à la question particulière des données à caractère personnel. Aussi, comme tout professionnel, le responsable du traitement doit-il respecter une obligation de sécurité (A) concernant les données et une obligation d’information (B) à l’égard de la personne concernée. D’autres obligations, enfin, lui incombent en cas de communication de ces données (C).

1189 Le Conseil de la concurrence, dans un avis n°05-A-08 du 31 mars 2005, s’est prononcé sur ce service bancaire de base. Il estime que la non rémunération des services pourrait inciter les établissements de crédit à agir pour éviter que les consommateurs y aient accès, principalement les consommateurs défaillants titulaires de comptes à qui ils facturent déjà ces services.

1190 Cf. BONNEAU T., Du droit au crédit, RDBF, janvier/février 2002, n° 1, p.3.

1191 Pour des dispositions similaire en droit belge, la loi du 8 juin 1992 sur la protection de la vie privée modifiée par la loi du 11 décembre 1998 interdit qu’une telle décision de refus ou d’acceptation soit prise en vertu d’un processus entièrement automatisé sans la moindre intervention humaine.

1192 MALLET-POUJOL N., op. cit., n° 26 et s. p.6 et s.

A. L’obligation de sécurité.

783. Une obligation de moyens ? L’article 17 de la directive du 24 octobre 1995 et l’article 34 alinéa 1 de la loi de 1978 imposent au responsable du traitement de prendre toutes précautions utiles pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. Cela comprend certainement la destruction accidentelle ou illicite, la perte accidentelle, l’altération, la diffusion ou l’accès non autorisé à ces données. Il semble pourtant qu’on ne puisse y déceler qu’une obligation de moyens à la charge du responsable du traitement. En effet, la CNIL rappelle que « ces mesures doivent assurer, compte tenu de l’état de l’art et des coûts liés à leur mise en oeuvre, un niveau de sécurité approprié au regard des risques présentés par le traitement et de la nature des données à protéger »1193. A ce titre, on peut considérer que les données nominatives à caractère financier, et particulièrement le numéro de carte bancaire, sont d’une nature justifiant une protection particulière. En d’autres termes, l’obligation que pourra avoir le responsable du traitement d’un établissement de crédit ou d’un professionnel mettant en œuvre un paiement en ligne1194 ne sera probablement pas de la même teneur que celle d’autres professionnels se contentant d’un formulaire de prise de contact. De plus, en cas de sous-traitance du traitement, l’établissement de crédit ne pourrait faire supporter contractuellement la charge de sa responsabilité à son co-contractant, étant donné que le contrat qui les lie doit impérativement prévoir que le sous-traitant n’agit que sur la seule instruction du responsable du traitement des données, même si l’obligation de sécurité lui est également applicable.

1193 Délibération n° 03-034 préc.

1194 Pratiquement, il s’agira du responsable de l’établissement de crédit dans la mesure où le paiement s’effectue souvent sur son propre site.

784. Recommandations prudentielles. La CNIL recommande1195 principalement aux responsables de traitement de prendre des mesures organisationnelles telles « qu’une politique de gestion stricte des habilitations de leur personnel, ne donnant accès au numéro de carte bancaire des clients que lorsque cela est rigoureusement nécessaire et aux seules personnes exerçant des fonctions liées à la finalité déclarée ». De même, des mesures de base peuvent consister en des numéros tronqués (seuls les 5 derniers chiffres restent apparents) ou bien le recours à des procédé de cryptage du numéro dès la réalisation de la transaction1196.

B. Obligation d’information.

785. Contenu. Aux termes de l’article 32 de la loi de 1978 modifiée, la personne auprès de laquelle sont recueillies des données à caractère privé, c’est-à-dire – pour ce qui nous concerne – le consommateur, doit être informée :

• De l’identité du responsable du traitement et, le cas échéant, de celle de son représentant ;
• De la finalité poursuivie par le traitement auquel les données sont destinées ;
• Du caractère obligatoire ou facultatif des réponses ;
• Des conséquences éventuelles, à son égard, d’un défaut de réponse ;
• Des destinataires ou catégories de destinataires des données ;
• Des droits qu’elle tient des dispositions de la loi (droit d’accès…) ;
• Le cas échéant, des transferts de données à caractère personnel envisagés à destination d’un Etat non membre de la Communauté européenne.

786. Internet et « formalisme ». S’agissant d’une obligation d’information à respecter dans le cadre d’Internet, les renseignements devront nécessairement être « formalisées » dans une page prévue à cet effet. Néanmoins, la protection instaurée par la loi est bien plus subtile car l’établissement de crédit ne pourrait, aux fins de respecter ses obligations, se contenter d’une page de mentions générales regroupant toutes les informations prévues par la loi (généralement illisible en raison du caractère de la police volontairement employée). A cet effet, lorsque la collecte sera opérée – c’est dans la grande majorité le cas – via un formulaire, celui-ci devra porter mention des prescriptions relatives à l’identité du responsable, de la finalité du traitement des données, du caractère obligatoire des réponses, des droits d’accès et de modification de sorte que le consentement du consommateur soit le plus éclairé possible. De même, en cas d’utilisation de cookies par le site de l’établissement de crédit, le consommateur devra être informé1197 de manière claire et complète de leur finalité et des moyens dont il dispose pour s’y opposer. Pratiquement, les établissements de crédit devront décrire simplement la procédure informatique à suivre pour supprimer ces fichiers.

C. Communication des données à des partenaires commerciaux1198.

787. Plan. Plusieurs remarques générales seront faites (a) avant d’envisager le flux transfrontières de données à caractère personnel (b).

a. Remarques générales

788. Communication et spam. A la suite d’une collecte loyale de données nominative en ligne, au moyen de la souscription à un service bancaire ou financier, il peut arriver que le consommateur reçoive d’autres propositions émanant d’organismes qu’il n’a pas directement sollicités. La qualification juridique de ces messages électroniques commerciaux pourrait tomber dans la catégorie des messages non sollicités (spam) pour lesquels la LEN impose de requérir le consentement préalable (opt in) du consommateur. La question relève alors de l’information sur la finalité comme précédemment. Dans le cas d’une collecte déloyale, l’auteur de cette pratique est susceptible d’être sanctionné pénalement au sens de l’article 226-18 du Code pénal. En ce sens, l’arrêt du 18 mai 2005 de la Cour d’appel de Paris qui a condamné une société pour avoir collecté des adresses électroniques sans le consentement de leurs détenteurs1199. Bien entendu, le même sort pourrait être réservé à une banque agissant d’une manière illégale.

789. Communication et secret bancaire. En revanche, plus délicate est celle la communication de données financières, autres que le courriel, eu égard au secret bancaire prévu par l’article L.511-33 du Code monétaire et financier « qui a consacré, dans le prolongement de l’article 378 du Code pénal, le secret professionnel du banquier, en tant que principe de portée générale »1200. L’établissement de crédit peut, en effet, être tenté de céder, par exemple des informations relatives au revenu des clients… En réalité, comme le relève le Professeur T. BONNEAU, le secret bancaire1201 couvre « uniquement les informations confidentielles [c’est-à-dire] des informations précises comme par exemple les informations chiffrées »1202. Concrètement, le secret bancaire vise les soldes de compte, le montant d’un crédit accordé1203, l’existence et le montant d’un découvert ou encore le verso d’un chèque, qui porte les coordonnées bancaires du bénéficiaire1204. En revanche ne tombent pas dans le champ du secret bancaire les informations générales : comme le souligne justement l’auteur, « la fourniture de renseignement est d’ailleurs un service bancaire »1205 1206. En outre, certains estiment que le secret ne s’étend pas aux éléments purement factuels relatifs à la demande de prêt1207. Toutefois, il n’est pas contestable que les données collectées aient un caractère de renseignement d’ordre privé. Pour cela, afin d’éviter une éventuelle sanction, on peut envisager que l’établissement de crédit, dans ces conditions générales d’utilisation de son site Internet, insère une clause particulière dite de « levée du secret bancaire »1208. Se pose alors la question de la validité de l’opération, c’est-à-dire de la communication des données à des partenaires à des fins de prospection suite à l’insertion d’une telle stipulation. On peut légitimement s’interroger sur la disproportion, au détriment du consommateur, induite par une telle mention dans le cadre d’une convention qui est, quasi systématiquement, un contrat d’adhésion. Il semble que pour cette raison, l’insertion de la clause de levée du secret bancaire ne suffirait pas à justifier de l’accord du consommateur concernant la finalité de la collecte. Par ailleurs, la CNIL a recommandé1209, dans ce cas, de recueillir expressément le consentement du consommateur au sens de la directive de 1995. Bien entendu, cet accord ne pourrait donc se déduire d’une non objection de sa part.

1195 Délibération n° 03-034 préc.

1196 En 2003, la CNIL a délivré deux avertissements en 2004 à des banques pour défaut de sécurité et de confidentialité des informations concernant leurs clients, JCP E, n°27, 1er juillet 2004, p.1077.

1197 Sauf s’ils ont pour finalité exclusive de permettre ou faciliter la communication par voie électronique ou s’ils sont strictement nécessaires à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur.

1198 « Dis-moi ce que tu consommes et je saurai qui tu es pour le faire savoir aux autres » ; FRAYSSINET J., Bases de données comportementales sur les consommateurs et Cnil, commentaire de l’arrêt du Conseil d’Etat du 30 juillet 1997, Expertises des systèmes d’information, janvier 1998, p.431.

1199 DUMOUT E., La société ABS condamnée à 3000 euros d’amende pour collecte illégale d’e-mails, 30 mai 2005, disponible sur : www.zdnet.fr ; CNIL, La Cour d’appel de Paris condamne un expéditeur de courriers électroniques non sollicités dont la CNIL avait dénoncé les agissements et qui avait été relaxé en première instance, 30 mai 2005, disponible sur : www.cnil.fr .

Lire le mémoire complet ==> (L’Internet au service des opérations bancaires et financières)
Thèse pour le Doctorat en Droit
Université Panthéon-Assas (Paris II) – Droit- Economie- Sciences sociales