Protection des données personnelles – Opérations financières sur l’internet

By 6 July 2013

La protection des données personnelles dans le cadre des opérations bancaires et financières sur l’internet – Titre 3

725. Panorama législatif. Il reste un dernier élément à examiner s’agissant de la protection du consommateur investisseur dans les prestations bancaires et financières en ligne. En effet, l’Internet est marqué par la traçabilité des transactions, « la navigation de l’internaute sur le Web laisse des traces1094 », et n’est pas aussi anonyme qu’il y paraît de prime abord : de la simple consultation des pages du site d’un établissement de crédit à la réalisation d’une opération bancaire en ligne, comme par exemple un virement, des données relatives à l’utilisateur sont collectées. La protection de ces données nominatives est assurée en droit interne1095 par la loi « informatique et libertés » du 6 janvier 19781096, modifiée par la loi du 6 août 20041097, l’ordonnance du 6 juin 20051098, le décret du 20 octobre 20051099 et par d’autres textes plus généraux comme l’article 9 du Code civil concernant de respect de la vie privée.

Cette protection a fait également l’objet d’une directive communautaire1100 en date du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données. Dans le domaine bancaire et financier, notons une recommandation du Conseil de l’Europe relative à la protection des données à caractère personnel à des fins de paiement1101 ; néanmoins il n’existe pas à notre connaissance de réglementation générale concernant les données nominatives à caractère financier. Ce sont donc les réglementations horizontales qui trouveront à s’appliquer1102. De même, « il n’existe pas en matière de protection des données personnelles un droit spécifique à l’Internet, à qui s’appliquent les règles de droit commun1103 ».

1094 MALLET-POUJOL N., Commerce électronique et protection des données personnelles, J.-Cl. com., 2003, fasc. 865, p.1.

1095 Pour une étude en droit comparé, V. KAUDER S., Les lois « Informatique et liberté » en France, en Europe et dans le monde, disponible sur : www.legalbiznext.com, 16 novembre 2005.

1096 Loi n°78-17 du 6 janvier 1978, relative à l’informatique, aux fichiers et aux libertés modifiée par la loi n°2004-801 du 6 août 2004. Pour une critique de cette loi, v. FRAYSSINET J., La loi relative à l’informatique, aux fichiers et aux libertés, modifiée par la loi du 6 août 2004 : continuité et/ou rupture ?, RLDI, octobre 2005, n° 9, p. 50.

1097 Loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel et modifiant la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ; V. CAHEN M.-I., La loi informatique et libertés, 20 septembre 2004, disponible sur : www.droit-ntic.com; CARON L., La loi Nouvelle loi Informatique et Libertés : quelle stratégie pour les entreprises ?, 14 septembre 2004, disponible sur : www.journaldunet.com ; DEBUCK S., Réforme de la loi du 6 janvier 1978 : quelle protection des données personnelles dans l’entreprise ?, 29 novembre 2004, disponible sur : www.droit-technologie.org.

1098 Ordonnance 2005-650 du 6 juin 2005 relative à la liberté d’accès aux documents administratifs et à la réutilisation des informations publiques.

1099 Décret n° 2005-1309 du 20 octobre 2005 portant sur l’application de la loi informatique et libertés

726. Illustration. Prenons l’exemple d’un établissement de crédit qui propose sur son site Internet de renseigner l’utilisateur sur la possibilité d’obtenir un prêt immobilier ou d’accéder à un service en ligne d’informations financières1104. Cela suppose la connaissance par les automates de calcul d’un certain nombre d’informations comme le montant des revenus du ménage, la profession, le taux d’endettement… L’utilisateur qui souhaite bénéficier de ce service doit ainsi compléter les champs d’un formulaire afin que l’automate ou bien, ultérieurement, un conseiller de l’établissement de crédit en question puisse analyser la situation de l’utilisateur du service et lui faire une proposition.

727. Type de collecte. Dans notre exemple la collecte est dite loyale car volontaire de la part du client qui renseigne lui-même les champs nécessaires. Par opposition, d’autres modes sont dits illicites1105 comme le « phishing1106 » qui touche presque exclusivement les établissements bancaires et financiers1107. Face à la recrudescence de cette pratique, une proposition de loi a été déposée afin de sanctionner l’usurpation d’identité d’autrui sur Internet dont la forme la plus connue étant le « phishing »1108. A cet effet, il a été proposé d’insérer dans le code pénal une nouvelle infraction « l’usurpation d’identité numérique » pour laquelle l’auteur serait condamné à un an d’emprisonnement et de 15000 euros d’amende1109. Un autre exemple de la collecte serait « les cookies1110 ». Il s’agit simplement, d’un fichier texte enregistré sur le disque dur de l’ordinateur, généralement à l’insu de l’utilisateur, qui permet à son émetteur de reconnaître un internaute en recueillant un certain nombre d’éléments d’identification : l’adresse IP1111, le système d’exploitation, le navigateur utilisé et des informations statistiques telles que les pages consultées ou le nombre de visites effectuées. Si l’on doit leur reconnaître l’avantage de simplifier la navigation sur certains sites en conservant les préférences déjà saisies sur l’ordinateur, en revanche les cookies peuvent aussi servir à informer le responsable d’un site des habitudes de navigation de l’utilisateur. Ces éléments facilitent la mesure de la fréquentation du site, mais permettent aussi de personnaliser l’affichage de certaines pages et publicités.

728. Position des problèmes. Il en résulte une collecte de données ; s’agissant de notre exemple, cette dernière est réellement conforme à la raison même du service proposé car sans ces informations, aucune réponse n’est possible. En revanche, plusieurs problèmes particuliers peuvent naître de cette situation du fait de la conservation et de l’utilisation ultérieure des données collectées.

• En premier lieu, l’établissement de crédit peut être tenté d’utiliser ces données à des fins de prospection sur d’autres produits bancaires ou financiers, c’est-à-dire pour un autre but que celui qui a présidé à la collecte ;
• En second lieu, l’automate de calcul peut être le seul intermédiaire pour l’utilisateur qui veut savoir s’il peut bénéficier du prêt ; autrement dit, l’intervention humaine peut ne pas être nécessaire, mais la « vision » que pourra avoir l’automate de la situation financière du candidat à l’emprunt sera nécessairement incomplète, même si le formulaire peut paraître suffisant ;
• En troisième lieu, en cas de refus d’accorder le prêt, l’établissement de crédit peut conserver ces données et s’en servir pour une demande future, cette demande se soldant par un nouveau refus ;
• En quatrième lieu, l’établissement de crédit peut envisager de céder ces données à un partenaire pour qu’il les exploite commercialement, dans l’Union Européenne ou en dehors d’elle.

1100 Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.

1101 Recommandation n° R (90) 19 du Conseil de l’Europe relative à la protection des données à caractère personnel à des fins de paiement et autres opérations connexes.

1102 MOLE A., Protection des personnes sur Internet : conditions posées par la Cnil, Legicom, n°10, 1995, p. 62.

1103 FRAYSSINET J., l’Internet et la protection des données personnelles – Rapport général, 2000, Colloque international Internet et le droit.

1104 Lors de sa séance du 22 septembre 2005, la Commission nationale de l’informatique et des libertés (CNIL) a autorisé la société Bloomberg à mettre en œuvre un dispositif biométrique permettant l’accès en temps réel à toutes sortes de données financières. Bien entendu la CNIL a veillé à la conformité de ce dispositif à la loi « informatique et libertés ». V. CNIL, Un service au bout des doigts, 28 septembre 2005, disponible sur : www.cnil.fr

1105 Et donc interdit selon l’article 6 de la loi de 1978 qui prévoit que « les données sont collectées et traitées de manière loyale et licite ».

1106 « Cette pratique consiste à récupérer certaines informations personnelles (données bancaires) des internautes via l’envoi de courriels usurpés et de faux sites Web qui sont la réplique quasi-exacte de vrais sites », MENAGER O., Les entreprises ne peuvent ignorer le phishing, in 01 Réseaux, n°144, novembre 2004.1107 LAURENT A., Les banques face au défi de leur sécurité : comment prévenir plutôt que guérir ?, 29 novembre 2005, disponible sur : www.atelier.fr . L’auteur révèle aussi que le terme « phishing » parfois francisé en « hameçonage » est issu de la contraction entre « fishing » (pêche) et « phreaking » (piratage téléphonique).

1108 DUMOUT E., Une proposition de loi pour pénaliser l’usurpation d’identité sur Internet, 5 juillet 2005, disponible sur : www.zdnet.fr.

1109 V. Proposition de loi tendant à la pénalisation de l’usurpation d’identité sur les réseaux informatiques, présentée par le Sénateur DREYFUS-SCMIDT M., deuxième lecture, 25 et 26 octobre 2005, disponible sur : http://homepage.mac.com/tristanmf/MDS/page4/page4.html

1110 « Elément de donné stocké sur le poste de travail par un serveur Web et contenant l’identification du serveur, de la page ainsi que tout autre donnée utile au concepteur du site ou de l’application », Banque de France, Livre Blanc, annexe 3.

1111 LALANDE S., Internet Protocol, L’adresse IP de votre ordinateur : une donnée personnelle relevant du régime de protection communautaire, décembre 2003, document disponible sur : http://www.droit-ntic.com/news/afficher.php?id=191

729. Plan. En ce qui concerne le droit interne, la loi de 1978 modifiée par celle de 2004 ne se contente pas d’accorder des droits au consommateur, personne concernée par les données à caractère personnel, mais encadre la collecte et le traitement de formalités et conditionne largement leur légalité. Il en ressort une double protection pour le consommateur : l’une, positive, par les droits que la loi lui reconnaît (chapitre 1), l’autre, négative, par les obligations imposées au professionnel (chapitre 2).

Lire le mémoire complet ==> (L’Internet au service des opérations bancaires et financières)
Thèse pour le Doctorat en Droit
Université Panthéon-Assas (Paris II) – Droit- Economie- Sciences sociales