Banque Et Assurance Digitales
This document was uploaded by user and they confirmed that they have the permission to share it. If you are author or own the copyright of this book, please report to us by using this DMCA report form. Report DMCA
Overview
Download & View Banque Et Assurance Digitales as PDF for free.
More details
- Words: 193,836
- Pages: 452
Loading documents preview...
Banque et Assurance Digitales DROIT ET PRATIQUES Sous la direction d’ÉRIC
A. CAPRIOLI
PASCAL AGOSTI ISABELLE CANTERO ILÈNE CHOUKRI
droit
Préface de MYRIAM ROUSSILLE
Banque et Assurance digitales DROIT ET PRATIQUES
Sous la direction de Éric A. Caprioli Pascal Agosti Isabelle Cantero Ilène Choukri
Préface de Myriam Roussille 5e édition augmentée et mise à jour notamment des dispositions de la loi de régulation bancaire et financière Préface de Benoît de Juvigny, Secrétaire général de l’Autorité des marchés financiers Avant-propos de David Charlet, Président de l’Association nationale des conseils en investissements financiers (ANACOFI), Président de l’ANACOFI-CIF
Les auteurs Ouvrage collectif sous la direction de Éric A. Caprioli, Avocat à la Cour de Paris, Docteur en droit, spécialiste en droit de l’informatique et des nouvelles technologies et en droit de la propriété intellectuelle, habilité à diriger des recherches en droit, membre de la délégation française aux Nations unies. Avec les contributions de : Pascal Agosti, Avocat au Barreau de Nice, Docteur en droit, spécialiste en droit de l’informatique, des nouvelles technologies et de la communication, Associé. Examen « Certified ISO/IEC 27001 Lead Auditor ». Isabelle Cantero, Avocat au Barreau de Nice, Directeur du Pôle Vie privée et protection des données à caractère personnel et Vie privée et sécurité de l’information, Associé. Ilène Choukri, Avocat au Barreau de Nice, Directeur du Pôle Contentieux et Arbitrage, Docteur en droit, Associé.
ISBN : 978-2-86325-763-0 Code Géodif : G0070780 Copyright © 2017 RB Édition, 18, rue La Fayette, 75009 – www.revue-banque.fr Diffusé par les Éditions d’Organisation, 1, rue Thénard, 75240 Paris Cedex 05. Toute reproduction, totale ou partielle, de la présente publication est interdite sans autorisation écrite de RB Édition ou du Centre français d’exploitation du droit de copie (CFC – 20, rue des Grands-Augustins, 75006 Paris), conformément aux dispositions du Code de la propriété intellectuelle.
Cet ouvrage est publié avec le concours du Secrétariat Général Direction Juridique du Groupe BPCE
« Verse-nous ton poison pour qu’il nous réconforte ! Nous voulons, tant ce feu nous brûle le cerveau, Plonger au fond du gouffre, Enfer ou Ciel, qu’importe ? Au fond de l’Inconnu pour trouver du nouveau ! »
Baudelaire « Les fleurs du mal » Le Voyage (dernière strophe)
L I S T E D E S P R I N C I PA L E S A B R É V I AT I O N S ABE
Autorité bancaire européenne
ACPR
Autorité de contrôle prudentiel et de résolution
AMF
Autorité des marchés financiers
ANSSI
Agence nationale en matière de sécurité et de défense des systèmes d’information
API
Application Programming Interface
Art.
Article
Banque & Droit
Revue Banque & Droit
BCR
Binding Corporate Rules
BEL
Banque en ligne
Bull.
Bulletin de la Cour de cassation
CA
Cour d’appel
C. assur.
Code des assurances
C. civ.
Code civil
C. consom.
Code de la consommation
Cass. civ. 1re
Cour de cassation, 1re chambre civile
Cass. civ. 2e
Cour de cassation, 2e chambre civile
Cass. civ. 3e
Cour de cassation, 3e chambre civile
Cass. com.
Cour de cassation, chambre commerciale
Cass. crim. Cass. soc.
Cour de cassation, chambre criminelle
CE
Conseil d’État
CGU
Conditions générales d’utilisation
CIL CJCE
Correspondant informatique et libertés
CJUE
Cour de Justice de l’Union européenne
CMF
Code monétaire et financier
CNIL
Commission nationale informatique et libertés
CNUDCI
Commission des Nations unies pour le droit commercial international
Cour de cassation, chambre sociale
Cour de Justice des Communautés européennes
8 | B anque
et
a ssurance
C. pén.
digitales
Code pénal
Com. com. électr. Revue Communication commerce électronique Contrats, conc., consom. Revue Contrats, concurrence, consommation CPC
Code de procédure civile
CPCE
Code des Postes et des communications électroniques
CPI
Code de la propriété intellectuelle
CPP
Code de procédure pénale
CSP
Code de la santé publique
D.
Recueil Dalloz
DGCCRF
Direction générale de la concurrence, de la consommation et de la répression des fraudes
DPD
Délégué à la protection des données
Dr pén.
Revue Droit pénal
DSP
Directive sur les services de paiement
EDI
Échange de données informatisées
ETSI
European Network and Information Security Agency
Gaz. Pal.
Revue Gazette du Palais
GED
Gestion électronique de documents
In
Dans
IP
Internet Protocol
ISO
International Organisation of Standardization
J.-Cl.
Juris-Classeur
JCP éd. E & A
Revue La Semaine Juridique, édition entreprise et affaires
JCP éd. G
Revue La Semaine juridique, édition générale
JO
Journal officiel
JOCE/JOUE
Journal officiel de la Communauté européenne (devenu Journal officiel de l’Union européenne)
L.
Loi
LCEN
Loi sur la confiance dans l’économie numérique
OIV
Opérateur d’importance vitale
Ord. réf.
Ordonnance de référé
OTP
One Time Password
PCI DSS
Payment Card Industry Data Security Standard
PSCo
Prestataire de services de confiance
l iste
des principales aBréviations
|9
RDBB
Revue de droit bancaire et de la Bourse
RDBF
Revue de droit bancaire et financier
RDC
Revue de droit des contrats
Rev.
Revue
RGPD
Règlement général sur la protection des données
RLDA
Revue Lamy Droit des affaires
RLDC
Revue Lamy Droit civil
RLDI
Revue Lamy Droit de l’immatériel
RTD civ.
Revue trimestrielle de droit civil
RTD com.
Revue trimestrielle de droit commercial
SEPA
Single Euro Payments Area ou Espace unique de paiement en euros
STAD
Système de traitement automatisé de données
T. com.
Tribunal de commerce
T. corr.
Tribunal correctionnel
TGI
Tribunal de grande instance
TRACFIN
Traitement du renseignement et action contre les circuits financiers clandestins
V.
Voir
SOMMAIRE Liste des principales abréviations ......................................................
7
Préface de Myriam Roussille ...............................................................
17
Introduction...........................................................................................
19
PARTIE I EXIGENCES JURIDIQUES APPLICABLES À LA BANQUE ET À L’ASSURANCE DIGITALES CHAPITRE I Enjeux et réalités de la protection des consommateurs en ligne ....
27
Section I Un cadre juridique hétérogène, stratifié et complexe ...................................
30
Section II Les défis de l’obligation d’information précontractuelle du consommateur de banque et d’assurance en ligne .................................
38
Section III La notion de support durable ..........................................................................
43
Section IV Droits de rétractation et de renonciation dans les services bancaires et assurantiels ..................................................................................................
50
Section V Les mécanismes de protection contre les clauses abusives en ligne ........
56
Section VI L’impact pour les consommateurs de la nature « hors sol » des contrats de banque et d’assurance digitale............................................
61
CHAPITRE II La protection des données à caractère personnel ............................
67
Section I Le cadre de la protection et certaines de ses évolutions à anticiper ..........
70
12 | B anque
et
a ssurance
digitales
Section II La prospection commerciale des données ....................................................
118
Section III Le profilage et le Big Data................................................................................
142
Section IV Transfert des données à caractère personnel ...............................................
149
CHAPITRE III Conformité légale .................................................................................
173
Section I Lutte contre le blanchiment des capitaux et le financement du terrorisme.....................................................................................................
174
Section II Contrôle interne et sécurité de l’information .................................................
187
Section III Secret professionnel ........................................................................................
197
CHAPITRE IV De la sécurité des systèmes d’information et de l’information ........
205
Section préliminaire Un cadre juridique de plus en plus étoffé ......................................................
205
Section I Sécurité et cybersurveillance des salariés ....................................................
206
Section II Identification et authentification .....................................................................
220
Section III Lutte contre les fraudes numériques et la cybercriminalité .........................
242
Section IV Obligations relatives à la sécurité des systèmes d’information ..................
265
CHAPITRE V Les aspects contractuels de l’assurance et de la banque digitale ..
287
Section I Le cadre juridique applicable à la banque digitale ........................................
287
Section II Les clauses utiles .............................................................................................
292
Section III L’inclusion des stipulations relatives à la banque et à l’assurance digitales .............................................................................................................
294
s ommaire | 13
PARTIE II OPÉRATIONS DE BANQUE ET D’ASSURANCE DIGITALES CHAPITRE I Les principes de la digitalisation des documents.............................
299
Section I L’établissement d’un écrit électronique .........................................................
300
Section II La conservation des documents.....................................................................
319
CHAPITRE II Les opérations de paiement numérique .............................................
327
Section I Les opérations de paiement ............................................................................
328
Section II Les instruments de paiement ..........................................................................
333
Section III Les formes des moyens de paiement .............................................................
337
CHAPITRE III Les fonctionnalités de la banque en ligne .........................................
341
Section I Consultation et émission de relevés d’opérations par voie électronique/Gestion des alertes ....................................................................
342
Section II Mise à disposition pour impression de Relevés d’identité bancaire ...........
343
Section III Les virements bancaires ..................................................................................
344
Section IV Fonctionnalité de base des espaces clients ..................................................
344
Section V Mise en place de simulations d’opération (crédit, assurance) .....................
346
Section VI Messagerie bancaire ........................................................................................
346
CHAPITRE IV La contractualisation d’opérations complexes .................................
349
Section I Ouverture d’un compte de dépôt ....................................................................
349
14 | B anque
et
a ssurance
digitales
Section II La conclusion d’un contrat de crédit à la consommation ............................
353
Section III La souscription d’un contrat d’assurance .....................................................
359
PARTIE III LES NOUVEAUX SERVICES DIGITAUX CHAPITRE PRÉLIMINAIRE Les Fintech, nouveaux acteurs du monde bancaire, financier, assurantiel.............................................................................................
373
Section I Fintech : une définition empirique ..................................................................
374
Section II Une prise en compte progressive par les autorités en charge de la régulation financière ...............................................................................
375
CHAPITRE I Les services disposant d’un cadre juridique .....................................
377
Section I Le coffre-fort numérique ..................................................................................
377
Section II Les initiateurs de paiement et les agrégateurs de comptes de paiement ...
384
Section III Les plateformes de crowdfunding ..................................................................
392
CHAPITRE II Les services en cours d’encadrement ...............................................
407
Section I Les monnaies virtuelles ...................................................................................
407
Section II La technologie Blockchain ..............................................................................
414
Section III Les fournisseurs d’API .....................................................................................
421
s ommaire | 15 Section IV Mobile Virtual Network .....................................................................................
423
Index ......................................................................................................
427
Bibliographie sélective.........................................................................
431
P R É FA C E Le digital constitue l’horizon de la banque et de l’assurance de demain. Il en façonne déjà les transformations actuelles, commerciales et organisationnelles. Mais basculer du papier au tout numérique bouleverse aussi l’approche juridique de ces secteurs. Et les problématiques sont en la matière bien compliquées, parce qu’imbriquées et parfois difficiles à articuler. Aborder dans un seul et même ouvrage la banque et l’assurance digitales est à la fois un choix judicieux et audacieux. Le rapprochement des activités, l’émergence de règles transversales et la supervision commune des secteurs – peut-être bientôt étendue au niveau européen – donne tout son sens à cette démarche. Dégager les questions juridiques, esquisser les réponses opérationnelles à y apporter ‒ dans un contexte réglementaire en mouvement incessant ‒ constituait un beau challenge. Éric Caprioli et ses Associés l’ont relevé. Par l’expérience qu’ils ont accumulée dans l’accompagnement des directions juridiques d’entreprises bancaires et d’assurance et par leurs publications passées, ils ont déjà contribué à structurer les réflexions et à faire avancer les solutions en ce domaine. Ils ont à nouveau mobilisé leur temps précieux pour nous livrer leurs analyses et nous faire bénéficier de leur recul. L’ouvrage recense d’abord les enjeux juridiques que le digital soulève dans les deux domaines. Il expose les cadres qui assurent la protection des consommateurs lorsqu’ils utilisent les services en ligne, en réservant une place centrale au dispositif de protection des données personnelles. À la pointe de l’actualité, l’ouvrage éclaire le lecteur sur les thématiques en vogue comme le profilage, le Big Data et les questions de compliance propres à ces secteurs. Il ne pouvait pas non plus faire l’économie du thème de la sécurité des systèmes d’information et de l’information. Les auteurs s’attaquent ensuite, dans une approche résolument opérationnelle, aux sujets techniques qui animent les banques et les entreprises d’assurance en pratique. Les principes applicables à la digitalisation des documents laissent place à des développements sur les opérations de paiement numériques ainsi qu’aux fonctionnalités de la banque en ligne et à la conclusion des principaux contrats en ce domaine (ouverture de compte, crédit à la consommation, assurance). Les nouveaux services digitaux, dans lesquels évoluent les Fintech et les nouvelles technologies, du Bitcoin à la Blockchain, réjouiront enfin les lecteurs qui s’intéressent à ces sujets. Myriam Roussille Agrégée des Facultés de droit Professeur à l’Université du Mans
INTRODUCTION 1. Dès le début des années soixante-dix, d’éminents professeurs avaient déjà remarqué la standardisation des opérations bancaires et l’automatisation de leurs traitements1. Ils avaient également observé qu’une part de plus en plus importante des opérations bancaires revêtait une dimension internationale. Ce phénomène s’est amplifié sans interruption avec l’apparition du réseau SWIFT en 1977 jusqu’à l’arrivée de l’Internet, et ce encore aujourd’hui2. À la vérité, le secteur bancaire et financier fait partie des pionniers en matière d’informatisation, puis de numérique, voire du digital. Cette nouvelle révolution succède aux inventions de l’écriture et de l’imprimerie comme l’a brillamment rappelé Michel Serres3. Le développement des réseaux numériques a encore accentué le phénomène de l’internationalisation des échanges au travers de la généralisation de la numérisation. Mais, tant que les systèmes informatiques n’étaient pas ouverts, les questions relatives à la sécurité numérique ne se posaient pas avec la même acuité qu’actuellement. 2. Or, avec la révolution digitale, son impact sur les métiers de la banque et de l’assurance est sans commune mesure avec ce qui a pu exister auparavant. La rupture s’opère et se diffuse à une vitesse sans précédent car les outils (ordinateurs portables, smartphones, tablettes, etc.) et les moyens de communication électroniques sont partagés par le plus grand nombre. Depuis l’avènement de l’Internet grand public, un peu plus d’une vingtaine d’années s’est écoulée et la transformation sociétale n’en est qu’au commencement. La banque en ligne a opéré une mutation importante de la relation client avec des accès 24 heures sur 24 et 7 jours sur 7 dès le début des années 2000. Une définition large de la banque en ligne avait été donnée par le Comité consultatif du secteur financier (CCSF) : « Banque à distance (Services de) : Ensemble de services rendus par la banque disposant ou non d’agence ou de lieu d’accueil de la clientèle et utilisant les nouvelles technologies (Internet, téléphone…) pour réaliser à distance – tout ou partie – des opérations sur le compte bancaire. On parle également de banque
1. 2. 3.
C. Gavalda et J. Stoufflet, Droit de la banque, PUF, 1974, v. n° 6. É. A. Caprioli, Le crédit documentaire : évolution et perspectives, préface R. de Bottini, avantpropos J.-P. Sortais, Litec, coll. Bibl. dr. entr., T. 29, 1992, v. n° 601. M. Serres, Petite Poucette, Le Pommier, 2012 : « Toutefois, l’invention de l’écriture et celle, plus tardive, de l’imprimerie bouleversèrent les cultures et les collectivités plus que les outils. Le dur montre son efficacité sur les choses du monde ; le doux montre la sienne sur les institutions des hommes. Les techniques conduisent ou supposent les sciences dures ; les technologies supposent et conduisent les sciences humaines, assemblées publiques, politique et société. Sans l’écriture, nous serions-nous réunis dans des villes, eussions-nous stipulé un droit, fondé un État, conçu le monothéisme et l’histoire, inventé les sciences exactes, institué la paideia… ? Aurions-nous assuré leur continuité ? (…) », p. 30.
20 | B anque
et
a ssurance
digitales
en ligne »4. Les clients, les particuliers, les entreprises, les collectivités publiques ont besoin d’immédiateté et d’accès aux services à partir de n’importe où et à n’importe quel moment. Ainsi, « les canaux d’échanges entre les banques et leurs clients se multiplient, ils se croisent et se combinent (on parle de multicanal et de « Cross canal ») : des opérations par voie électronique en agence avec un conseiller ou avec un guichet électronique, par téléphone ou avec l’envoi de documents par La Poste, par voie électronique via l’Internet ou des applications mobiles, voire avec une webcam »5. Il en va de même pour les services d’assurance qui se digitalisent progressivement6. Les comportements des clients se modifient avec l’utilisation des technologies et les nouveaux usages. Les communications de la génération Y reposent le plus souvent sur le téléphone mobile et le smartphone. De plus, on voit apparaître toutes sortes d’objets connectés (« Internet Of Things » ou IOT7) comme les bracelets, les montres, les puces, les boîtiers (ex. : pour détecter le taux d’humidité après un sinistre), les lunettes qui peuvent interagir avec les banques et les assurances et leur fournir des données comportementales, de santé ou sur un sinistre ayant une incidence sur les services, le prix de la police et l’indemnisation. Selon M. François Laffond, on serait en prise avec une évolution naturelle plus qu’une révolution : « plus qu’un changement des usages et comportements, le client de la banque voit ses exigences croître vers plus d’interactivité et de simplicité d’utilisation, de désintermédiation, de conseils personnalisés. Enfin, le numérique transforme la banque de détail dans son mode de fonctionnement, tant du point de vue du client que des processus opérationnels, mais également sur son business model. Si la banque change et s’adapte, les métiers se font l’écho de ces transformations à des degrés divers »8. 3. Pour définir la banque et l’assurance digitales, on ne doit pas se contenter de retenir l’utilisation des technologies de l’information et de la communication (équipements et connexions aux réseaux numériques) ; il faut y ajouter les usages en constante évolution, notamment ceux issus de ce qu’il est désormais courant d’appeler les « Fintech » ou les « Regtech ». Des caractéristiques découlent de ces nouveaux usages : interactivité, agilité, mobilité, collaboration, partage (sont notamment utilisées les techniques de Big data9, les médias sociaux). La relation sort des lieux clos habituels où l’on contracte avec sa banque ou sa compagnie d’assurance pour s’effectuer à distance, à partir de chez soi ou de n’importe 4. 5. 6. 7. 8. 9.
Glossaire « Banque au quotidien et crédit », Secrétariat général du Comité consultatif du secteur financier (CCSF), juin 2010. É. A. Caprioli, I. Cantero, I. Choukri, P. Agosti, F. Coupez, La banque en ligne et le droit, RB Édition, 2014, v. p. 15. « La transformation digitale prend son temps », L’Argus de l’assurance.com, 21 sept. 2012, n° 7281. T. Piette-Coudol, Les objets connectés, sécurité juridique et technique, LexisNexis, 2015. F. Laffond, « L’impact du numérique sur les métiers de la banque », Rev. Banque, n° 771. E. Jouffin et X. Le Marteleur, « Du psautier de Mayence aux zettaoctets, Quel environnement juridique pour le big data ? », Banque & Droit, juin 2016 ; É. A. Caprioli, « Docteur Data et Mister Big », Mag Securs, n° 38, p. 21 ; Thourot et K. Ametepe Folly, Big Data : opportunité ou menace pour l’assurance ?, RB Édition, 2016.
i ntroduction | 21
quel lieu où la connexion est possible, n’importe quand ! Mais ce n’est pas pour autant que les relations par voie électronique sont exclusives de toute présence physique ; bien au contraire, elles se développent de façon complémentaire. Ce que l’on appelle le digital tend vers le tout numérique même si, pour l’instant, il faut parfois utiliser les canaux traditionnels comme l’envoi postal ou la remise de documents sur support papier. La transition va encore durer quelques années. Mais le dénominateur commun reste le multicanal. D’après Pierre Catala, « avec la banalisation d’Internet, le télé-contrat échappe au droit des affaires pour envahir la vie quotidienne ; en devenant un phénomène de masse, il se «civilise» au sens juridique »10. 4. Ceci explique pourquoi nous avons choisi de définir la digitalisation de la banque et de l’assurance de façon large comme : la technique qui permet le passage de l’information analogique au numérique au moyen des technologies de l’information, de sorte qu’elle puisse faire l’objet de traitements et d’échanges entre systèmes d’information via les réseaux numériques dans la banque et l’assurance et dans leurs systèmes d’information, mais aussi avec les équipements personnels des clients. Le mérite de cette définition est d’inscrire l’informatique de la banque et de l’assurance dans la globalité de toutes formes de relations avec les clients, mais aussi de back-office, en intégrant les anciennes opérations que l’on connaît depuis longtemps (prêt, ouverture de compte, paiement, financement, souscription d’une assurance IARD, d’un contrat assurance-vie ou d’un crédit à la consommation) conclues sous forme numérique à distance ou non, ainsi que les nouveaux usages via les applications telles que les API (Application Programming Interface). 5. À la suite de M. Thierry Breton, on peut dire que les données sont au cœur de la relation client et que le XXIe siècle sera celui de la confiance numérique (à construire)11. À partir de ce que l’on peut nommer la « datification »12 du monde ou la « mise en données » de tout, on constate, pour reprendre l’expression d’Éric Sabin, « une quantitative intégrale de la vie »13. De là, en découle le « Big data », les algorithmes prédictifs, la marchandisation des données. Bref, cela laisse présager un véritable bouleversement des métiers de la banque, de la finance et de l’assurance tant sur le plan des structures et de l’organisation que du marché et des produits. Pour illustrer cette évolution dans la banque et l’assurance digitales, il suffit de penser aux robots banquiers en matière de gestion du patrimoine. Selon le professeur Lionel Martinelli, « aux USA, 250 milliards de dollars sont déjà gérés par des robots. Ils ne sont pas plus performants, mais ils
10. P. Catala, « Écriture électronique et actes juridiques », in Mélanges Michel Cabrillac, DallozLitec, 1999, v. p. 93. 11. T. Breton, « Actualités & Analyses », 24 oct. 2016. 12. V. l’article sur deux ouvrages de L. Mayer-Schönberger et K. Cukier (sur la mise en données du monde) et d’A. Townsend (sur les villes intelligentes) : « La datification du monde », Les Échos, 7 févr. 2014. 13. É. Sadin, La vie algorithmique – Critique de la raison numérique, L’échappée, 2015, p. 99 et s.
22 | B anque
et
a ssurance
digitales
le font pour bien moins cher »14. En 2020, ce chiffre devrait être pratiquement multiplié par dix (2 200 milliards de dollars). Outre les échanges et les interactions avec les clients dans le cadre des espaces numériques sécurisés ou coffres-forts numériques mis à leur disposition, bon nombre d’établissements bancaires ou de sociétés d’assurance (en ce y compris des mutuelles) utilise les services de confiance numérique tels que le cachet et la signature électroniques, l’horodatage15 et l’archivage, pour tous les processus de contractualisation (parcours client) de leurs produits et services financiers et d’assurance que ce soit dans le cadre d’une rencontre physique (en face-à-face) ou en ligne, voire de façon hybride. 6. Pourtant, le droit ne facilite pas toujours la transformation et le passage au tout numérique. Au contraire, il complexifie parfois la donne. Toutes les obligations et exigences qui préexistaient au numérique demeurent et de nouvelles obligations, censées protéger toujours plus les consommateurs ou les données des personnes physiques, voire la sécurité en termes de blanchiment d’argent ou de financement du terrorisme, apparaissent et se compliquent au fil des années. Leurs origines sont variées : l’État, l’Union européenne ou des conventions internationales (plus rarement). À ce titre, un constat s’impose : on se trouve face à un mille-feuille juridique complexe et parfois avec des exigences difficilement conciliables les unes avec les autres. La digitalisation épargne peu de domaines juridiques et concerne le Code civil pour la preuve, la signature, les contrats par voie électronique, le Code de la consommation, la réglementation des banques et des assurances [Code monétaire et financier (CMF), Code des assurances, réglementation « Single Euro Payments Area » (SEPA) ou Espace unique de paiement en euros, réglementation de l’Autorité de contrôle prudentiel et de résolution (ACPR), règlement de l’Autorité des marchés financiers (AMF)…], la loi « Informatique et Libertés », le Code des postes et des communications électroniques (CPCE), le Code de la défense, etc. 7. Mais le virage le plus délicat est en cours et les principaux risques en termes de concurrence et de conquête d’une autre clientèle restent à venir avec les nouveaux acteurs qui entendent préempter les marchés de la banque et de l’assurance. Ils sont issus des télécoms (ex. : Orange avec ses offres de paiement), ou de la galaxie des GAFAM (Google, Amazon, Facebook, Apple, Microsoft), mais aussi d’autres entités chinoises telle que Alibaba qui ont conquis des parts de marchés au détriment des banques nationales sur leurs territoires, voire des Uber de la finance ou de l’assurance. Il ne faut, cependant, pas perdre de vue que l’objectif des banques et des assurances est double : fidéliser leurs clients
14. « Le Big Bang des banques », L’Expansion, nov. 2016, p. 44. 15. É. A. Caprioli et P. Agosti, « Principales évolutions du régime de la signature, du cachet et de la copie numériques », AJCA, oct. 2016, n° 2 ; D. Gobert, « La loi belge du 21 juillet 2016 mettant en œuvre le règlement eIDAS et le complétant avec des règles sur l’archivage électronique : analyse approfondie » : www.caprioli-avocats.com
i ntroduction | 23
(un client coûte moins cher à conserver qu’à conquérir) et vendre de plus en plus de produits sur un marché fortement concurrentiel et qui s’internationalise. 8. Il est sans doute vrai que la compétition commerciale va être rude et que les anciens doivent se préparer à racheter certains challengers ou à développer des services pour lutter contre les majors16. Toutefois, si l’on regarde de plus près ce que l’on appelle la révolution des « Fintechs », force est de constater que le plus souvent, les nouveaux services à valeur ajoutée ne touchent pas au cœur de métier des banques et des assurances, sauf peut-être pour ce qui est des techniques modernes de paiement et des monnaies virtuelles. Néanmoins, un paiement ou une monnaie qui est virtuel reste juridiquement un paiement, une monnaie ou un virement peu importe la technique sous-jacente utilisée. Au demeurant, force est de constater que le cœur de ces usages innovants repose souvent sur le m-commerce (téléphones mobiles, smartphones et tablettes) et sur la désintermédiation17. Ces outils permettent de tout faire en temps réel et ouvrent les usages à de nouveaux acteurs, hors les banques et assurances traditionnelles, au risque de conquérir des parts de marché de ces dernières. Mais le principal danger pour les banques et les assurances vient des GAFAM, voire des opérateurs de téléphonie et de leurs positionnements sur la gestion des données. 9. Au surplus, lorsqu’on envisage les applications de la blockchain18, on constate qu’elles foisonnent dans différents domaines : paiement, financement participatif ou bons de caisse, état civil, gestion de l’identité numérique des citoyens par un État, cadastre et gestion des titres de propriété, gestion des droits de propriété intellectuelle dans la musique ou les vidéos, authentification de chaînes de fabrication des marchandises comme les médicaments. Une blockchain consiste en la technologie utilisée pour une application ou un projet donné, elle a un rôle de sécurisation et de facilitation des transactions. Elle ne change pas la nature de la transaction en elle-même. Ce type de technologie, dite « disruptive » (de rupture) doit être appréhendée à sa juste mesure et être utilisée à bon escient et dans le respect des exigences juridiques et de conformité19. De même, lorsqu’en matière d’assurance, on parle d’un bracelet, d’une montre ou d’une puce numérique – objets qui servent à collecter des données de santé – cela ne remet pas en cause les opérations d’assurance sous-jacentes qui restent identiques à celles que l’on connaît aujourd’hui. En revanche, ces objets connectés vont permettre de moduler les primes en fonction des résultats collectés en temps réel sur la personne ayant fait l’objet de l’assurance.
16. V. en ce sens l’analyse d’É. Sadin dans La vie algorithmique – Critique de la raison numérique, L’échappée, 2015, ainsi que l’ouvrage fondateur de J. Rifkin, La nouvelle société du coût marginal zéro, LLL, 2014. 17. R. Bouyala, La révolution FinTech, RB Édition, 2016. 18. A. Tapscott, Blockchain revolution: How the Technology Behind Bitcoin Is Changing Money, Business, and the World, Penguin Publishing Group, 2016. 19. É. A. Caprioli, « La Blockchain ou la confiance dans une technologie », JCP éd. G, n° 23, 6 juin 2016, p. 1162.
24 | B anque
et
a ssurance
digitales
10. Les contours des règles juridiques applicables à la banque et à l’assurance digitales impliquent que l’on se pose de nombreuses questions ayant trait à des sujets aussi divers que : quelles sont les exigences de sécurité des systèmes d’information qu’il convient de mettre en œuvre ? Quelles obligations juridiques pèsent sur l’entreprise de banque ou d’assurance en termes de conformité légale ou de protection des données à caractère personnel ? Selon quelles règles juridiques s’opèrent les relations digitalisées avec les clients ? Comment assurer le passage de la banque et de l’assurance traditionnelles au digital ? Quels sont les nouveaux services à valeur ajoutée et leurs cadres juridiques dont les banques et les assurances doivent se doter pour rester compétitives ? Pour répondre à ces questions, trois axes principaux se dégagent et seront présentés successivement : • les exigences juridiques applicables à la banque et à l’assurance digitales (première partie) ; • les opérations de banque et d’assurance digitales (deuxième partie) ; • les nouveaux services de banque et d’assurance digitales (troisième partie).
PA R T I E I EXIGENCES JURIDIQUES APPLICABLES À LA BANQUE ET À L’ASSURANCE DIGITALES
11. Les réglementations applicables aux banques et aux assurances sont de plus en plus complexes. Avec la digitalisation, ces entreprises doivent non seulement prendre en compte les règles de droit commun qu’elles appliquent depuis longtemps et qui évoluent au gré des crises, mais aussi les règles plus spécifiques qui encadrent les échanges digitaux/numériques. Pour envisager l’analyse des principales exigences juridiques applicables à la banque et à l’assurance digitales, il s’agira de voir, tour à tour, les enjeux et réalités de la protection des consommateurs (chapitre I), les obligations issues de la loi « Informatique, fichiers et libertés » (chapitre II), les obligations relatives à la sécurité des systèmes d’information et de l’information (chapitre III), les questions de conformité légales (chapitre IV) et, enfin, les questions contractuelles (chapitre V).
CHAPITRE I Enjeux et réalités de la protection des consommateurs en ligne 12. La sacralité de l’écrit dans le domaine bancaire et assurantiel vient de la qualité particulière de la relation avec le consommateur. En effet, l’Internet n’est plus uniquement le lieu de la publicité et de la prospection marchande. Il est devenu également l’un des sièges de la contractualisation20, depuis la loi n° 2000230 du 13 mars 2000. À terme, il en sera même le socle privilégié avec le mobile et pourquoi pas exclusif : les « pure players » et les « fintech » en ont fait le pari. 13. La dématérialisation des services dans le domaine de la banque et de l’assurance correspond, certes, à de nouveaux besoins des consommateurs : rapidité, réactivité, efficacité, rentabilité, ubiquité, etc.21 Cependant, avec une redéfinition totale de l’espace-temps, la cyber-banque et la cyber-assurance conduisent nécessairement à replacer le consommateur dans une nouvelle échelle de rapports avec son banquier ou son assureur. La réciproque est également vraie : le banquier et l’assureur doivent se resituer dans un processus de contractualisation totalement bouleversé. Les notions de risques et de responsabilités sont totalement redistribuées et les paradigmes classiques peuvent même tomber dans l’obsolescence, à terme. Pour des services aussi incontournables que la banque et l’assurance, la sécurité, la fiabilité, la facilité et la qualité du processus de contractualisation constituent les leviers stratégiques de la confiance du consommateur. Cette confiance doit être d’autant plus garantie qu’elle est censée animer plusieurs niveaux d’actions, des plus usuelles (telle qu’une opération simple sur ses comptes) aux moins courantes (telles que la cristallisation d’un crédit à la consommation ou le crédit immobilier)22, couvrant même la période précontractuelle. Le numérique bouleverse fatalement la consommation de la prestation bancaire et assurantielle qui devient donc désincarnée. Le passage au guichet 20. Loi n° 2000-230 du 13 mars 2000 portant adaptation du droit de la preuve aux technologies de l’information et relatives à la signature électronique ainsi que la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique (LCEN). V. É. A. Caprioli, « Écrit et preuve électronique dans la loi n° 2000-230 du 13 mars 2000 », Cah. dr. entr., 2000, n° 2, p. 1 et s. 21. S. Chaptal, « Banque en ligne. Quand la relation passe en 2.0 », Rev. Banque, n° 728, oct. 2010, p. 42 et s. 22. N. Ereseo, « Les opérations de crédit en ligne : le cas du crédit à la consommation », Banque & Droit, hors-série, juin 2013, p. 32 et s. ; N. Mater, « Le crédit immobilier en ligne », Banque & Droit, hors-série, juin 2013, p. 37 et s. V. partie II, chapitre IV.
28 | B anque
et
a ssurance
digitales
et le rendez-vous chez son agent cessent d’être des passages obligés, même si la contractualisation sous forme électronique sur le point de vente (agence) a tendance à se généraliser. Or, c’est bien dans ces occasions que la confiance se créait et se nourrissait jusqu’alors. 14. Dans le cadre des prestations en ligne, cette confiance ne doit pas se dissoudre et doit, au contraire, être rehaussée au point de devenir l’argument déterminant de la bascule vers la banque et l’assurance digitale. C’est tout l’enjeu du dispositif légal visant à la réaffirmation et à la consolidation de la haute protection déjà consacrée du consommateur français et européen23. 15. Dans les rapports dématérialisés, c’est l’immédiateté qui prime. En effet, tout se fait par le biais de l’« impulsion »24 qui couvre désormais : le conseil, la contractualisation, le paiement, etc. Si cette réactivité du rapport contractuel est aisément compatible avec des actes de consommation à faible valeur ajoutée, compte tenu du fait que tout préjudice sera minime et maîtrisable, il n’en est évidemment pas de même concernant les prestations bancaires et assurantielles dont la nature patrimoniale majore les enjeux et les risques. Comment faire en sorte que, dans cette fameuse « impulsion », soient concentrés à la fois l’obligation d’information, la qualité du consentement, la protection contre les clauses abusives, la conservation pérenne des actes, etc. ? Comment faire en sorte que le consommateur puisse maîtriser son sort lorsqu’il contracte ? L’intervention du conseiller bancaire ou de l’agent ou courtier en assurance permettait de pondérer le fait que tous les consommateurs ne se valent pas dans leur appréhension des situations et des risques pour eux. Comment, dès lors, assurer cette balance des équilibres dans le cadre d’un échange en ligne pouvant donner lieu à un engagement irrévocable (même si les délais de rétractation et de renonciation protègent le consommateur) ? Au-delà de la prouesse technique de la contractualisation « impulsée », se dégage un véritable exercice de style sur le plan juridique pour accompagner utilement cette transformation des services. 16. Cet accompagnement est d’autant plus nécessaire, qu’à l’instar de contrats classiques, les contrats de banque et assurances en ligne sont réputés être des contrats d’adhésion, au sens de l’article 1110 du Code civil25 : « le contrat d’adhésion est celui dont les conditions générales, soustraites à la négociation, sont déterminées à l’avance par l’une des parties ». 23. G. Raymond, Fasc. 904 : « Contrats conclus à distance », J.-Cl. Concurrence – Consommation, LexisNexis, 3 oct. 2014. 24. « La décision d’acheter des biens et des contenus numériques se produit généralement sur une impulsion, de sorte que le fait de payer doit être aussi rapide que cette impulsion », Sam Shrauger, vice-président de PayPal, lors de la Conférence PayPal X Innovate 2010. 25. Ordonnance n° 2016-131 du 10 février 2016 portant réforme du droit des contrats, du régime général et de la preuve des obligations, JO 11 févr. 2016.
e njeux
et réalités de la protection des consommateurs en ligne
| 29
La contractualisation en ligne majore donc les craintes telles que la présence de clauses abusives dans des contrats, à l’évidence, non négociés et à la disposition d’un périmètre plus large, plus hétérogène et donc plus exposé pour les consommateurs. Quelles qu’en soient les vertus, la bascule vers la digitalisation partielle ou totale des contrats de banque et d’assurance n’est pas aisée. Le scepticisme de certains n’est pas à ignorer. Ainsi, en matière de crédit à la consommation, d’aucuns auront considéré que la compatibilité entre la contractualisation en ligne et ce type de prestations n’est pas établie26. Pour autant, s’arrêter à un scepticisme prudentiel revient à nier la richesse de la réflexion juridique et du droit positif consacré en matière de protection des consommateurs qui trouve un plein champ d’expression en matière de services financiers à distance, nonobstant l’apparition d’un droit dédié en matière de contrats en ligne et en matière de services de banque et d’assurance en ligne. Les éléments de la confiance existent déjà et sont loin d’être balbutiants. 17. Ceci étant, force est de constater que le cadre juridique global applicable est complexe. La réglementation applicable s’est édifiée de manière empirique, juxtaposant, avec plus ou moins de bonheur, les dispositifs et allant du général sur le contrat à distance, au particulier sur la prestation bancaire et d’assurance, en passant par les dispositions les plus impératives et contraignantes du droit de la consommation (section I). Ce panorama d’un cadre juridique riche, mais parfois complexe, permet, sans prétendre à l’exhaustivité, de faire émerger un certain nombre de règles et de principes majeurs applicables aux services bancaires et assurantiels à distance. Ainsi, l’information précontractuelle du consommateur revêt une importance cruciale dans la conclusion de ce type de contrat (section II). L’effectivité même de l’exercice du droit à l’information du consommateur implique que la documentation informative et contractuelle soit conservée sur un support durable (section III). L’idée globale est d’annihiler les effets potentiellement négatifs ou nuisibles de la distance. C’est le même souci de sécurisation du rapport de confiance qui préside au régime renforcé du droit de rétractation du consommateur (section IV) et du droit applicable aux clauses abusives (section V). Enfin, et surtout, le contrat de prestations à distance de services bancaires et assurantiels est un contrat « hors sol ». La déterritorialisation potentielle n’est pas exempte de risques pour les consommateurs. Le cadre juridique européen et français offre des niveaux utiles – quoique perfectibles – d’adaptation aux spécificités de la banque et de l’assurance digitales (section VI).
26. N. Eresco, « Les opérations de crédit en ligne : le cas du crédit à la consommation », Banque & Droit, hors-série, juin 2013, p. 32 et s. A contrario, v. infra partie II, chapitre IV.
30 | B anque
et
a ssurance
digitales
SECTION I UN CADRE JURIDIQUE HÉTÉROGÈNE, STRATIFIÉ ET COMPLEXE 18. Les règles applicables aux consommateurs sont donc essentielles et même déterminantes dans le développement de la banque et de l’assurance en ligne. Or, la consommation de services bancaires en ligne ou de services assurantiels en ligne n’est pas uniforme. La palette de prestations est riche et en constante mutation. Ce qui donne lieu à un panorama réglementaire et législatif hétérogène et loin d’être univoque. Pour autant, le « consommateur » de banque et d’assurance en ligne reste une préoccupation constante et un fil conducteur fort et cohérent dans l’édification juridique de la banque et de l’assurance digitales. Le conglomérat de textes applicables à sa protection est assez symptomatique du souci du législateur à son égard, de par le volume et de par la variété de ses composantes. Il est vrai que « le contrat de crédit est un acte grave »27 et que le contrat d’assurance ne l’est pas forcément moins. 19. En amont de l’inventaire des textes pertinents, il convient évidemment de rappeler que ce type de prestations bancaires et assurantielles en ligne, en tant que services fournis en ligne28, sont nécessairement régies par la loi n° 2004-575 du 21 juin 2004 transposant la directive sur le commerce électronique du 8 juin 2000 et son article 9, libéralisant la conclusion des contrats électroniques29, a fortiori, dans le domaine bancaire et assurantiel. La directive sur le commerce électronique a ainsi établi des règles harmonisées sur les contrats par voie électronique, les communications commerciales, l’information donnée par les fournisseurs de services en ligne, etc. En outre, un des objectifs de la directive était de protéger le consommateur face au développement de l’économie numérique et de l’accroissement des cyber-acheteurs. 20. S’inscrivant dans le même processus, deux directives européennes sont intervenues pour réglementer la protection des consommateurs en
27. N. Eresco, « Les opérations de crédit en ligne », ibid. 28. Considérant 17 de la directive n° 2000/31/CE du 8 juin 2000 du Parlement européen et du Conseil du 8 juin 2000 relative à certains (dite « directive sur le commerce électronique ») : « tout service fourni, normalement contre rémunération, à distance au moyen d’équipement électronique de traitement (y compris la compression numérique) et de stockage des données, à la demande individuelle d’un destinataire de services », JOCE n° L. 178, 17 juill. 2000, p. 1. 29. L’article 9, al. 1, indique que « les États membres veillent à ce que leur système juridique rende possible la conclusion des contrats par voie électronique. Les États membres veillent notamment à ce que le régime juridique applicable au processus contractuel ne fasse pas obstacle à l’utilisation des contrats électroniques ni ne conduise à priver d’effet et de validité juridiques de tels contrats pour le motif qu’ils sont passés par voie électronique ». Les dérogations prévues à l’alinéa 2 ne concernent pas la banque et l’assurance en ligne, ouvrant pleinement la voie au développement de ce type de prestations.
e njeux
et réalités de la protection des consommateurs en ligne
| 31
matière de contrats à distance (directive du 20 mai 199730) et en matière de commercialisation à distance des services financiers auprès des consommateurs (directive du 23 septembre 200231), transposée dans le Code de la consommation par l’ordonnance n° 2005-648 du 6 juin 2005 (articles L. 121-20-8 et suivants du Code de la consommation). Cette dernière prend en compte les spécificités applicables aux services financiers, exclus de prime abord du champ d’application de la directive du 20 mai 1997. Il s’agit là des principaux textes impactants du droit de l’Union européenne. Ceci étant, d’autres dispositions européennes, directement ou indirectement impliquées dans l’exercice des droits du consommateur en matière de banque et d’assurance digitales, seront évoquées au gré des prochains développements. Le droit français s’est efforcé d’optimiser la problématique de la protection des droits des consommateurs au détour des transpositions des dispositions européennes. Derrière cette stratification de textes, se devine le souci du législateur de propager les arcanes de la protection du consommateur dans chaque niveau d’exercice des prestations de banque et d’assurance en ligne. § 1 – L’ordonnance du 6 juin 2005 sur la commercialisation à distance de services financiers auprès des consommateurs : la pierre angulaire de la transposition nationale
21. La directive du 23 septembre 2002 relative à la commercialisation à distance de services financiers a été transposée en droit français par l’ordonnance du 6 juin 200532. Celle-ci intègre, notamment dans le Code de la consommation, les dispositions relatives aux services financiers qui en étaient jusqu’alors exclues. Son décret d’application33 est venu préciser les informations précontractuelles devant être fournies par le professionnel au consommateur, à savoir notamment les produits et services, l’identité du professionnel, les conditions de l’offre, la loi applicable et l’existence et modalités d’exercice d’un droit de rétractation34. Celles-ci doivent être fournies de manière claire et compréhensible par tout moyen adapté à la technique de communication à distance utilisée et doivent être reçues par le consommateur par écrit ou sur un autre support durable à sa disposition et auquel il a accès en temps utile et avant tout engagement. Enfin, l’ordonnance du 6 juin 2005 octroie au consommateur un droit de rétractation, celui-ci s’élevant à quatorze jours à compter du jour où le contrat à distance 30. Directive n° 97/7/CE du 20 mai 1997 concernant la protection des consommateurs en matière de contrats à distance : JOCE n° L. 144, 4 juin 1997, p. 19 et s. 31. Directive n° 2002/65/CE du 23 septembre 2002 concernant la commercialisation à distance de services financiers auprès des consommateurs : JOCE n° L. 271, 9 oct. 2002, p. 16 et s. 32. Ordonnance n° 2005-648 du 6 juin 2005 relative à la commercialisation à distance de services financiers auprès des consommateurs, JO 7 juin 2005, p. 10002. 33. Décret n° 2005-1450 du 25 novembre 2005 relatif à la commercialisation à distance de services financiers auprès des consommateurs, JO 26 nov. 2005, p. 18364. 34. Section IV du présent chapitre.
32 | B anque
et
a ssurance
digitales
est conclu ou à compter de celui où le consommateur reçoit les conditions contractuelles et informations précitées35. Ces dispositions ont notamment été modifiées par la loi relative à la consommation du 17 mars 201436 (ci-après « loi sur la consommation »). En outre, il convient de préciser que le Code des assurances (art. L. 112-2-1), celui de la mutualité (art. 221-18), de la sécurité sociale (art. L. 932-15-1) et le Code monétaire et financier (Titre IV du livre 111) sont également modifiés et adaptés en fonction des principales dispositions du Code de la consommation37. Il est précisé que l’ordonnance du 6 juin 2005 ne s’applique qu’aux contrats à distance, et donc à la banque et à l’assurance en ligne, à l’exclusion de ceux conclus exclusivement en « face-à-face, c’est-à-dire [avec] la présence physique simultanée du fournisseur de services financiers et du consommateur »38. Dans un souci pertinent d’anticipation et de pérennité du cadre juridique, l’ordonnance du 6 juin 2005 entend intégrer tous les services en ligne, quels que soient les supports et les évolutions technologiques à venir. Il convient de signaler la réforme du crédit à la consommation par la loi Lagarde du 1er juillet 201039, modifiée également par la loi sur la consommation du 17 mars 201440. § 2 – Le détour obligé par la loi pour la confiance dans l’économie numérique et l’ordonnance du 16 juin 2005
22. La loi pour la confiance dans l’économie numérique41 (dite « LCEN ») a transposé la directive européenne n° 2000/31/CE du 8 juin 2000 sur le commerce électronique, ainsi que certaines dispositions de la directive du 12 juillet 2002 sur la protection de la vie privée dans le secteur des communications électroniques42. 23. La LCEN précise les conditions d’accès et d’identification de la publicité en ligne, consacre le principe du consentement préalable (« opt-in ») et en limite les
35. Ibid. 36. Loi n° 2014-344 du 17 mars 2014 relative à la consommation, JO 18 mars 2014, p. 5400. 37. S. Piedelièvre, « La commercialisation à distance de services financiers auprès des consommateurs », RDBF, n° 6, nov. 2005, étude 18. 38. P. Bouteiller, « La commercialisation des services financiers à distance », JCP éd. E & A, n° 5152, 22 déc. 2005, 1859. 39. Loi n° 2010-737 du 1er juillet 2010 portant réforme du crédit à la consommation, JO 2 juill. 2010, p. 12001. 40. N. Ereseo, op. cit. 41. Loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique, JO 22 juin 2004, p. 11168. 42. Directive n° 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (dite « directive vie privée et communications électroniques »), JOCE n° L. 201, 31 juill. 2002, p. 37. v. infra partie I, chapitre II.
e njeux
et réalités de la protection des consommateurs en ligne
| 33
exceptions43. L’objectif clairement identifiable est de protéger le consommateur contre l’envoi massif de messages publicitaires (« spamming »), de conforter la liberté de la communication publique en ligne, de mieux sécuriser les échanges et d’amplifier les moyens de lutte contre la cybercriminalité44. De plus, l’article 26 de la LCEN dispose que « dans les conditions prévues à l’article 38 de la Constitution, le Gouvernement est autorisé à procéder par ordonnance à l’adaptation des dispositions législatives subordonnant la conclusion, la validité ou les effets de certains contrats à des formalités autres que celles mentionnées à l’article 1108-1 du Code civil (ancien)45, en vue de permettre l’accomplissement de celles-ci par voie électronique ». C’est dans ce contexte que l’ordonnance du 16 juin 200546 a été publiée, celle-ci étant censée lever les principaux obstacles juridiques liés au formalisme et favoriser les nouvelles offres de contrats électroniques, sauf exigences nécessaires à la validité d’un acte juridique47. Il s’agit, en effet, de consacrer : la validité de la transmission de courriers simples ou recommandés par voie électronique, la validité de l’original électronique et la mise à disposition et l’accès en ligne des informations sur les biens et services et des conditions contractuelles48. Aucun changement notable n’est à relever, si ce n’est des modifications terminologiques et précisions diverses49. § 3 – Les principaux apports de la loi sur la consommation du 17 mars 201450 pour la banque et l’assurance en ligne
24. La loi sur la consommation a été promulguée le 17 mars 2014 après validation par le Conseil constitutionnel51, sauf en ce qui concerne la création d’un traitement de données à caractère personnel recensant les crédits à la consommation accordés aux particuliers, dénommé « Registre national des crédits aux particuliers ».
43. É. A. Caprioli, « Loi du 6 août 2004. Commerce à distance sur l’Internet et protection des données à caractère personnel », Com. com. électr. 2005, étude 7. 44. V. infra partie I, chapitre IV, section III. 45. Article 1174 du Code civil (nouveau), modifié par l’ordonnance n° 2016-131 du 10 février 2016. 46. Ordonnance n° 2005-674 du 16 juin 2005 relative à l’accomplissement de certaines formalités contractuelles par voie électronique, JO 17 juin 2005, p. 10342. 47. V. C. civ., art. 1174. 48. É. A. Caprioli, « L’ordonnance n° 2005-674 du 16 juin 2005 : un nouveau formalisme contractuel pour les échanges électroniques », Caprioli & Associés, Commerce électronique : www.caprioliavocats.com. Pour de plus amples renseignements sur la digitalisation, v. partie II, chapitre I. 49. Rapport au Président de la République relatif à l’ordonnance n° 2016-131 du 10 février 2016 portant réforme du droit des contrats, du régime général et de la preuve des obligations, JO 11 févr. 2016. 50. La loi n° 2014-344 du 17 mars 2014 relative à la consommation transpose dans le droit français les dispositions de la directive n° 2011/83 du Parlement européen et du Conseil du 25 octobre 2011 relative aux droits des consommateurs. 51. Décision n° 2014-690 DC, 13 mars 2014, JO 18 mars 2014, p. 5450.
34 | B anque
et
a ssurance
digitales
25. L’un des apports majeurs de cette loi sur la consommation est de définir, enfin, dans l’article préliminaire du Code de la consommation, ce qui caractérise juridiquement un consommateur, supprimant ainsi les incertitudes que le simple bon sens juridique inspiré de la jurisprudence ne suffisait pas à lever, tant les enjeux de cette définition dépassent le droit lui-même52. Il s’agira désormais de « toute personne physique qui agit à des fins qui n’entrent pas dans le cadre de son activité commerciale, industrielle, artisanale ou libérale ». Désormais… ou presque, puisque cette définition correspond purement et simplement à celle figurant dans la directive du 5 avril 1993 concernant les clauses abusives dans les contrats conclus avec les consommateurs53. La notion de consommateur est a minima stabilisée. En tout état de cause, et nonobstant les limites de cette définition54, il y a lieu d’accueillir favorablement le fait de donner une « incarnation » juridique à la notion sensible, mouvante et stratégique de « consommateur » dans un contexte de développement des contrats dématérialisés et spécifiquement compte tenu des enjeux et des intérêts impliqués dans la banque et l’assurance en ligne. 26. De plus, la loi du 17 mars 2014 refond les articles L. 111-1 et suivants du Code de la consommation sur l’obligation d’information des professionnels, précise les conditions de démarchage et de vente à distance, modifie le régime du crédit renouvelable, instaure un droit de substitution limité dans le temps de l’assurance emprunteur, limite la durée des plans conventionnels de surendettement et introduit des dispositions nouvelles relatives à la mobilité bancaire. En effet, le crédit fait désormais l’objet d’un titre Ier divisé en chapitres en fonction du type de crédit (consommation, immobilier) dans un souci d’accroître la lisibilité du régime applicable en la matière55. En matière d’assurance, la loi du 17 mars 2014 renforce également la protection des assurés en créant de nouvelles facultés de résiliation, ainsi que l’information précontractuelle et redéfinit le démarchage56. 27. À cet égard, il convient de relever que la loi élargit la notion de démarchage en l’incluant dans le concept plus large, de « contrat conclu hors établissement »57. 52. J. Beauchard, « Remarques sur le Code de la consommation », in Mélanges Cornu, PUF, 1995, p. 9 ; J.-P. Chazal, « Le consommateur existe-t-il ? », D. 1997, p. 260. 53. Directive n° 93/13/CEE, du 5 avril 1993, concernant les clauses abusives dans les contrats conclus avec les consommateurs, JOCE n° L. 95, 21 avr. 1993, p. 29. 54. S. Piedelièvre, « La loi du 17 mars 2014 », JCP éd. E & A, n° 14, 3 avr. 2014, 1176. 55. N. Sauphanor-Brouillaud et H. Aubry, « Recodification du droit de la consommation – à propos de l’ordonnance n° 2016-301 du 14 mars 2016 », JCP éd. G, n° 14, 4 avr. 2016, 392. 56. J. Bigot, « La loi Hamon et le contrat d’assurance », JCP éd. G, n° 21-22, 26 mai 2014, doctr. 634. 57. Article 9 de la loi du 17 mars 2014 repris dans l’article L. 121-16-2° du Code de la consommation. Parmi les trois catégories de contrats conclus hors établissement, il convient de relever les contrats conclus entre un professionnel et un consommateur « dans le lieu où le professionnel exerce son activité en
e njeux
et réalités de la protection des consommateurs en ligne
| 35
Cependant, elle ne s’applique pas expressément aux services financiers, ni assurantiels58. Le démarchage en matière d’assurance est donc régi par le Code des assurances, qui recense les obligations d’informations précontractuelles et contractuelles idoines59. § 4 – La loi de séparation et de régulation des activités bancaires du 26 juillet 2013 : les mécanismes de contrôle pour les services bancaires
28. Si la loi du 26 juillet 2013 de séparation et de régulation des activités bancaires60 ne paraît pas concerner directement les règles de commercialisation à distance de services financiers à des consommateurs, son article 39 devra être relevé. 29. En effet, la loi du 26 juillet 2013 complète l’article L. 612-24 du Code monétaire et financier dans la mesure où « lorsque les personnes et entités mentionnées aux I à III de l’article L. 612-2 [en ce compris les établissements de crédit, de paiement, compagnies financières, établissement de monnaie électronique, etc.] fournissent leurs services sur Internet, les contrôleurs peuvent, pour accéder aux informations et éléments disponibles sur ces services, faire usage d’une identité d’emprunt sans en être pénalement responsables ». L’homme mystère peut contrôler les pratiques en ligne ! Les contrôleurs de l’Autorité de contrôle prudentiel et de résolution (ACPR) peuvent donc effectuer des vérifications sur les informations et éléments disponibles sur les services de banque en ligne en faisant usage d’une identité d’emprunt. Cette possibilité induit un renforcement d’un impératif déjà prégnant pour les établissements bancaires et financiers : l’audit et la vérification de la conformité de leur service de contractualisation en ligne tant dans la phase de l’information précontractuelle que dans leurs processus ultérieurs. 30. Précisons que l’Autorité des marchés financiers (AMF), également habilitée pour effectuer de tels contrôles aux côtés de l’Autorité de contrôle prudentiel et de résolution (ACPR), s’est récemment focalisée sur la banque en ligne et la vente à distance de services financiers. En effet, deux campagnes de visites mystères ont été réalisées par l’AMF sur Internet entre juillet 2014 et janvier 2015 et ont concerné 17 établissements représentant des courtiers et banques en ligne ainsi que des services en ligne de banques traditionnelles. Ces visites consistaient à connaître les modalités d’ouverture d’un compte-titres sur l’Internet, à évaluer la permanence ou de manière habituelle ou au moyen d’une technique de communication à distance, immédiatement après que le consommateur a été sollicité personnellement et individuellement dans un lieu différent de celui où le professionnel exerce en permanence ou de manière habituelle son activité et où les parties étaient, physiquement et simultanément, présentes ». 58. Article L. 121-16-1. I) du Code de la consommation. 59. Section II du présent chapitre. 60. Loi n° 2013-672 du 26 juillet 2013 de séparation et de régulation des activités bancaires, JO 27 juill. 2013, p. 12530.
36 | B anque
et
a ssurance
digitales
qualité des questionnaires en ligne et à tester les procédures des établissements en ligne lorsqu’un client « à risque » et sans expérience passe des ordres sur des produits complexes et risqués. Celles-ci ont mis en lumière les faiblesses des questionnaires disponibles en ligne visant à établir le profil financier des clients et, lorsque ces derniers passent des ordres sur des instruments financiers complexes, on constate une tendance des établissements à préférer exonérer leur responsabilité en mettant en garde le client61. Les établissements bancaires et financiers devront être particulièrement vigilants sur ces points. Ces contrôles apparaissent donc comme des mécanismes de veille et de régulation, à la fois préventifs mais également dissuasifs, qui prennent en considération la possible vulnérabilité du consommateur moyen, dans le cadre des prestations de banque et d’assurance. Il s’agit là d’un élément opérationnel favorable au développement de la confiance du consommateur dans la réglementation applicable, et donc favorable au développement même de ce marché en émergence. Ces contrôles sont donc des opérations venant renforcer les contrôles classiques de la DGCCRF auprès des professionnels, notamment concernant l’information précontractuelle des consommateurs62. § 5 – Textes spécifiques aux produits et aux services financiers
31. Outre la transposition des directives européennes en droit français, de nombreuses réglementations particulières régissent la commercialisation à distance des services financiers. Assurément, la multiplicité des produits visés et les impératifs spécifiques de la vente à distance impliquent l’imbrication de plusieurs règles spécifiques. Il s’agit notamment de la loi relative aux offres publiques d’acquisition63 (OPA) qui opère des corrections de forme et met partiellement en cohérence le régime du démarchage et de la commercialisation à distance. De plus, la réglementation sur le courtage des assurances64 prévoit des informations précontractuelles
61. AMF, La lettre de l’Observatoire de l’épargne de l’AMF, n° 14, juill. 2015. 62. Articles L. 450-1 et suivants du Code de commerce. V. le décret n° 2014-1061 du 17 septembre 2014 relatif aux obligations d’information précontractuelle et contractuelle des consommateurs et au droit de rétractation, JO 19 sept. 2014, p. 15331. V. également C. Delga, « Amélioration de l’information des consommateurs et renforcement de leurs droits contractuels, notamment en matière de vente à distance et démarchage », Communiqué de presse, 20 sept. 2014, n° 49. 63. Loi n° 2006-387 du 31 mars 2006 relative aux offres publiques d’acquisition, JO 1er avr. 2006, p. 4882. 64. Loi n° 2005-1564 du 15 décembre 2005 portant diverses dispositions d’adaptation au droit communautaire dans le domaine de l’assurance, JO 16 déc. 2005, p. 19348.
e njeux
et réalités de la protection des consommateurs en ligne
| 37
particulières au statut d’intermédiaire en assurance et trois arrêtés65 spécifiques à l’assurance-vie ont renforcé la lisibilité et la transparence des contrats. Il convient également de relever la directive n° 2014/17/UE relative au crédit hypothécaire66 venant consolider le dispositif de protection précontractuelle du consommateur. 32. De plus, la directive n° 2005/2366 du 25 novembre 2015 concernant les services de paiement dans le marché intérieur (dite directive « DSP 2 ») offre de nouvelles possibilités pour les consommateurs et devra être prise en considération dans la mise en place globale d’un système de banque en ligne67. 33. Enfin, doivent être citées les règles spécifiques aux organismes de placement collectif en valeurs mobilières (OPCVM), à la conclusion de contrats spécifiques, au démarchage bancaire et financier – selon que celui-ci soit suivi ou non d’une commercialisation à distance – à la commercialisation de services financiers par téléphone et la souscription de crédits à la consommation. L’ensemble de cet édifice réglementaire aux composantes hétéroclites en matière de commercialisation à distance de produits ou de services financiers et d’assurance à destination d’un consommateur permet de dégager les lignes fortes de protection et, en particulier, concernant l’information précontractuelle, la notion de support durable, le délai de rétractation (ou droit à la renonciation en matière d’assurance) et le régime des clauses abusives.
65. Arrêté du 9 février 2006 complétant certaines dispositions du Code des assurances en matière d’assurance vie, JO 21 févr. 2006, p. 2659. Arrêté du 1er mars 2006 modifiant et complétant certaines dispositions du Code des assurances en matière d’assurance sur la vie et de capitalisation, JO 10 mars 2006, p. 3621. Arrêté du 8 mars 2006 relatif à l’encadré inséré en tête de proposition d’assurance, de projet de contrat sur la vie ou de capitalisation ou de notice, JO 17 mars 2006, p. 4046. 66. Directive n° 2014/17/UE du 4 février 2014 sur les contrats de crédit aux consommateurs relatifs aux biens immobiliers à usage résidentiel et modifiant les directives n° 2008/48/CE et n° 2013/36/UE et le règlement n° 1093/2010/UE : JOUE 28 févr. 2014. 67. Directive n° 2015/2366/UE du 25 novembre 2015 concernant les services de paiement dans le marché intérieur, modifiant les directives n° 2002/65/CE, n° 2009/110/CE et n° 2013/36/UE et le règlement n° 1093/2010/UE et abrogeant la directive n° 2007/64/CE, JOUE n° L. 337, 23 déc. 2015, p. 35. V. partie II, chapitre II.
38 | B anque
et
a ssurance
digitales
SECTION II LES DÉFIS DE L’OBLIGATION D’INFORMATION PRÉCONTRACTUELLE DU CONSOMMATEUR DE BANQUE ET D’ASSURANCE EN LIGNE 34. Il conviendra de voir dans un premier temps les contours de l’obligation d’information précontractuelle (§ 1), puis son contenu dans un deuxième temps (§ 2) et, enfin, dans un troisième temps les sanctions applicables (§ 3). § 1 – Les contours de l’obligation d’information précontractuelle
35. L’importance de l’information précontractuelle et contractuelle du consommateur en fait l’épine dorsale du dispositif réglementaire et juridique applicable à la fourniture des services ou produits financiers. Ce dernier a fait l’objet de modifications depuis la directive du 20 mai 1997 concernant la protection des consommateurs en matière de contrats à distance68. Celle-ci a été transposée en France par l’ordonnance du 23 août 200169 intégrant l’information précontractuelle du consommateur dans les articles L. 221-5 et suivants, ainsi que l’article L. 121-20-8 du Code de la consommation. Par ailleurs, plus spécifiquement dédiée à la commercialisation à distance de services financiers, la directive du 23 septembre 2002 transposée par l’ordonnance du 6 juin 200570 précise, en son article 3, l’information qui doit être fournie au consommateur préalablement à la conclusion du contrat à distance. Ces dispositions ont été transposées dans le Code de la consommation au sein d’une sous-section spécifique : « Dispositions particulières aux contrats portant sur des services financiers »71. 36. L’obligation d’information du consommateur, par essence, implique non seulement de mettre le consommateur en situation d’accéder à l’information pertinente, mais aussi d’être en situation de la comprendre, l’enjeu pour le prestataire étant de garantir le caractère éclairé du consentement qui va cristalliser le contrat à distance. L’obligation d’information précontractuelle constitue un pilier fondamental de la relation bancaire et assurantielle, en dehors même de tout échange dématérialisé. Mais elle trouve une expression particulière et renforcée dans le domaine de la prestation de banque à distance.
68. Directive n° 97/7/CE du 20 mai 1997 concernant la protection des consommateurs en matière de contrats à distance : JOCE n° L. 144, 4 juin 1997, p. 19 et s. 69. Ordonnance n° 2001-741 du 23 août 2001 portant transposition de directives communautaires et adaptation au droit communautaire en matière de droit de la consommation, JO 25 août 2001, p. 13645. 70. Ordonnance n° 2005-648 du 6 juin 2005 relative à la commercialisation à distance de services financiers auprès des consommateurs, JO 7 juin 2005, p. 10002. 71. Sous-partie 2 de la partie législative.
e njeux
et réalités de la protection des consommateurs en ligne
| 39
37. Il en est de même en matière d’assurance, avec un supplément de « gravité ». En effet, le contrat d’assurance est un contrat consensuel dans le sens où il est parfait dès la rencontre des volontés des parties72. Dès lors, l’impératif de l’écrit ne s’impose pas en soi, sauf à titre probatoire pour des opérations supérieures à 1 500 euros. La règle de la formation du contrat d’assurance est donc très libérale et le contrat n’en est pas moins fort et liant pour les deux parties (pour de plus amples renseignements, voir partie II, chapitre IV). À l’instar des prestations bancaires, le droit général de la consommation vient sécuriser cet environnement, les règles applicables aux prestations en ligne venant parfaire l’ensemble, y compris dans l’intérêt même des prestataires de banque et d’assurance numériques73. § 2 – Le contenu de l’obligation d’information précontractuelle
38. Au-delà de l’applicabilité du cadre juridique général, il est évident que la spécificité de la prestation en ligne impose un arsenal législatif et réglementaire dédié à l’assurance et à la banque en ligne. Il convient tout d’abord de se référer aux dispositions de l’article 1127-1 du Code civil et de l’article L. 221-5 du Code de la consommation concernant les prestations en ligne à titre professionnel, qui dressent la liste des informations précontractuelles requises. 39. L’article 1127-1 du Code civil rappelle que l’offre lie le professionnel « tant qu’elle est accessible par voie électronique de son fait » et liste les détails de l’énoncé de l’offre à savoir, entre autres, les différentes étapes à suivre pour conclure le contrat par voie électronique, les moyens techniques permettant à l’utilisateur, avant la conclusion du contrat, d’identifier les erreurs commises dans la saisie des données et de les corriger ; les langues proposées ; les conditions d’archivage. Une dernière exigence sur l’offre préalable concerne l’énoncé des « moyens de consulter par voie électronique les règles professionnelles et commerciales auxquelles l’auteur de l’offre entend, le cas échéant, se soumettre ». Concrètement, cette obligation précontractuelle particulière consistera en la mise à disposition des consommateurs des informations requises sur support papier en agence, ou sur le site Internet, par le biais notamment de liens hypertextes donnant accès à un document imprimable ou téléchargeable et enregistrable sur le disque dur74.
72. Cass. civ. 1re, 9 mars 1999, n° 96-20.190, Bull. civ. I, n° 80, RGDA 1999, p. 567, note J. Kullman. V. également Traité de droit des assurances, T. 3 : Contrat d’assurance, J. Bigot, ss dir., LGDJ, 2002, n° 86 et s. ; Y. Lambert-Faivre, L. Leveneur, Droit des assurances, Dalloz, coll. Précis, 2005, 12e éd., n° 216 et s. ; G. Durry, « Où la Commission de contrôle des assurances semble méconnaître le caractère consensuel du contrat d’assurance », Resp. civ. et assur. 1999, chron. 24 ; J.-P. Chazal, « De la signification du mot loi dans l’article 1134, alinéa 1er, du Code civil », RTD civ. 2001, p. 265. 73. En ce sens, Cass. civ. 1re, 6 avr. 2016, n° 15-10.732. V. JCP éd. G 2016, 783, note É. A. Caprioli. 74. Section III du présent chapitre.
40 | B anque
et
a ssurance
digitales
40. Le professionnel devra également se conformer à l’obligation générale d’information précontractuelle modifiée par l’ordonnance du 14 mars 2016 et faisant suite à la publication de la loi du 17 mars 2014 relative à la consommation75. À cet égard, l’article L. 221-5 du Code de la consommation liste les informations précontractuelles devant être transmises au consommateur par le professionnel en matière de contrat à distance76. Ainsi, le professionnel devra préciser, avant la conclusion du contrat, les informations prévues aux articles L. 111-1 et L. 111-2 du Code de la consommation77, les conditions, le délai et les modalités d’exercice du droit de rétractation ainsi que le formulaire type de rétractation, l’identité et les coordonnées du professionnel, l’existence éventuelle d’un code de bonne conduite, les modalités de résiliation, etc. Il convient de souligner que le renvoi à l’article L. 111-1 du Code de la consommation engage le professionnel à communiquer au consommateur de « manière lisible et compréhensible », notamment, les caractéristiques essentielles du service compte tenu du support de communication utilisé et du service concerné, le prix du service ; le cas 75. Ordonnance n° 2016-301 du 14 mars 2016 relative à la partie législative du Code de la consommation, JO 16 mars 2016. 76. « Préalablement à la conclusion d’un contrat de vente ou de fourniture de services, le professionnel communique au consommateur, de manière lisible et compréhensible, les informations suivantes : 1° Les informations prévues aux articles L. 111-1 et L. 111-2 ; 2° Lorsque le droit de rétractation existe, les conditions, le délai et les modalités d’exercice de ce droit ainsi que le formulaire type de rétractation, dont les conditions de présentation et les mentions qu’il contient sont fixées par décret en Conseil d’État ; 3° Le cas échéant, le fait que le consommateur supporte les frais de renvoi du bien en cas de rétractation et, pour les contrats à distance, le coût de renvoi du bien lorsque celui-ci, en raison de sa nature, ne peut normalement être renvoyé par la poste ; 4° L’information sur l’obligation du consommateur de payer des frais lorsque celui-ci exerce son droit de rétractation d’un contrat de prestation de services, de distribution d’eau, de fourniture de gaz ou d’électricité et d’abonnement à un réseau de chauffage urbain dont il a demandé expressément l’exécution avant la fin du délai de rétractation ; ces frais sont calculés selon les modalités fixées à l’article L. 221-25 ; 5° Lorsque le droit de rétractation ne peut être exercé en application de l’article L. 221-28, l’information selon laquelle le consommateur ne bénéficie pas de ce droit ou, le cas échéant, les circonstances dans lesquelles le consommateur perd son droit de rétractation ; 6° Les informations relatives aux coordonnées du professionnel, le cas échéant aux coûts de l’utilisation de la technique de communication à distance, à l’existence de codes de bonne conduite, le cas échéant aux cautions et garanties, aux modalités de résiliation, aux modes de règlement des litiges et aux autres conditions contractuelles, dont la liste et le contenu sont fixés par décret en Conseil d’État. Dans le cas d’une vente aux enchères publiques telle que définie par le premier alinéa de l’article L. 321-3 du Code de commerce, les informations relatives à l’identité et aux coordonnées postales, téléphoniques et électroniques du professionnel prévues au 4° de l’article L. 111-1 peuvent être remplacées par celles du mandataire ». 77. Les articles L. 111-1 à L. 111-8 sont en vigueur depuis le 1er juillet 2016. Rapport au Président de la République relatif à l’ordonnance n° 2016-301 du 14 mars 2016 relative à la partie législative du Code de la consommation, JO 16 mars 2016.
e njeux
et réalités de la protection des consommateurs en ligne
| 41
échéant, les délais pour l’exécution du service, les informations relatives à son identité, à ses coordonnées postales, téléphoniques et électroniques et à ses activités, pour autant qu’elles ne ressortent pas du contexte ; les informations relatives aux garanties légales, aux fonctionnalités du contenu numérique et, le cas échéant, à son interopérabilité, à l’existence et aux modalités de mise en œuvre des garanties et aux autres conditions contractuelles. L’article L. 221-5 du Code de la consommation est applicable sans préjudice de l’application des obligations législatives et réglementaires spécifiques à chaque produit, instrument financier ou service proposé. 41. Justement, et spécifiquement s’agissant de l’obligation d’information précontractuelle en matière de services financiers, l’article L. 222-5 du Code de la consommation prévoit que le consommateur doit recevoir les informations portant sur l’identité et les coordonnées du professionnel, les informations relatives aux produits, instruments et services financiers proposés, le droit de rétractation, les conditions contractuelles, la loi applicable au contrat et la juridiction compétente. Et l’article L. 222-5 du Code de la consommation de préciser que : « ces informations, dont le caractère commercial doit apparaître sans équivoque, sont fournies de manière lisible et compréhensible par tout moyen adapté à la technique de communication à distance utilisée », reprenant ainsi les mêmes termes que l’article L. 221-5 du Code de la consommation. 42. De facto, un établissement de crédit devra respecter les conditions spécifiques aux opérations de crédit mentionnées à l’article L. 312-12 du Code de la consommation. Les sanctions de l’absence de délivrance de telles informations dans le cadre de crédits à la consommation sont précisées aux articles L. 341-1 et suivants du Code de la consommation. 43. L’article R. 312-1 du Code monétaire et financier vient ajouter et approfondir cette obligation d’information préalable : « Les établissements de crédit sont tenus de porter à la connaissance de leur clientèle et du public les conditions générales de banque qu’ils pratiquent pour les opérations qu’ils effectuent. Lorsqu’ils ouvrent un compte, les établissements de crédit doivent informer leurs clients sur les conditions d’utilisation du compte, le prix des différents services auxquels il donne accès et les engagements réciproques de l’établissement et du client »78. Cette disposition trouve écho dans celle de l’article L. 312-1-1 I du Code monétaire et financier : « les établissements de crédit sont tenus d’informer leur clientèle et le public sur les conditions générales et tarifaires applicables aux opérations relatives à la gestion d’un compte de dépôt, selon des modalités fixées par un arrêté du ministre chargé de l’Économie ».
78. V. également, en ce sens l’article L. 312-1-1 du Code monétaire et financier.
42 | B anque
et
a ssurance
digitales
Ledit arrêté est celui du 29 juillet 2009, relatif aux relations entre les prestataires de services de paiement et leurs clients en matière d’obligations d’information des utilisateurs de services de paiement. Il vient parfaire les dispositifs précités en précisant les principales stipulations devant figurer dans les conventions de compte de dépôt et les contrats-cadres de services de paiement79. Cet arrêté a dressé une liste des informations à fournir par le prestataire venant recouper en grande partie les listes précédemment établies en matière d’information du consommateur80. 44. En outre, l’ordonnance du 25 mars 2016 sur les contrats de crédit aux consommateurs relatifs aux biens immobiliers à usage d’habitation81, entrée en vigueur depuis le 1er octobre 2016, précise aux articles L. 341-25 à L. 341-26 du Code la consommation que le prêteur qui ne respecte pas les conditions de l’information précontractuelle pourra être déchu de ses droits aux intérêts jusqu’à un montant ne pouvant excéder 30 % des intérêts, plafonné à 30 000 euros. 45. En matière d’assurance en ligne, le Code des assurances prévoit également des dispositions spécifiques à l’information précontractuelle due par l’assureur. En effet, celui-ci doit fournir à l’assuré avant la conclusion du contrat, une fiche d’information sur le prix et les garanties, un exemplaire du projet de contrat et ses pièces annexes ou notices d’information ainsi que les obligations de l’assuré conformément à l’article L. 112-2 du Code des assurances82. Ces dispositions trouvent un intérêt encore particulier dans le cadre des contrats d’assurance en ligne dans la mesure où elles pondèrent utilement le caractère consensuel de ces contrats en assurant un niveau d’informations préalables renforcé. § 3 – La déclinaison de sanctions
46. Les manquements à l’obligation d’information précontractuelle sont sanctionnés de manière suffisamment significative pour comprendre l’importance de ces exigences. 47. Sur le plan civil et en matière de contrat à distance, la sanction est purement et simplement la nullité du contrat lui-même, en vertu des dispositions de l’article L. 242-2 du Code de la consommation. 79. T. Bonneau, « Le domaine d’application de l’ordonnance – Notions d’instrument de paiement, de services de paiement et d’établissement de paiement au sens de l’ordonnance, application dans l’espace et dans le temps, domaine subjectif : consommateurs, professionnels », JCP éd. E & A, n° 2, 14 janv. 2010, 1031. 80. Notamment, son identité, ses coordonnées, les informations relatives aux services proposés, aux frais, à la communication future, la langue du contrat, les mesures de protection relatives à l’utilisation des services de paiement, les conditions de modifications et de résiliation du contrat, les recours éventuels. 81. Ordonnance n° 2016-351 du 25 mars 2016 sur les contrats de crédit aux consommateurs relatifs aux biens immobiliers à usage d’habitation, JO 26 mars 2016. V. dossier spécial, « La réforme du crédit immobilier à la consommation », RDBF, sept.-oct. 2016, p. 31-37. 82. Il convient d’y ajouter les articles L. 222-5 et suivants du Code de la consommation.
e njeux
et réalités de la protection des consommateurs en ligne
| 43
48. Sur le plan pénal, l’article L. 242-5 du Code de la consommation prévoit une peine d’emprisonnement de 2 ans et une amende de 150 000 euros. Sur le plan administratif, le prestataire indélicat sera passible d’une amende administrative dont le montant ne peut excéder 3 000 euros pour une personne physique et 15 000 euros pour une personne morale83. 49. En matière de banque et d’assurance en ligne, une sanction civile, pénale, administrative ou disciplinaire aura sans doute un impact dissuasif non négligeable sur le public en termes d’image, voire bien plus efficace que toute autre mesure. 50. L’ensemble de ces dispositions relatives à l’obligation d’information du consommateur met en exergue un élément particulièrement sensible et déterminant pour l’effectivité de cette obligation en matière de services de banque et d’assurance en ligne : il s’agit de la notion de support durable.
SECTION III LA NOTION DE SUPPORT DURABLE 51. Plusieurs dispositions du Code de la consommation et du Code monétaire et financier rappellent l’importance et l’impérativité de garantir au consommateur la possibilité de recevoir les informations et les conditions contractuelles de manière utile et satisfaisante pour un exercice réel et efficace du droit à l’information. Ceci est encore plus vrai en matière de prestations bancaires et assurantielles en ligne. 52. Ainsi, à l’instar de tout contrat conclu sous forme électronique, les contrats de prestations bancaires et assurantielles devront répondre aux dispositions de l’article 1127-1 du Code civil : « Quiconque propose, à titre professionnel, par voie électronique, la fourniture de biens ou la prestation de services, met à disposition les conditions contractuelles applicables d’une manière qui permette leur conservation et leur reproduction. Sans préjudice des conditions de validité mentionnées dans l’offre, son auteur reste engagé par elle tant qu’elle est accessible par voie électronique de son fait. L’offre énonce en outre : (…) 2° Les moyens techniques permettant à l’utilisateur, avant la conclusion du contrat, d’identifier les erreurs commises dans la saisie des données et de les corriger ; (…) 4° En cas d’archivage du contrat, les modalités de cet archivage par l’auteur de l’offre et les conditions d’accès au contrat archivé ; (…) 5° Les moyens de consulter par voie électronique les règles professionnelles et commerciales auxquelles l’auteur de l’offre entend, le cas échéant, se soumettre ».
83. Article L. 242-10 du Code de la consommation.
44 | B anque
et
a ssurance
digitales
Dans le même esprit, l’article 1127-2 du Code civil dispose que : « le destinataire de l’offre doit avoir eu la possibilité de vérifier le détail de sa commande et son prix total, et de corriger d’éventuelles erreurs avant de confirmer celle-ci pour exprimer son acceptation ». Pour ce faire, la substitution du support électronique au support papier a conduit à la consécration de la notion de support durable. § 1 – La notion de support durable en droit européen
53. La notion de support durable a été d’abord mentionnée dans la directive du 20 mai 1997 sur la protection des consommateurs en matière de contrats à distance. Celle-ci précisait que le consommateur devait recevoir par écrit ou sur un autre support durable les informations nécessaires sans pour autant en donner de définition84. 54. S’agissant spécifiquement de la fourniture de services financiers auprès des consommateurs, c’est l’article 2-f) de la directive n° 2002/65/CE du 23 septembre 2002 concernant la commercialisation à distance de services financiers auprès des consommateurs85, qui en donne une définition : « tout instrument permettant au consommateur de stocker des informations qui lui sont adressées personnellement d’une manière permettant de s’y reporter aisément à l’avenir pendant un laps de temps adapté aux fins auxquelles les informations sont destinées et qui permet la reproduction à l’identique des informations stockées ». Au surplus, le considérant (20) de la directive n° 2002/65/CE inclut dans les supports durables « les disquettes informatiques, CD-ROM, DVD et le disque dur de l’ordinateur du consommateur sur lequel le courrier électronique est stocké », mais exclut expressément les sites Internet « sauf ceux qui satisfont aux critères spécifiés dans la définition des supports durables »86. 55. Plus récemment, la directive n° 2011/83/UE sur les droits des consommateurs87 précise en son considérant (23) que le papier, les clés USB, les cartes mémoire ou les courriels (pris indépendamment des disques durs) peuvent être considérés comme un support durable. Il est alors expressément précisé que le support durable doit « permettre au consommateur de stocker les informations aussi longtemps que cela lui est nécessaire pour protéger ses intérêts découlant de sa relation avec le professionnel ». 84. Article 5.1 de la directive n° 97/7/CE du 20 mai 1997 concernant la protection des consommateurs en matière de contrats à distance, JOCE n° L. 144, 4 juin 1997, p. 19 et s. 85. Directive n° 2002/65/CE du 23 septembre 2002 concernant la commercialisation à distance de services financiers auprès des consommateurs et modifiant les directives n° 90/619/CEE, n° 97/7/CE et n° 98/27/CE. 86. Dir. préc. ; la transposition de cette directive est intervenue avec le 6 juin 2005, JO 7 juin 2005. 87. Directive n° 2011/83/UE du 25 octobre 2011 relative aux droits des consommateurs, modifiant la directive n° 93/13/CEE et la directive n° 1999/44/CE et abrogeant la directive n° 85/577/CEE et la directive n° 97/7/CE, JOUE n° L. 304, 22 nov. 2011, p. 64.
e njeux
et réalités de la protection des consommateurs en ligne
| 45
Au-delà de l’effectivité du droit à l’information précontractuelle et contractuelle, c’est donc bien tout le régime de la preuve du contrat passé avec le consommateur qui est en jeu autour de cette notion de « support durable »88. 56. La jurisprudence est venue utilement éclairer cette définition, notamment un arrêt de la CJUE en date du 5 juillet 201289 en indiquant que les Conditions générales de vente (CGV) en ligne du fournisseur, auquel il est renvoyé par un lien hypertexte, n’étaient pas un support durable, et non conformes aux exigences de l’article 5 § 1 de la directive n° 97/7/CE du 20 mai 1997, concernant la protection des consommateurs en matière de contrats à distance90. L’affaire concernait l’accessibilité des conditions générales de vente d’un site Internet autrichien, au moyen d’un lien hypertexte contenu dans un courrier électronique adressé au consommateur. Le courriel ne comportait aucune information préalable et notamment concernant le droit à rétractation91. La CJUE a considéré qu’il ne répondait pas à la condition de durabilité du support en retenant que l’accès aux conditions générales de vente au moyen d’un lien hypertexte suppose une démarche du consommateur. Le consommateur doit donc être passif. Par ailleurs, la Cour estime qu’un site Internet ne peut constituer un support durable des documents stockés dans la mesure où il ne garantit pas au consommateur l’intégrité des informations, ni l’accessibilité pendant une durée suffisante pour l’exercice des droits du consommateur (rétractation), à moins que ne soit démontré le respect de ces caractéristiques. En effet, les sites Internet ne sont considérés comme des supports durables que s’ils permettent le stockage des informations et la possibilité de s’y reporter aisément à l’avenir pendant un laps de temps adapté92. L’idée est de garantir au
88. V. partie II, chapitre I. 89. CJUE, 5 juill. 2012, aff. C-49/11, Content Services Ltd. v. Bundesarbeitskammer, RLDI 2012/85, n° 2865, commentée par J. Huet, RLDI, 2013/92, n° 3062. 90. « Confirmation écrite des informations 1. Le consommateur doit recevoir, par écrit ou sur un autre support durable à sa disposition et auquel il a accès, confirmation des informations mentionnées à l’article 4, paragraphe 1, points a) à f), en temps utile lors de l’exécution du contrat et au plus tard au moment de la livraison en ce qui concerne les biens non destinés à la livraison à des tiers, à moins que ces informations n’aient déjà été fournies au consommateur préalablement à la conclusion du contrat par écrit ou sur un autre support durable à sa disposition et auquel il a accès. En tout état de cause, doivent être fournies : – une information écrite sur les conditions et les modalités d’exercice du droit de rétractation au sens de l’article 6, y compris les cas visés à l’article 6, paragraphe 3, premier tiret, – l’adresse géographique de l’établissement du fournisseur où le consommateur peut présenter ses réclamations, – les informations relatives aux services après-vente et aux garanties commerciales existantes, – les conditions de résiliation du contrat lorsque celui-ci est à durée indéterminée ou d’une durée supérieure à un an ». 91. V. infra section IV du présent chapitre. 92. V. Cabinet Caprioli & Associés, « Le support durable : cet illustre inconnu du commerce électronique », 1er avr. 2016, disponible sur le site : www.caprioli-avocats.com.
46 | B anque
et
a ssurance
digitales
consommateur en ligne l’intégrité des informations et l’accessibilité pendant une durée suffisante pour permettre l’efficacité de l’exercice de ses droits. 57. Il convient de relever, par contraste, que la CJUE a adopté une position différente dans le cadre des contrats (B2B) dans un arrêt du 21 mai 201593, venant ainsi confirmer le particularisme de la législation applicable aux consommateurs. Il est vrai que les conditions de préconstitution de la preuve pour la fourniture de produits ou de services entre professionnels sont plus souples et on ne parle pas forcément de « support durable » en tant que tel94. Compte tenu du fait que la solidité et la pérennité du contrat en ligne avec le consommateur en sont tributaires, le droit national français a massivement repris les critères européens en matière de « support durable ». § 2 – Les dispositions opérationnelles du droit français
58. Tout à fait concordante avec les dispositions européennes, la notion de « support durable » innerve l’ensemble des règles spécifiques du droit de la banque et de l’assurance digitale pour mieux en décliner les usages requis. A.
La reprise de la définition du support durable
59. Dans le prolongement direct de la définition en droit européen, l’article L. 222-4 du Code de la consommation relatif à la fourniture de produits ou services financiers, indique : « est considéré comme support durable, tout instrument permettant au consommateur de stocker des informations qui lui sont adressées personnellement afin de pouvoir s’y reporter ultérieurement pendant un laps de temps adapté aux fins auxquelles les informations sont destinées et qui permet la reproduction à l’identique des informations stockées ». 60. De même, dans le domaine des services de paiement en ligne, l’article L. 314-1-IV du Code monétaire et financier définit le « support durable », comme « tout instrument permettant à l’utilisateur de services de paiement de stocker les informations qui lui sont personnellement adressées, d’une manière telle que
93. CJUE, 21 mai 2015, aff. C-322/14, JEM c/ CarsOnTheWeb.Deutschland GMBH, Com. com. électr. 2015, comm. 67, G. Loiseau. Ainsi, la technique d’acceptation par « clic » (avec accès de l’acheteur aux conditions générales de vente figurant sur un site Internet par un clic sur un hyperlien ouvrant une fenêtre) peut constituer « une transmission par voie électronique permettant de consigner durablement cette convention, au sens de cette disposition, lorsque cette technique rend possible l’impression et la sauvegarde du texte de celles-ci avant la conclusion du contrat (...) une voie de transmission électronique permettant de consigner durablement la convention attributive de juridiction ». 94. Mélanie Jaoul « Clause attributive de juridiction : tourner son doigt sept fois autour de la souris avant le «clic» droit », commentaire de l’arrêt de la CJUE du 21 mai 2015, Jaouad El Majdoub c/ CarsOnTheWeb.Deutschland GmbH, aff. C-322/14, RLDC, 2015, p. 129.
e njeux
et réalités de la protection des consommateurs en ligne
| 47
ces informations puissent être consultées ultérieurement pendant une période adaptée à leur finalité et reproduites à l’identique »95. 61. La jurisprudence n’est pas en reste. Ainsi, la Cour d’appel d’Aix-en-Provence, en date du 1er décembre 2015, rappelle que « constitue un support durable tout instrument permettant aux établissements de crédit de stocker des informations constitutives de ces preuves d’une manière telle que ces informations puissent être consultées ultérieurement pendant une période adaptée »96. B.
De l’usage du support durable en matière de contrats de banque et d’assurance en ligne
1.
Les dispositions du Code de la consommation
62. Concernant l’information précontractuelle en matière de contrats conclus à distance portant sur des services financiers, l’article L. 222-6 du Code de la consommation explicite que le « consommateur doit recevoir, par écrit ou sur un autre support durable à sa disposition et auquel il a accès en temps utile et avant tout engagement, les conditions contractuelles ainsi que les informations mentionnées à l’article L. 222-5. Elles sont fournies au consommateur conformément aux dispositions législatives et réglementaires spécifiques à chaque produit, instrument financier ou service proposé ». Par ailleurs, « le fournisseur exécute ses obligations de communication immédiatement après la conclusion du contrat, lorsque celui-ci a été conclu à la demande du consommateur en utilisant une technique de communication à distance ne permettant pas la transmission des informations précontractuelles et contractuelles sur un support papier ou sur un autre support durable. Dans ce cas et lorsque le contrat porte sur une opération mentionnée au premier alinéa de l’article L. 312-84, le fournisseur n’est tenu de communiquer au consommateur que les seules informations contractuelles ». 63. En la matière, il est manifeste que le législateur a mis le consommateur au centre du dispositif pour prendre en considération ses moyens et ses besoins, puisque l’article L. 222-6 du Code de la consommation ajoute qu’à « tout moment au cours de la relation contractuelle, le consommateur a le droit, s’il en fait la demande, de recevoir les conditions contractuelles sur un support papier. En outre, le consommateur a le droit de changer les techniques de communication à distance utilisées, à moins que cela ne soit incompatible avec le contrat à distance conclu ou avec la nature du service financier fourni ».
95. Issu de l’ordonnance n° 2009-866 du 15 juillet 2009 relative aux conditions régissant la fourniture de services de paiement et portant création des « établissements de paiement ». 96. CA Aix-en-Provence, 1er déc. 2015, n° 2015/621, Madame Francette Douard c/ SA Norrsken Finance.
48 | B anque
et
a ssurance
digitales
La subsidiarité persistante du support papier se retrouve dans d’autres dispositions du Code de la consommation, comme par exemple à l’article L. 222-6 dudit code créé par l’ordonnance du 14 mars 2016 qui indique qu’à tout moment de la relation contractuelle, le consommateur a le droit, s’il en fait la demande, de recevoir les conditions contractuelles sur un support papier. Le support durable ne remplace pas encore totalement le support papier, tant s’en faut. L’heure est à un début de transition et l’idée est de rester connecté au besoin du consommateur. Ceci étant, en encadrant les possibilités de modifications des techniques de communication utilisées par le consommateur, le législateur a fait preuve de réalisme pour ne pas rendre la charge insupportable pour le prestataire. 2.
Les dispositions du Code monétaire et financier
64. Concernant plus spécifiquement le secteur bancaire, il convient de relever, en matière de comptes et dépôts, les dispositions de l’article L. 312-1-1 du Code monétaire et financier qui indique que « (…) les principales stipulations que la convention de compte de dépôt doit comporter, notamment les conditions générales et tarifaires d’ouverture, de fonctionnement et de clôture, sont précisées par un arrêté du ministre chargé de l’Économie. Avant que le client ne soit lié par cette convention, l’établissement de crédit l’informe desdites conditions sur support papier ou sur un autre support durable. L’établissement de crédit peut s’acquitter de cette obligation en fournissant au client une copie du projet de convention de compte de dépôt. Si, à la demande du client, cette convention est conclue par un moyen de communication à distance ne permettant pas à l’établissement de crédit de se conformer au précédent alinéa, ce dernier satisfait à ses obligations aussitôt après la conclusion de la convention de compte de dépôt ». La notion de support durable peut tout aussi bien concerner les opérations les plus courantes pour le consommateur, telles que le relevé de compte bancaire. En effet, l’article D. 312-5 du Code monétaire et financier inclut dans les services bancaires de base « l’envoi mensuel d’un relevé des opérations effectuées sur le compte ». Ce relevé des opérations récapitule tous les mouvements enregistrés sur le compte d’un client pendant une période déterminée. Il est devenu usuel que les établissements bancaires offrent à leurs clients la possibilité de recevoir leur relevé de compte bancaire mensuel par Internet en substitution du support papier, et ce gratuitement (en vertu des dispositions existantes depuis la loi MURCEF)97. Sous réserve du respect des exigences en matière de « support durable », ces relevés ont donc la même valeur juridique que les relevés de compte papier. Le prestataire ne peut, cependant, pas refuser de délivrer gratuitement sur papier, au moins une fois par mois, lesdits relevés (CMF, art. L. 314-14 II, al. 2). 97. Loi n° 2001-1168 du 11 décembre 2001 portant mesures urgentes de réformes à caractère économique et financier (dite loi MURCEF), JO 12 déc. 2001.
e njeux
et réalités de la protection des consommateurs en ligne
| 49
Il convient d’ajouter que la jurisprudence impose, quant à elle, que les établissements de crédit conservent les preuves de la consultation du fichier national des incidents de paiement sur un support durable pour être en mesure de démontrer que les modalités de consultation du fichier de conservation du résultat des consultations garantissent l’intégrité des informations ainsi collectées98. Ainsi, en application de l’article 1353 du Code civil99, il appartient au prêteur d’apporter la preuve de l’existence de cette consultation par production d’une capture d’écran ou de l’envoi et la réception du fichier informatique caractérisant les échanges avec la Banque de France. La notion de support durable est donc au centre du régime probatoire et d’opposabilité des actes entre le prestataire et le consommateur. Il en est de même en matière d’assurance. 3.
Les dispositions du Code des assurances
65. Le Code des assurances n’exige aucun support ou moyen précis concernant la communication des documents d’information précontractuelle au consommateur. Ceci étant, la remise d’un écrit, et par extension d’un écrit électronique, est incontournable100. Le caractère consensualiste des contrats n’affaiblit donc pas les exigences protectrices en matière de support durable, compte tenu du souci de la preuve pour consolider la réalité et l’effectivité du contrat et pour pondérer l’absence de formalisme juridique sur l’écrit. À titre d’illustration, le caractère particulièrement engageant de contrats tels que les assurances-vie conduit fatalement à l’exigence de procédures de souscription en ligne particulièrement fiables et sécurisées. 66. Ainsi, et entre autres, rien ne s’oppose à ce que la fiche d’information sur les prix et les garanties101, le projet de contrat et ses annexes, la remise de la notice102 ainsi que le questionnaire d’assurance103 soient transmis par voie électronique, sous réserve du respect de certaines conditions spécifiques aux dispositions classiques du droit des assurances, mais également du respect des conditions de validité de l’écrit électronique104. C’est à cette croisée des chemins que le support durable trouve toute son utilité.
98. CA Aix-en-Provence, 1er déc. 2015, n° 2015/ 621, Madame Francette Douard c/ SA Norrsken Finance. 99. Ancien article 1315 du Code civil antérieurement à la réforme du droit des obligations par l’ordonnance du 10 février 2016. 100. V. l’ordonnance n° 2001-350 du 19 avril 2001 relative au Code de la mutualité et transposant les directives n° 92/49/CEE et n° 92/96/CEE des 18 juin et 10 novembre 1992, JO 22 avr. 2001, p. 6288. V. articles 1315 et 1316 du Code civil. 101. C. assur., art. L. 112-2, al. 1. 102. C. assur., art. L. 112-2, al. 2. 103. C. assur., art. L. 113-2. 104. V. infra partie II, chapitre I.
50 | B anque
et
a ssurance
digitales
67. Le fait est que le décret du 29 décembre 2014 relatif à la résiliation à tout moment de contrats d’assurance et portant application de l’article L. 113-15-2 du Code des assurances105 a marqué un progrès significatif dans la gestion par voie électronique des relations entre les sociétés d’assurance et leurs assurés, en permettant aux assurés de transmettre pour certains contrats leur demande de résiliation par lettre ou « tout support durable ». 68. Le support durable constitue donc un élément majeur et même incontournable de confiance, de fluidification et de propagation des contrats de banque et d’assurance en ligne dans le sens où il assure les garanties d’une information précontractuelle et contractuelle effective auprès du consommateur, mais également dans la mesure où elle offre aux prestataires de services en ligne un outil probatoire intéressant pour l’opposabilité de leurs contrats. L’importance du support durable se mesure aisément dans l’exercice de certains droits cruciaux du consommateur de services financiers numériques, tel que le droit de rétractation dont le point de départ et la durée sont tributaires de l’existence d’un support électronique approprié.
SECTION IV DROITS DE RÉTRACTATION ET DE RENONCIATION DANS LES SERVICES BANCAIRES ET ASSURANTIELS 69. Le droit de rétractation sur les services en ligne a contribué au développement du commerce électronique, en offrant au consommateur une marge de manœuvre et d’appréciation a posteriori, renforçant ainsi la confiance. Pour absorber les effets de la distance dans le cadre de services bancaires et d’assurance digitaux, ce droit a été revalorisé. Pour rappel du régime de droit commun, dans l’optique constante de renforcer les droits du consommateur en matière de vente à distance, la directive n° 97/7/ CE a intégré dans le dispositif législatif européen le droit de rétractation, soit la période pendant laquelle le consommateur peut revenir sur son consentement initial. Celui-ci s’est développé dans le même temps que la multiplicité des services offerts au consommateur et va de pair avec une information précontractuelle complète106. Cette consécration s’inscrit dans les prévisions de la loi n° 78-22 du 10 janvier 1978 sur la protection et l’information des consommateurs, dite loi « Scrivener », dans le domaine de certaines opérations
105. Décret n° 2014-1685 du 29 décembre 2014 relatif à la résiliation à tout moment de contrats d’assurance et portant application de l’article L. 113-15-2 du Code des assurances, JO 31 déc. 2014, p. 23383. 106. Articles 9 à 16 de la directive n° 97/7/CE du 20 mai 1997 concernant la protection des consommateurs en matière de contrats à distance, JOCE n° L. 144, 4 juin 1997, p. 19 et s.
e njeux
et réalités de la protection des consommateurs en ligne
| 51
de crédit107. Le droit de rétractation prévu était de sept jours en matière de contrat à distance « classique ». Pour les services bancaires et assurantiels, le niveau de protection du consommateur a été rehaussé. § 1 – Les dispositions du droit européen en matière de prestations bancaires et d’assurance à distance
70. En matière de protection des consommateurs dans la commercialisation à distance de services financiers, la directive n° 2002/65/CE prévoit un régime « sur mesure » du droit de rétractation concernant l’ensemble des services financiers, sous réserve de deux exceptions : – les services financiers dont le prix dépend exclusivement des fluctuations du marché financier pouvant survenir pendant le délai de rétractation108 ; – sous réserve de l’appréciation des États membres, les crédits immobiliers, hypothécaires et l’ensemble des actes souscrits devant un « officier public ». Les États membres peuvent exclure le droit de rétractation dans ces cas, sous réserve d’en informer la Commission109. 71. Le délai prévu en matière de services financiers est de quatorze jours, celui-ci pouvant être porté à trente jours pour les contrats à distance ayant pour objet les assurances-vie et les opérations portant sur les relations individuelles. Ce délai est équivalent à celui prévu dans le cadre de la directive n° 2008/48/CE concernant les contrats de crédit aux consommateurs110. § 2 – La transposition en droit français
72. L’ordonnance n° 2005-648 du 6 juin 2005 a transposé la directive n° 2002/65/ CE en droit français et principalement dans le Code de la consommation, dans le Code monétaire et financier et dans le Code des assurances.
107. Loi n° 78-22 du 10 janvier 1978 relative à l’information et à la protection des consommateurs dans le domaine de certaines opérations de crédit, JO 11 janv. 1978, p. 299. 108. Article 6.2 de la directive n° 2002/65/CE du 23 septembre 2002 concernant la commercialisation à distance de services financiers auprès des consommateurs, JOCE n° L. 271, 9 oct. 2002, p. 16 et s. 109. M.-E. Mathieu, « Transactions bancaires et financières à distance – Droit communautaire et droit français », Fasc. 125, J.-Cl. Banque – Crédit – Bourse, LexisNexis, 3 févr. 2004. 110. Directive n° 2008/48/CE du 23 avril 2008 concernant les contrats de crédit aux consommateurs et abrogeant la directive n° 87/102/CEE du Conseil, JOUE n° L. 133, 22 mai 2008, p. 66.
52 | B anque
A.
et
a ssurance
digitales
Les caractéristiques générales du droit de rétractation en matière de services financiers
73. Depuis, la loi sur la consommation du 17 mars 2014 a uniformisé le délai de rétractation à quatorze jours et créé une section spécifique dans le Code de la consommation intitulée « Dispositions particulières aux contrats conclus à distance portant sur des services financiers ». L’ordonnance du 14 mars 2016 a refondu l’architecture du Code de la consommation et a permis l’adoption de la nouvelle partie législative dudit code111. À ce jour, le droit de rétractation fait partie intégrante de la liste des informations devant être fournie au consommateur sur support durable ou par écrit112. Le consommateur peut l’exercer dans un délai de quatorze jours sans avoir à justifier de motifs, ni à supporter de pénalités. Ce délai court à compter du jour où : – le contrat à distance est conclu ; – le consommateur reçoit les informations contractuelles et les informations prévues à l’article L. 222-6 du Code de consommation si cette dernière date est postérieure à la date de conclusion du contrat113. 74. L’article L. 222-12 du Code de la consommation rappelle que « l’exercice du droit de rétractation emporte résolution de plein droit du contrat de vente ou de prestation de services ». 75. Il est également expressément précisé à l’article L. 222-18 du Code de la consommation que ces dispositions sont d’ordre public. Ainsi, il ne peut y être dérogé par un accord contractuel ou toute autre entente amiable entre le professionnel et le consommateur. B.
Les dispositions spécifiques à la banque en ligne
76. En matière bancaire, l’article L. 341-16 du Code monétaire et financier précise que lorsque la personne démarchée exerce son droit de rétractation, elle ne peut être tenue qu’au paiement du prix correspondant à l’utilisation du produit ou du service financier effectivement fourni entre la date de conclusion du contrat et celle de l’exercice du droit de rétractation, à l’exclusion de toute pénalité. Enfin, le délai de rétractation ne s’applique pas : – aux services de réception-transmission et exécution d’ordres pour le compte de tiers ; – à la fourniture des titres et des contrats financiers ; 111. Rapport au Président de la République relatif à l’ordonnance n° 2016-301 du 14 mars 2016 relative à la partie législative du Code de la consommation, JO 16 mars 2016. 112. C. consom., art. L. 222-6. 113. C. consom., art. L. 222-7.
e njeux
et réalités de la protection des consommateurs en ligne
| 53
– lorsque des dispositions spécifiques à certains produits et services prévoient un délai de réflexion ou de rétractation d’une durée différente ; – aux contrats exécutés intégralement par les deux parties à la demande expresse de la personne démarchée avant que cette dernière n’exerce son droit de rétractation114 ; – aux contrats de crédit immobilier définis à l’article L. 313-1 du Code de la consommation ; – aux contrats de prêts viagers hypothécaires définis à l’article L. 315-1 du Code de la consommation115. Les conséquences d’exercice du droit de rétractation pour le consommateur en matière de services financiers sont clairement posées : le fournisseur doit rembourser au consommateur dans les meilleurs délais et au plus tard dans les trente jours, toutes les sommes qu’il a perçues de celui-ci en application du contrat, sauf si le consommateur avait commencé à exécuter le contrat et était informé du montant dû116. 77. Il convient de relever qu’en matière de crédit à la consommation en ligne, le raccourcissement du délai de rétractation prend une dimension particulière au regard des dispositions de l’article L. 312-47 du Code de la consommation puisqu’elle devra passer « (…) par une demande expresse rédigée, datée et signée de sa main même »117 répondant aux exigences des dispositions de l’article 1174 du Code civil : « lorsqu’est exigée une mention écrite de la main même de celui qui s’oblige, ce dernier peut l’apposer sous forme électronique si les conditions de cette apposition sont de nature à garantir qu’elle ne peut être effectuée que par lui-même »118. Dans le numérique, cette mention pourra être tapuscrite, mais immédiatement suivie de la signature électronique de celui qui s’oblige. 78. Cette notion d’apposition « de nature à garantir qu’elle ne peut être effectuée que par lui-même » rappelle étroitement la formulation de la Cour de cassation dans le cadre d’un arrêt en date du 13 mars 2008 indiquant, au sujet de l’article 1326 du Code civil, « que si la mention de la somme ou de la quantité en toutes lettres et en chiffres, écrite par la partie même qui s’engage, n’est plus nécessairement manuscrite, elle doit alors résulter, selon la nature du 114. 115. 116. 117.
CMF, art. L. 341-16 II. C. consom., art. L. 222-9. C. consom., art. L. 222-15. La mention expresse du renoncement du consommateur a-t-elle été spécifiquement libellée par l’article R. 311-9 du Code de la consommation : « Je demande à être livré immédiatement (ou à bénéficier immédiatement de la prestation de services). Je reconnais avoir été informé que cette demande a pour effet de réduire le délai légal de rétractation. Celui-ci expirera le jour de la livraison du bien (ou de l’exécution de la prestation), sans pouvoir être inférieur à trois jours ni supérieur à sept jours ». 118. É. A. Caprioli et P. Agosti, « La confiance dans l’économie numérique », LPA 3 juin 2005, p. 4 et s. J. Huet, JCP éd. G 2004, I, 178 ; 1804-2004 Le Code civil, Dalloz, 2004, p. 539.
54 | B anque
et
a ssurance
digitales
support, d’un des procédés d’identification conforme aux règles qui gouvernent la signature électronique ou de tout autre procédé permettant de s’assurer que le signataire est le scripteur de ladite mention »119. 79. Par extension, et pour reprendre par analogie les critères d’appréciation de la Cour de cassation, il est possible de considérer que les conditions d’apposition de la mention de nature à garantir qu’elle ne peut être effectuée que par lui-même devront répondre au critère de fiabilité de l’envoi au sens de l’article 1367 du Code civil120 et permettre de « dûment » identifier la personne dont il émane121. C.
Les dispositions spécifiques à l’assurance en ligne
80. S’agissant des opérations d’assurance, des règles spécifiques sont posées par le Code des assurances, de la mutualité et de la sécurité sociale. L’article L. 112-2-1 du Code des assurances modifié par l’ordonnance du 14 mars 2016, prévoit la possibilité pour le consommateur d’exercer son droit de renonciation dans un délai de quatorze jours calendaires, sans avoir à justifier de motif, ni à supporter de pénalités. Le point de départ de ce délai est calqué sur le délai de rétractation applicable en matière de services financiers. 81. Il est toutefois précisé qu’en ce qui concerne le contrat d’assurance vie, le délai de renonciation est porté à trente jours révolus. En outre, le droit de renonciation ne s’applique pas : – aux polices d’assurance de voyage ou bagage ou aux polices d’assurance similaires à court terme d’une durée inférieure à un mois ; – aux contrats d’assurance spécifiques aux véhicules ; – aux contrats exécutés intégralement par les deux parties à la demande expresse du consommateur avant que ce dernier n’exerce son droit de renonciation122. 82. Enfin, et comme pour le délai de rétractation, la conclusion à distance d’un contrat d’assurance implique que le souscripteur reçoive toutes les précisions
119. Cass. civ. 1re, 13 mars 2008, Bull. civ. I, 2008, n° 73 ; Com. com. électr. 2008, comm. 80, note Ph. Stoffel-Munck ; JCP éd. G, 2008, II, 10081, note E. Putman. 120. Article 2 du décret n° 2001-272 du 30 mars 2001 pris pour l’application de l’article 1316-4 du Code civil et relatif à la signature électronique : « La fiabilité d’un procédé de signature électronique est présumée jusqu’à preuve contraire lorsque ce procédé met en œuvre une signature électronique sécurisée, établie grâce à un dispositif sécurisé de création de signature électronique et que la vérification de cette signature repose sur l’utilisation d’un certificat électronique qualifié ». 121. Cass. civ. 1re, 30 sept. 2010, n° 09-68-555, Com. com. électr. 2010, comm. 129 ; obs. É. A. Caprioli ; Cass. soc., 22 mars 2011 : Com. com. électr. 2011, comm. 72, obs. É. A. Caprioli. 122. C. assur., art. L. 112-2-1.
e njeux
et réalités de la protection des consommateurs en ligne
| 55
nécessaires sur le droit de renonciation : sa durée, les modalités pratiques de son exercice, etc. A.
Les modalités pratiques
83. Par modalités pratiques, il faut entendre le formulaire en ligne et la détermination du point de départ. 1.
Concernant le formulaire en ligne
84. Le droit de rétractation du consommateur s’exerce généralement par le biais d’un formulaire détachable joint au document contractuel. 85. En matière de contrat de crédit, le principe est posé par l’article L. 312-19 du Code de la consommation, concernant l’accessibilité du formulaire. Une fois rappelé le délai de quatorze jours calendaires « à compter du jour de l’acceptation de l’offre de contrat de crédit », il y est indiqué que l’exercice de ce droit de rétractation s’opère par « un formulaire détachable joint à son exemplaire du contrat de crédit. (…) L’exercice par l’emprunteur de son droit de rétractation ne peut donner lieu à enregistrement sur un fichier (…) »123. L’article 1176 du Code civil transcrit cette obligation dans un environnement numérique en précisant que « l’exigence d’un formulaire détachable est satisfaite par un procédé électronique qui permet d’accéder au formulaire et de le renvoyer par la même voie ». Le décret n° 2014-1061 du 17 septembre 2014 relatif aux obligations d’information précontractuelle et contractuelle des consommateurs et au droit de rétractation fournit en Annexe I un modèle de formulaire type pouvant être intégré dans les documents contractuels ou sur la plateforme Internet du professionnel124. 2.
Concernant la détermination du point de départ
86. Dans le cadre des échanges contractuels en ligne, l’une des vraies gageures concernant l’exercice du droit de rétractation concernera donc le point de départ, selon qu’il soit amorcé par l’envoi d’un courrier électronique simple ou un courrier électronique recommandé. Selon le nouvel article L. 100 du Code des procédures civiles d’exécution concernant les envois recommandés électroniques125, l’apposition de la date d’expédition ou de réception résulte d’un procédé électronique, la fiabilité de celui-ci étant présumée, jusqu’à preuve contraire, sous réserve de satisfaire aux exigences fixées par un décret en Conseil d’État. 123. C. consom., art. 312-21 et 312-22. 124. Décret n° 2014-1061 du 17 septembre 2014 relatif aux obligations d’information précontractuelle et contractuelle des consommateurs et au droit de rétractation, JO 19 sept. 2014, p. 15331. 125. V. infra partie II, chapitre I.
56 | B anque
et
a ssurance
digitales
SECTION V LES MÉCANISMES DE PROTECTION CONTRE LES CLAUSES ABUSIVES EN LIGNE 87. La chasse aux clauses abusives constitue un élément fort et déterminant pour l’émergence de la confiance dans tout processus de contractualisation consumériste. L’un des signes les plus significatifs de cette importance est certainement l’existence de l’office du juge en droit de la consommation. Ainsi, l’article R. 626-1 du Code de la consommation126 indique que : « le juge peut soulever d’office toutes les dispositions du présent code dans les litiges nés de son application »127. À n’en pas douter, cet office du juge aura une portée particulièrement utile en matière de contractualisation en ligne, qui plus est pour les services bancaires et assurantiels, emblématiques de la qualité attendue en matière de prestations à distance. Les organismes bancaires, financiers ou d’assurance seront d’autant plus attentifs aux critères applicables en matière de clauses abusives que le législateur a ouvert les recours en justice contre les clauses illicites et abusives aux associations de consommateurs agréées : « Le juge peut à ce titre ordonner, le cas échéant sous astreinte, la suppression d’une clause illicite ou abusive dans tout contrat ou type de contrat en cours ou non, proposé ou destiné au consommateur »128. La portée de l’action desdites associations est d’autant plus grande129 qu’elles « peuvent également demander au juge de déclarer que cette clause est réputée non écrite dans tous les contrats identiques conclus par le même professionnel avec des consommateurs et de lui ordonner d’en informer à ses frais les consommateurs concernés par tous moyens appropriés ». 88. Concrètement et pour rappel, l’article L. 212-1 du Code de la consommation130 définit le régime des clauses qui ont pour objet ou pour effet de créer, un « déséquilibre significatif » entre les droits et obligations des parties au contrat entre professionnels et consommateurs au détriment de ce dernier131 : ces
126. Issu de la loi n° 2008-3 du 3 janvier 2008 pour le développement de la concurrence au service des consommateurs, dite loi « Châtel ». V. G. Poissonnier, « Office du juge en droit de la consommation : une clarification bienvenue » : D. 2008, P. 1285. V. également Cass. civ. 1re, 22 janv. 2009, n° 05-20.176 : Juris-Data n° 2009-046627 ; Bull. civ. I, 2009, n° 9 ; Contrats, conc., consom. 2009, comm. 88, obs. G. Raymond. 127. Par ex. la forclusion, v. partie II, chapitre IV. 128. C. consom., art. L. 621-8. 129. Il convient de rappeler qu’il n’est pas utile d’en passer par une intervention d’un consommateur, ni même par la démonstration d’un quelconque préjudice individuel : CA Rennes, 28 févr. 2014, Juris-Data n° 2014-003737 ; LEDB oct. 2014, p. 4, n° 125, obs. J. Lasserre Capdeville ; Contrats, conc., consom. 2014, comm. 201, obs. G. Raymond. 130. Article 2 de l’ordonnance n° 2016-131 du 10 février 2016. 131. Loi n° 95-96 du 1er février 1995 transposant en droit interne la directive n° 93/13/CE du 5 avril 1993 concernant les clauses abusives dans les contrats conclus avec les consommateurs.
e njeux
et réalités de la protection des consommateurs en ligne
| 57
clauses sont dites « clauses abusives » et sont réputées non écrites et radiées du contrat132. Sur avis de la commission des clauses abusives, un décret en Conseil d’État détermine les types de clauses qui doivent être regardées comme abusives. Le décret du 18 mars 2009133 introduit dans le Code de la consommation les clauses réputées abusives de manière irréfragable (et donc interdites)134 et les clauses présumées abusives135 (le professionnel devra rapporter la preuve contraire). On parle usuellement des clauses noires et des clauses grises. 89. Il convient de relever également que l’ordonnance du 10 février 2016 a intégré l’article 1171 nouveau du Code civil portant reconnaissance d’un droit général des clauses abusives figurant dans les contrats d’adhésion136, ce que sont de nombreux contrats de la banque et de l’assurance en ligne, que ce soit en B2C ou en B2B. Suivant une approche analogique avec le cadre juridique préexistant, les différentes clauses exonératoires de responsabilité devraient raisonnablement être considérées comme disqualifiées, en matière de services en ligne, du fait du risque majoré pour le consommateur137. C’est particulièrement le cas au niveau de l’authentification des consommateurs. En revanche, la question de la survenance d’un problème technique est traitée avec plus de nuances… D’aucuns diront de réalisme.
132. G. Chantepie, « Les clauses abusives et leur sanction en droit commun des contrats », AJCA 2015, 12 – RDBF 2016, dossier 17 (la banque et le droit des clauses abusives) ; K. Jakouloff, « Des clauses abusives aux pratiques commerciales déloyales : deux directives complémentaires », LPA 10 juin 2015 ; J.-D. Pellier, « Retour sur le domaine et la sanction des clauses abusives au sens de l’article L. 132-1 [L. 212-1] du Code de la consommation », LPA 10 juin 2016 ; Cass. civ. 1re, 23 nov. 2004 : Bull. civ. I, n° 287 ; D. 2005, 443, note Tricot ; RDC 2005, 732, obs. D. Fenouillet ; X. Lagarde, D. 2005, chron. 2222. 133. Décret n° 2009-302 du 18 mars 2009 portant application de l’article L. 132-1 du Code de la consommation, JO 20 mars 2009, p. 5030. 134. C. consom., art. R. 212-1 : « Dans les contrats conclus entre des professionnels et des nonprofessionnels ou des consommateurs, sont de manière irréfragable présumée abusives, au sens des dispositions du premier et du troisième alinéa de l’article L. 132-1 et dès lors interdites, les clauses ayant pour objet ou pour effet de : (…) 6° Supprimer ou réduire le droit à réparation du préjudice subi par le non-professionnel ou le consommateur en cas de manquement par le professionnel à l’une quelconque de ses obligations ; (…) ». 135. C. consom., art. R. 212-2. 136. C. civ., art. 1171 nouveau : « Dans un contrat d’adhésion, toute clause qui crée un déséquilibre significatif entre les droits et obligations des parties au contrat est réputée non écrite. L’appréciation du déséquilibre significatif ne porte ni sur l’objet principal du contrat ni sur l’adéquation du prix à la prestation ». 137. D. Legeais, « Fasc. 955 : Règles communes à l’ensemble des crédits à la consommation », J.-Cl. Commercial, LexisNexis, 8 mars 2016.
58 | B anque
et
a ssurance
digitales
§ 1 – Les clauses abusives touchant à l’authentification
90. L’authentification constitue une étape majeure et un pivot de la confiance mutuelle en ligne entre le consommateur et le prestataire en ligne138. L’équilibre des mentions contractuelles en la matière est d’autant plus important. L’arbitraire du prestataire à réaménager ces contrats d’adhésion en défaveur du consommateur sera donc censuré. Ainsi, en matière d’authentification du client, la clause prévoyant que la banque en ligne serait exonérée de sa responsabilité en cas d’utilisation par un tiers du mot de passe du client devrait être déclarée abusive139. Est donc prise en considération l’hypothèse, loin d’être marginale, de l’usurpation de l’identité de l’utilisateur au moment de l’authentification. Par analogie, il est vrai que le régime général du paiement électronique par carte bancaire trouve sa parfaite utilité en tant que référence juridique standard pour toute sorte d’opérations bancaires en ligne, en faisant peser la charge de la preuve d’une faute lourde sur l’établissement bancaire, entre autres, concernant l’authentification de l’utilisateur140. Cette règle est particulièrement saillante dans le cadre de détournement de l’instrument de paiement ou de données141. C’est d’ailleurs tout le sens de l’obligation imposée aux banques de mettre en place un système d’authentification particulièrement élaboré et sécurisé. En ce sens, les préconisations de la Banque de France142 et de la Banque centrale 138. V. partie I, chapitre IV, section II. 139. L. Abadie, « Clause abusive et banque en ligne », RDBF n° 3, mai 2016, dossier 20. 140. Régime juridique de la fraude à la carte de paiement fixé par l’article L. 133-23 du Code monétaire et financier : « Lorsqu’un utilisateur de services de paiement nie avoir autorisé une opération de paiement qui a été exécutée, ou affirme que l’opération de paiement n’a pas été exécutée correctement, il incombe à son prestataire de services de paiement de prouver que l’opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre. L’utilisation de l’instrument de paiement telle qu’enregistrée par le prestataire de services de paiement ne suffit pas nécessairement en tant que telle à prouver que l’opération a été autorisée par le payeur ou que celui-ci n’a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière ». V. également l’article L. 133-18 du Code monétaire et financier : « En cas d’opération de paiement non autorisée signalée par l’utilisateur dans les conditions prévues à l’article, le prestataire de services de paiement du payeur rembourse immédiatement au payeur le montant de l’opération non autorisée et, le cas échéant, rétablit le compte débité dans l’état où il se serait trouvé si l’opération de paiement non autorisée n’avait pas eu lieu ». V. égal., Cass. com., 2 oct. 2007, n° 05-19.899 : Juris-Data n° 2007-040638 ; Com. com. électr. 2007, comm. 139, É. A. Caprioli ; Bull. civ. IV, n° 208. 141. En ce sens, v. l’article L. 133-19, II, du Code monétaire et financier : « La responsabilité du payeur n’est pas engagée si l’opération de paiement non autorisée a été effectuée en détournant, à l’insu du payeur, l’instrument de paiement ou les données qui lui sont liées. Elle n’est pas engagée non plus en cas de contrefaçon de l’instrument de paiement si, au moment de l’opération de paiement non autorisée, le payeur était en possession de son instrument ». V. partie II, chapitre II. 142. https://www.banque-france.fr/uploads/tx_bdfgrandesdates/rapport-surveillance-desmoyens-de-paiement-et-des-systemes-d-echange-2014.pdf
e njeux
et réalités de la protection des consommateurs en ligne
| 59
européenne143 sont claires. La jurisprudence n’est pas en reste, les litiges en matière d’identification/authentification en ligne ayant déjà émergé, qui plus est en matière de services bancaires en ligne, impliquant un consommateur. Ainsi, la Cour d’appel de Versailles, en date du 18 novembre 2010144, a eu l’occasion de se prononcer sur les obligations à la charge du banquier en matière d’accès et de gestion des comptes par l’intermédiaire du site Internet de la banque, venant rectifier une décision de première instance, défavorable à une utilisatrice, en instance de divorce et dont les fonds sur son compte épargne salariale avaient été détournés par son époux. La cour d’appel a constaté les insuffisances du système de sécurité mis en place par la banque pour la condamner sur le fondement d’une négligence caractérisée du fait de l’absence de la mise en place de toutes les mesures nécessaires pour protéger les comptes en ligne de ses clients. § 2 – La question de la survenance d’un problème technique
91. Contrairement à ce que l’on aurait pu présupposer eu égard à la possible exposition indue du consommateur, le législateur n’a pas considéré devoir interdire les clauses relatives aux modifications unilatérales des contrats portant notamment sur les évolutions techniques des sites145. Ainsi, l’article R. 132-2-1V du Code de la consommation dispose-t-il que le « 3° de l’article R. 132-1 et le 6° de l’article R. 132-2 ne font pas obstacle à l’existence de clauses par lesquelles le contrat stipule que le professionnel peut apporter unilatéralement des modifications au contrat liées à l’évolution technique, dès lors qu’il n’en résulte ni augmentation de prix, ni altération de la qualité et que les caractéristiques auxquelles le non-professionnel ou le consommateur a subordonné son engagement ont pu figurer au contrat ». Il est donc parfaitement possible de modifier des éléments techniques sur le site et sa navigation, sans pour autant que l’économie générale du contrat de prestation à distance ne soit bouleversée. En ce sens, la jurisprudence a-t-elle déjà eu l’occasion d’en connaître, dans le cadre d’une affaire en 2003 diligentée par une association de consommateurs agréée, contre un prestataire ayant introduit dans ses conditions générales de vente des clauses autorisant la modification unilatérale des termes du contrat sans motif valable et spécifiée, exonérant de l’obligation précontractuelle d’information, ne fixant qu’un délai 143. Recommendations for the security of Internet Payments, Banque centrale européenne, janv. 2013 ; final guidelines on the security of internet payments, Banque centrale européenne, 19 déc. 2014. V. égal. dir. n° 2015/2366/UE du 25 novembre 2015 concernant les services de paiement dans le marché intérieur, JOUE n° L. 337, 23 déc. 2015, p. 35 et s. 144. CA Versailles, 16e ch., 18 nov. 2010, n° 09/06634, « Authentification et sécurisation des opérations bancaires », Com. com. électr. 2011, comm. 94, É. A. Caprioli. 145. En matière de services financiers, le législateur n’a pas systématiquement interdit les modifications touchant pourtant à des éléments substantiels du contrat. Ainsi, à titre d’illustration, le fournisseur de services financiers peut modifier le taux d’intérêt dû par le consommateur ou le montant de toute charge sans motif légitime mais à condition que celui-ci soit informé et puisse résilier immédiatement le contrat (C. consom., art. R. 212-3 et R. 212-4).
60 | B anque
et
a ssurance
digitales
indicatif de livraison ou, encore et entre autres, limitant le droit à réparation en cas de retard de livraison. Si l’ensemble de ces clauses a bien évidemment été censuré, le Tribunal de grande instance de Paris n’a pas sanctionné la « clause d’exonération de responsabilité relative à la navigation sur le site »146. La prise en considération du caractère incompressible d’une certaine marge de risque technique pour le prestataire n’était pas nouvelle, il est vrai147. S’il est compréhensible de ne pas faire peser sur le prestataire l’aléa impondérable du fonctionnement des réseaux, d’aucuns s’interrogent sur les limites de cette « compréhension » : « l’opérateur d’un site Web a la maîtrise des outils techniques qui lui permettent de rendre publiques ses offres, de réaliser des contrats, et de les exécuter. En tant que professionnel, ne doit-il pas tout mettre en œuvre pour garantir aux consommateurs la réalisation de leurs attentes légitimes ? En d’autres termes, l’utilisation de techniques en tant que support du contrat ne crée-t-elle pas une obligation essentielle de fonctionnement dont l’exploitant d’un site Web ne peut se décharger ? »148. 92. À n’en pas douter, les clauses exagérément exonératoires de toute responsabilité face à des problèmes techniques (bugs, défaut de transmission des ordres clients, ou défaut en termes de délai, etc.) seront certainement censurées compte tenu de l’« altération de la qualité », entre autres choses. Ceci étant, des concepts tels que l’« altération de qualité » ou tels que des « caractéristiques auxquelles le non-professionnel ou le consommateur a subordonné son engagement ont pu figurer au contrat » sont suffisamment indéterminés dans leurs contours pour laisser la place à l’aléa de l’interprétation. Aussi, il ne semble pas exclu que le développement des systèmes de sécurité informatique et de l’usage d’Internet comme support des contrats financiers impose au professionnel une vigilance particulière et la mise en place de systèmes de sécurité élevée. L’exonération systématique de l’établissement bancaire ou l’assurance en cas de panne ou de problème technique pourrait alors être considérée comme abusive, compte tenu du cas particulier du consommateur en ligne de prestations financières et assurantielles. 93. Le sort et la portée du dispositif légal en matière de clauses abusives sont nécessairement tributaires du périmètre géographique dans lesquels il s’exerce. En matière de contrat en ligne, la tentation est évidemment grande de contourner les restrictions protectrices des consommateurs en proposant des services financiers à partir de territoires plus permissifs et moins regardant sur les abus prohibés précédemment évoqués. Là encore, les réglementations européenne et nationales se sont mises à niveau pour y remédier et assurer la légitime protection des consommateurs. 146. https://www.legalis.net/jurisprudences/tribunal-de-grande-instance-de-paris-jugement-du4-fevrier-2003 147. T. com. Paris, 11 oct. 2000, Com. com. électr. 2000, comm. 129, obs. J.-C. Galloux. 148. TGI Paris, 4 févr. 2003, D. 2003, AJ 762, obs. C. Manara.
e njeux
et réalités de la protection des consommateurs en ligne
| 61
SECTION VI L’IMPACT POUR LES CONSOMMATEURS DE LA NATURE « HORS SOL » DES CONTRATS DE BANQUE ET D’ASSURANCE DIGITALE 94. De par leur digitalisation, les contrats d’assurance et de banque en ligne sont des contrats que l’on pourrait qualifier de techniquement déterritorialisés, « hors sol »149 en quelque sorte. La possibilité pour une banque ou une assurance étrangère d’offrir ses services à des consommateurs français n’a jamais été aussi techniquement facilitée. La problématique de l’aménagement en opportunité du droit applicable et de la tentation de contourner l’effectivité des mesures de protection du consommateur, qui plus est dans le cadre de contrat d’adhésion, est donc une véritable préoccupation pour le législateur, au niveau national mais aussi européen. § 1 – Au niveau de la réglementation européenne A.
Le niveau de la protection du consommateur
95. Concernant le droit applicable, il conviendra, bien évidemment, de se référer aux règles standards établies par l’article 4 du règlement n° 593/2008/ CE du Parlement européen et du Conseil du 17 juin 2008 sur la loi applicable aux obligations contractuelles (Rome I)150. Ainsi, en termes d’interdiction des clauses abusives, les risques sont amortis dans le cadre des opérations ayant lieu au sein de l’Union européenne, par l’effet la transposition de la directive n° 93/13/CEE du Conseil du 5 avril 1993 concernant les clauses abusives dans les contrats conclus avec les consommateurs151, mais également par l’effet des dispositions de la directive du 25 octobre 2011 relative aux droits des consommateurs152 qui impose à l’article 25 que : « si le droit applicable au contrat est le droit d’un État membre, le consommateur ne peut renoncer aux droits qui lui sont conférés par les dispositions nationales transposant la présente directive ». En réalité, le véritable risque se situe au niveau des contrats d’adhésion avec des établissements de banque et d’assurance en ligne situés en dehors du territoire de l’Union européenne, avec fatalement des clauses attributives de compétences à la loi du lieu d’établissement. Le risque a d’ailleurs été identifié dans le cadre du considérant 22 de la directive n° 93/13/CEE, qui met en garde contre le danger « dans certains cas, de priver le consommateur de la protection accordée par la présente directive en désignant le droit d’un pays tiers comme droit applicable au contrat ». 149. Pour une approche de droit international privé, v. É. A. Caprioli, Droit international de l’économie numérique, préf. R. Sorieul, Litec, 2007. 150. Règl. n° 593/2008/CE, 17 juin 2008 : JOUE n° L. 177, 4 juill. 2008, p. 6 et s. 151. Dir. n° 93/13/CEE, 5 avr. 1993, JOUE n° L. 95, 21 avr. 1993, p. 29 et s. 152. V. notamment C. consom., art. L. 121-24.
62 | B anque
et
a ssurance
digitales
96. Relevons que le considérant (58) de la directive n° 2011/83/UE du 25 octobre 2011 relative aux droits des consommateurs153, qui modifie la directive n° 93/13/ CEE : « Le consommateur ne devrait pas être privé de la protection accordée par la présente directive. Si le droit applicable au contrat est celui d’un pays tiers, le règlement n° 593/2008/CE devrait s’appliquer afin de déterminer si le consommateur continue de bénéficier de la protection garantie par la présente directive ». B.
Le critère déterminant et néanmoins incertain du « lien étroit »
97. La directive n° 93/13/CEE prend pleinement en compte le danger opérationnel pour les consommateurs au travers de son article 6-2 : « Les États membres prennent les mesures nécessaires pour que le consommateur ne soit pas privé de la protection accordée par la présente directive du fait du choix du droit d’un pays tiers comme droit applicable au contrat, lorsque le contrat présente un lien étroit avec le territoire des États membres ». Pour rendre effective cette disposition, tout l’enjeu consistera à cerner et définir ce concept de « lien étroit ». Il s’agit d’une gageure particulièrement ardue, spécialement depuis la jurisprudence de la CJUE du 9 septembre 2004154 qui disqualifie la possibilité de dresser des critères précis et déterminés de rattachement pour caractériser le lien étroit, tel que le domicile du consommateur ou le lieu de conclusion ou d’exécution du contrat. La Cour a ainsi rappelé que « si la notion délibérément vague de « lien étroit » que le législateur communautaire a retenue peut éventuellement être concrétisée par des présomptions, elle ne saurait en revanche être limitée par une combinaison de critères de rattachement prédéfinis, tels que les conditions cumulatives relatives à la résidence et à la conclusion du contrat visé à l’article 5 de la Convention de Rome »155. Il n’existe donc pas de critères prédéterminés et, a fortiori, dans le domaine des contrats bancaires et d’assurance avec les consommateurs. Si cela peut apparaître comme un facteur d’incertitude, la Cour a clairement indiqué sa motivation de ne pas restreindre son examen des situations à une acception objectiviste et donc étroite et étriquée. La protection du consommateur sera donc certainement appréciée de manière stricte et sévère à la charge des prestataires de services à distance. Le fait est que l’article 6-2 semble interagir – d’autres diront se superposer ou même percuter – les dispositions de l’article 6 du règlement Rome I portant sur les contrats de consommation en retenant l’application de « la loi du pays où le consommateur a sa résidence habituelle, à condition que le professionnel : 153. Dir. n° 2011/83/UE, 25 oct. 2011, JOUE n° L. 304, 22 nov. 2011, p. 64 et s. 154. CJUE, aff. C-70-03, Commission c/ Espagne, Juris-Data n° 2004-400014. 155. M. Audit, « Condamnation de l’Espagne pour transposition incorrecte de la directive du 5 avril 1993 concernant les clauses abusives dans les contrats conclus avec les consommateurs », Rev. crit. DIP 2005, 451.
e njeux
et réalités de la protection des consommateurs en ligne
| 63
a) exerce son activité professionnelle dans le pays dans lequel le consommateur a sa résidence habituelle, ou b) par tout moyen, dirige cette activité vers ce pays ou vers plusieurs pays, dont celui-ci, et que le contrat rentre dans le cadre de cette activité ». Il convient, cependant, de relever que ces dispositions ne s’appliqueront pas « aux droits et obligations qui constituent des instruments financiers, et aux droits et obligations qui constituent les modalités et conditions qui régissent l’émission ou l’offre au public et les offres publiques d’achat de valeurs mobilières, et la souscription et le remboursement de parts d’organismes de placement collectif, dans la mesure où ces activités ne constituent pas la fourniture d’un service financier ». § 2 – Au niveau de la législation nationale
98. Le droit français de la consommation, transposant les dispositions européennes, impose que l’on examine la règle entre les États membres, d’une part, et dans les rapports avec les États tiers, d’autre part. A.
Les règles entre États membres
99. Concernant les rapports consuméristes à distance entre États membres, le législateur français a repris les dispositions strictes du droit communautaire, l’article L. 232-3 du Code de la consommation indiquant que : « Nonobstant toute stipulation contraire, le consommateur ne peut être privé de la protection que lui assurent les dispositions prises par un État membre de l’Union européenne en application de la directive du Parlement européen et du Conseil du 25 octobre 2011 relative aux droits des consommateurs, modifiant la directive n° 93/13/CEE du Conseil et la directive du Parlement européen et du Conseil et abrogeant la directive n° 85/577/CEE du Conseil et la directive du Parlement européen et du Conseil, lorsque le contrat conclu à distance ou hors établissement présente un lien étroit avec le territoire de cet État ». B.
Les rapports avec les États tiers et l’explicitation de la notion de lien étroit
100. Concernant les situations plus délicates impliquant une contractualisation avec un opérateur d’un État tiers, la législation française156 reste conforme à sa tradition de protectionnisme consumériste, et ce en parfaite harmonie avec le niveau de protection du droit européen au travers, notamment, de l’article L. 232-1 du Code de la consommation concernant les clauses abusives : « Nonobstant toute stipulation contraire, le consommateur ne peut être privé de la protection que lui assurent les dispositions prises par un État membre de l’Union européenne en application de la directive n° 93/13/CEE du Conseil, du 5 avril 1993, concernant les clauses abusives dans les contrats conclus avec les consommateurs lorsque le contrat présente un lien étroit avec le territoire d’un État membre ». 156. A. Tenenbaum, « Les dispositions de la loi Hamon sur le droit applicable », RDC 2014, p. 503 et s.
64 | B anque
et
a ssurance
digitales
101. Concernant précisément la notion de lien étroit, pour laquelle s’impose une approche in concreto suivant la jurisprudence de la Cour de Justice157, l’article L. 231-1 du Code de la consommation est venu utilement donner quelques points d’ancrage avec une liste non exhaustive et non cumulative de critères, particulièrement importants dans le cadre des prestations en ligne : « Pour l’application des articles L. 232-1, L. 232-2, L. 232-3 et L. 232-4, un lien étroit avec le territoire d’un État membre est réputé établi notamment : 1° Si le contrat a été conclu dans l’État membre du lieu de résidence habituelle du consommateur ; 2° Si le professionnel dirige son activité vers le territoire de l’État membre où réside le consommateur, sous réserve que le contrat entre dans le cadre de cette activité ; 3° Si le contrat a été précédé dans cet État membre d’une offre spécialement faite ou d’une publicité et des actes accomplis par le consommateur nécessaire à la conclusion de ce contrat ; 4° Si le contrat a été conclu dans un État membre où le consommateur s’est rendu à la suite d’une proposition de voyage ou de séjour faite, directement ou indirectement, par le vendeur pour l’inciter à conclure ce contrat ». 102. Dans le cadre de la banque et l’assurance en ligne, c’est plus précisément le deuxième critère avec la notion d’« activité dirigée » qui apparaît comme le plus pertinent. Ce critère de l’« activité dirigée » est le même que celui énoncé par le règlement « Bruxelles I »158 concernant la compétence judiciaire, la reconnaissance et l’exécution des décisions en matière civile et commerciale, que l’on retrouve également à l’article 6 de « Rome I »159, à l’article 17, 1 c) de Bruxelles bis160 ou encore au sein de la jurisprudence161. Cette notion d’« activité dirigée » laisse un espace à l’interprétation suffisamment large pour se demander si le simple accès au site Internet permet de caractériser le fait que l’activité soit dirigée. Dans le cadre de deux affaires jointes, ayant donné 157. CJUE, 9 sept. 2004, v. supra. 158. Règlement (CE) n° 44/2001 du Conseil du 22 décembre 2000 concernant la compétence judiciaire, la reconnaissance et l’exécution des décisions en matière civile et commerciale, JOUE n° L. 12, 16 janv. 2001, p. 1 et s. (art. 15, 1 c). 159. Règlement (CE) n° 593/2008, 17 juin 2008, considérant 24, mais également le préambule et l’article 6. 160. Règlement (UE) n° 1215/2012 du Parlement européen et du Conseil du 12 décembre 2012 concernant la compétence judiciaire, la reconnaissance et l’exécution des décisions en matière civile et commerciale (Bruxelles bis – refonte de Bruxelles I). 161. V. ainsi les arrêts Pammer et Hôtel Alpenhoff, CJUE, 7 déc. 2010, aff. jtes C-585/08 et C-144/09, JCP éd. G 2011, p. 226, note L. d’Avout ; M.-E. Ancel, « Un an de droit international privé du commerce électronique », Com. com. électr. 2011, chron. 1 ; JDI 2011, p. 915, note V. Pironon ; RDC 2011, p. 511, obs. C. Aubert de Vincelles ; p. 567, obs. E. Treppoz. V. également CJUE, 14 nov. 2013, aff. C-478-12, A. et M. Maletic c/ lastminute.com et TUI ; M.-E. Ancel, « Un an de droit du commerce électronique », Com. com. électr. 2014, chron. 1 ; RLDC 2014, p. 15, note C. Le Galloux.
e njeux
et réalités de la protection des consommateurs en ligne
| 65
lieu à un arrêt en date du 7 décembre 2010162, la CJUE a considéré qu’il ne fallait pas nécessairement « interpréter les termes “dirige ces activités vers” comme visant la simple accessibilité d’un site Internet dans des États membres autres que celui dans lequel le commerçant concerné est établi »163. En réalité, la Cour de Justice oriente l’analyse vers une appréciation in concreto sur la base de l’analyse du faisceau d’indices164. Ainsi, il conviendra de déterminer « si la volonté du commerçant de cibler un ou plusieurs autres États membres est requise et, si tel est le cas, sous quelle forme une telle volonté doit se manifester »165. Si la volonté du prestataire apparaît équivoque, plusieurs indices peuvent être analysés tels que la mention selon laquelle le professionnel offre ses services dans un ou plusieurs États membres nommément désignés166 ou encore la mention de coordonnées téléphoniques, la langue utilisée, la clientèle internationale dans différents États membres167, etc. 103. Compte tenu du caractère minutieux du droit positif en matière de critères de rattachement dans le cadre consumériste, il est difficilement concevable que les contrats en matière de banque et d’assurance en ligne échappent aux dispositions protectrices du consommateur établies par le droit européen et transposées dans les législations des États membres. D’ailleurs, la sécurité offerte par ces dispositions contribuera certainement à la meilleure propagation de tels services en ligne. Cet alignement des intérêts du consommateur et des prestataires en banque et assurance en ligne est, à cet égard, tout à fait souhaitable168.
162. CJUE, 7 déc. 2010, aff. C-585/08 et C-144/09, Pammer et Hotel Alpenhof. Dans le même sens, CJUE, 6 sept. 2012, aff. C-190/11, Mühlleitner : Juris-Data n° 2012-020019. CJUE, 17 oct. 2013, aff. C-218/12, Emrek : Juris-Data n° 2013-022866. 163. Point 69 de la décision. 164. Dans le même sens, CJUE, gde ch., 12 juill. 2011, aff. C-324/09, RLDI 2011/74, n° 2444 ; v. comm. L. Grynbaum, in RLDI précitée, n° 2459 ; C. Castets-Renard, in RLDI préc., n° 2460. La CJUE, après avoir repris le principe selon lequel la simple accessibilité d’un site Internet n’est pas un critère absolu, indique qu’« il incombe, par conséquent, aux juridictions nationales d’apprécier au cas par cas s’il existe des indices pertinents pour conclure qu’une offre à la vente, affichée sur une place de marché en ligne accessible sur le territoire couvert par la marque, est destinée à des consommateurs situés sur celui-ci ». 165. Point 64 de la décision. 166. Point 81 de la décision. 167. Point 83 et 84 de la décision. 168. Sur l’opportunité d’invoquer les dispositions de l’ordonnance du 10 février 2016 concernant les clauses abusives en tant que lois de police, v. L. Abadie, « Clause abusive et banque en ligne », RDBF n° 3, mai 2016, dossier 20, p. 98 et 99 : « (…) un examen attentif du nouveau texte montre (...) que le champ des clauses abusives est circonscrit aux seuls contrats d’adhésion ce qui relativise quelque peu la promotion envisagée et il convient également de se rappeler qu’une extension par trop importante de la catégorie des lois de police pourrait avoir pour conséquence une application impérialiste de la loi du for et donc une remise en cause du système de règlement des conflits de lois qui se singularise essentiellement en matière contractuelle au travers du principe d’autonomie. Certains juges du fond s’engagent toutefois d’ores et déjà dans cette voie en matière commerciale (…) ».
CHAPITRE II La protection des données à caractère personnel 104. À l’instar d’autres pans réglementaires (v. partie I, chapitres I et III), la protection des données à caractère personnel vient s’inscrire dans l’ère du numérique. Mais le mouvement n’est pas unilatéral et de fait, la digitalisation imprègne aussi les principes de ce droit spécifique relevant des droits et libertés fondamentaux169. 105. À l’évidence, la transformation digitale est protéiforme : présente dans les nouvelles modalités de contractualisation qui ont tendance à fleurir au sein des secteurs bancaires et assurantiels, à l’origine de nouvelles catégories de données personnelles qui portent notre identité numérique, visible via les supports de communication qui irradient le marché… Mais c’est également l’annonce de nouveaux traitements aux promesses au moins aussi grandes que les dangers qu’ils sont susceptibles d’engendrer pour les libertés et les droits fondamentaux. S’il est techniquement possible de s’appuyer sur la « datification du monde », suivant la formule utilisée par la Présidente de la « CNIL » (Commission nationale informatique et libertés) elle-même, et de bénéficier des fruits des traitements de Big Data, il est déjà aussi question de devoir combattre la dictature des algorithmes. 106. D’un point de vue strictement juridique, pour rappel, les bases du cadre de la protection des données à caractère personnel ont été posées par la directive n° 95/46/CE du 24 octobre 1995170 dont l’objectif était « de coordonner les législations des États membres pour que le flux transfrontalier de données à caractère personnel soit réglementé d’une manière cohérente et conforme à l’objectif du marché intérieur »171. Une grande marge de manœuvre a été laissée aux États membres172 pour transposer cette directive (pour l’obligation d’information incombant au responsable de traitement173, pour les droits des 169. Sur le sujet, v. spéc. : A. Debet, J. Massot, N. Metallinos, Informatique et Libertés, Lextenso, 2015 ; G. Desgens-Pasanau, La protection des données à caractère personnel, LexisNexis, 2e éd., 2015. 170. Dir. n° 95/46/CE, 24 oct. 1995, relative à la protection des personnes physiques à l’égard du traitement de données à caractère personnel et à la libre circulation de ces données, JOCE n° L. 281, 23 nov. 1995. 171. Dir. n° 95/46/CE, cons. 8. 172. Dir. n° 95/46/CE, cons. 9. 173. Avis n° 10/2004 du Groupe de travail G29 [WP100] adopté le 27 novembre 2004 sur les « Dispositions davantage harmonisées en matière d’information ».
68 | B anque
et
a ssurance
digitales
personnes concernées174 ou pour les formalités préalables à la mise en œuvre des traitements de données175). En conséquence de quoi, des législations très différentes d’un pays à l’autre ont été adoptées. Les nombreuses divergences nationales sur les principes de protection des données à caractère personnel ont malheureusement abouti à une application fragmentée et non cohérente de la réglementation européenne, au point que la question du droit applicable à des traitements de données transfrontières s’est même posée176 et a fait l’objet de différentes saisines de la CJUE177. 107. Outre l’insécurité juridique inhérente à l’absence d’harmonisation des législations nationales, le cadre européen de protection des données à caractère personnel s’est avéré inadapté à la configuration actuelle de l’exploitation de ces données et aux nouveaux défis portés par l’ère du numérique tels que la généralisation des services en ligne, la constitution de méga bases de données ou l’externalisation des traitements de données et le recours massif aux prestataires de « Cloud computing »… sans que cette liste soit exhaustive. 108. La refonte en profondeur du cadre de la protection des données à caractère personnel au sein de l’Union européenne s’est donc imposée. Annoncée en 2010 par la Commission européenne178, ce n’est qu’au bout de quatre années
174. Dir. n° 95/46/CE, art. 13. 175. Rapport du Groupe de travail G29 [WP106] adopté le 18 janvier 2005 sur l’obligation de notification aux autorités nationales de contrôle, sur la meilleure utilisation des dérogations et des simplifications et sur le rôle des détachés à la protection des données dans l’Union européenne. 176. Avis n° 8/2010 du Groupe de travail G29 [WP179] adopté le 16 décembre 2010 sur « le droit applicable ». 177. Par ex., v. l’arrêt C-473/12 de la CJUE du 7 novembre 2013, Institut professionnel des agents immobiliers (IPI) c/ Geoffrey Englebert, Immo 9 SPRL, Grégory Francotte, en présence de l’Union professionnelle nationale des détectives privés de Belgique (UPNDP), Association professionnelle des inspecteurs et experts d’assurances ASBL (APIEA), Conseil des ministres, sur l’application du droit belge. Cet arrêt a rappelé la simple faculté – et non l’obligation – des États membres à « transposer dans leur droit national une ou plusieurs des exceptions que (l’article 13 § 1 de la directive n° 95/46/CE) prévoit à l’obligation d’informer les personnes concernées du traitement de leurs données à caractère ». V. également l’arrêt C-582/14 de la CJUE (deuxième chambre) du 19 octobre 2016, Patrick Breyer c/ Bundesrepublik Deutschland – Demande de décision préjudicielle, introduite par le Bundesgerichtshof. La Cour a, entre autres, considéré que « l’article 7, sous f), de la directive n° 95/46 doit être interprété en ce sens qu’il s’oppose à une réglementation d’un État membre en vertu de laquelle un fournisseur de services de médias en ligne ne peut collecter et utiliser des données à caractère personnel afférentes à un utilisateur de ces services, en l’absence du consentement de celui-ci, que dans la mesure où cette collecte et cette utilisation sont nécessaires pour permettre et facturer l’utilisation concrète desdits services par cet utilisateur, sans que l’objectif visant à garantir la capacité générale de fonctionnement des mêmes services puisse justifier l’utilisation desdites données après une session de consultation de ceux-ci ». 178. Communication de la Commission au Parlement européen, au Conseil, au Comité économique et social européen et au Comité des régions sur une « Une approche globale de la protection des données à caractère personnel dans l’Union européenne » du 4 novembre 2010 [COM (2010) 609 final].
la
protection des données à caractère personnel
| 69
d’âpres négociations avec le Parlement européen et le Conseil179, que la révision de la directive n° 95/46/CE a abouti à l’adoption du règlement européen sur la protection des données du 27 avril 2016180. Entré en vigueur le 24 mai 2016, il sera applicable à compter du 25 mai 2018 dans chaque État membre de l’Union européenne quasi uniformément181. Il est question d’extra-territorialité du RGPD. Ce qui ne change pas : le RGPD s’applique aux traitements de données mis en œuvre « dans le cadre des activités d’un établissement d’un responsable du traitement ou d’un sous-traitant sur le territoire de l’Union, que le traitement ait lieu ou non dans l’Union ». Ce qui change est que le règlement s’appliquera « au traitement des données à caractère personnel relatives à des personnes concernées qui se trouvent sur le territoire de l’Union par un responsable du traitement ou un sous-traitant qui n’est pas établi dans l’Union, lorsque les activités de traitement sont liées : a) à l’offre de biens ou de services à ces personnes concernées dans l’Union, qu’un paiement soit exigé ou non desdites personnes ; ou b) au suivi du comportement de ces personnes, dans la mesure où il s’agit d’un comportement qui a lieu au sein de l’Union ». De fait, le champ d’application du règlement est volontairement défini de façon très large, de manière à prendre en compte l’Internet (et les GAFA) et le critère retenu est celui de la personne concernée par le traitement de données. 109. Le choix d’un règlement plutôt qu’une directive atteste de la volonté d’appliquer le même droit sur la protection des données à caractère personnel au sein de tous les États de l’Union européenne. Les objectifs du RGPD s’inscrivent dans la construction d’« un cadre de protection des données solide et plus cohérent dans l’Union, assorti d’une application rigoureuse des règles, car il importe de susciter la confiance qui permettra à l’économie numérique de se développer dans l’ensemble du marché intérieur »182.
179. Quelques 3 999 amendements entre la version initiale de la Commission en 2012 et celle du Parlement européen de 2014 ‒ Résolution législative du Parlement européen du 12 mars 2014 sur la proposition de règlement du Parlement européen et du Conseil relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données) (COM(2012)0011 – C7-0025/2012 – 2012/0011(COD). 180. Règlement n° 2016/679/UE du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive n° 95/46/CE (règlement général sur la protection des données), JOUE 4 mai 2016, n° L. 119, p. 1. V. spéc. : hors-série Banque & Droit, « Protection des données. Commentaires sur le règlement européen du 27 avril 2016 », mars-avr. 2017. 181. Sous réserve des dispositions qui renvoient à la compétence discrétionnaire des États membres (art. 84 – sanctions autres qu’administratives, par ex.). 182. Considérant 7 du RGPD.
70 | B anque
et
a ssurance
digitales
Pour autant, le règlement ne modifie pas fondamentalement les principes de protection qui ont été posés par la directive n° 95/46/CE, les changements à anticiper se situent plutôt sur les procédures et les mesures techniques, organisationnelles et fonctionnelles qu’il va falloir mettre en place. Le texte comporte de fait de nombreuses références, voire exigences quant à la mise en œuvre concrète des principes telles que les précisions relatives à la documentation. 110. Partant, l’objectif de ce chapitre est de situer la réglementation applicable au secteur bancaire et à celui des assurances, dans un contexte général de digitalisation, et de présenter globalement les évolutions à venir pour 2018, pour : – le cadre et les principes de la protection des données (section I) ; – les opérations de prospection directe (section II) ; – le profilage et les traitements de Big Data (section III) ; – les transferts de données vers des États tiers (section IV).
SECTION I LE CADRE DE LA PROTECTION ET CERTAINES DE SES ÉVOLUTIONS À ANTICIPER 111. La reprise des principes de protection de la directive n° 95/46/CE par la loi « Informatique et Libertés » a été complétée par l’action de la CNIL183 et, pour rappel, le secteur bancaire ainsi que celui des assurances ont fait l’objet de nombreuses décisions à tous les niveaux (délibérations portant sur les formalités, recommandations et sanctions)184. À l’instar de la directive n° 95/46/CE, la loi française « Informatique et Libertés » modifiée n’a pas échappé à l’obsolescence juridique. Dans l’attente du futur cadre de protection, de nouvelles obligations vont devoir être d’ores et déjà intégrées par les responsables de traitement. En particulier, la loi n° 2016-1321 du 7 octobre 2016 pour une République numérique185 est venue compléter la loi « Informatique et Libertés » modifiée, certaines dispositions étant d’application immédiate alors que d’autres sont différées, dans l’attente des
183. V. infra § 1. 184. Délibération CNIL n° 2006-174 du 28 juin 2006 prononçant une sanction pécuniaire à l’encontre du Crédit Lyonnais. V. le lien : https://www.cnil.fr/sites/default/files/typo/document/ D2006_174_Credit_Lyonnais.pdf. Il s’agissait de la première sanction pécuniaire prononcée par la CNIL, mettant en avant le passage à une autre dimension répressive face aux infractions constatées. 185. Loi n° 2016-1321 du 7 octobre 2016 pour une République numérique, JO 8 oct. 2016.
la
protection des données à caractère personnel
| 71
décrets d’application (prévus pour 2017) ou alignées sur l’entrée en application du règlement européen. 112. L’article 54 de la loi pour une République numérique modifie l’article 1er de la loi « Informatique et Libertés » en introduisant un principe d’auto-détermination de la personne concernée sur ses données, comme l’avait préconisé le Conseil d’État dans son étude annuelle de 2014186. Il est expressément prévu que « toute personne dispose du droit de décider et de contrôler les usages qui sont faits des données à caractère personnel la concernant », étant précisé que ce droit n’est pas un droit de propriété sur les données et ne permet donc pas de les louer ou de les céder. 113. Plus que pour d’autres secteurs encore, le déploiement des activités de banque et d’assurance en ligne exacerbe l’importance et l’acuité de la protection des données dans un contexte de mutation réglementaire qui redistribue la gouvernance des données (§ 1) et repositionne la définition de régimes de protection adaptés aux différentes catégories de données personnelles (§ 2). Si, dans un souci de continuité, l’application d’un ensemble de principes est reprise par le RGPD (§ 3), force est de constater un mouvement dans le sens du renforcement des droits des personnes (§ 4). § 1 – La gouvernance des données
114. La gouvernance de la réglementation des données personnelles se déploie sur trois échelles : – au niveau européen, par le biais du Contrôleur européen à la protection des données (CEPD) et le G29, incontournables institutions de la protection des données personnelles187 ; – au niveau national et, en France, par la CNIL (A) ; – et au niveau de l’organisme qui traite des données personnelles, a fortiori les sociétés bancaires et assurantielles, via la fonction de correspondant à la protection des données, désigné sous l’acronyme de « CIL » dont la fonction est profondément modifiée par le RGPD. En effet, au niveau de l’entreprise, la désignation d’un délégué à la protection des données personnelles est obligatoire à partir de 2018 et il veillera au respect de la réglementation en la matière, suivant un degré d’exigences substantiellement rehaussé (B). 186. Conseil d’État, Étude annuelle 2014, Le numérique et les droits fondamentaux, La documentation française, p. 237 et s. 187. Pour une présentation du Contrôleur européen à la protection des données, v. N. Vandelle, « Le contrôleur européen de la protection des données et la protection des données personnelles dans l’administration européenne », Rev. UE 2012, p. 44. V. également les développements sur le Comité européen des données suite au RGPD par J.-L. Sauron, « Le règlement général sur la protection des données, règlement (UE) n° 2016/679 du 27 avril 2016 : de quoi est-il le signe ? », Com. com. électr. 2016, étude 16.
72 | B anque
A.
et
a ssurance
digitales
Rappel du statut et des principales prérogatives de la CNIL188
115. La CNIL est une autorité administrative indépendante (article 11 de la loi « Informatique et Libertés »). Elle n’a donc aucun lien de subordination avec une éventuelle autorité hiérarchique ; elle reçoit ni ordre, ni instruction. Elle a une mission générale d’information et de veille (article 11 de la loi « Informatique et Libertés »). Elle informe et protège les particuliers et les professionnels (article 11-1° et article 11-2°). Elle peut, entre autres, émettre des avis sur des projets de loi ou décret (article 11-4°-a), et des recommandations (article 11-4°-f) de la loi « Informatique et Libertés ») qui sont publiées au Journal officiel. La CNIL dispose d’un pouvoir de contrôle : – a priori, en examinant les déclarations de traitement (article 11-2°-a) et les demandes d’autorisation préalable (article 25) à leur mise en œuvre, ou en délivrant des autorisations de transfert de données ; – a posteriori en effectuant des contrôles sur place ou à distance (article 44). La CNIL peut également prononcer des sanctions (article 45), spécialement des sanctions pécuniaires (jusqu’à 3 millions d’euros ‒ article 47). La CNIL dans sa mission de sanction est considérée comme une juridiction189 : elle est donc soumise aux règles fondamentales du contradictoire et du respect des droits de la défense. Il convient de souligner qu’en matière bancaire et assurantielle, les pouvoirs de la CNIL sont particulièrement larges et intrusifs. Ainsi, l’article 21 de la loi « Informatique et Libertés » dispose que : « les ministres, autorités publiques, dirigeants d’entreprises, publiques ou privées, responsables de groupements divers et plus généralement les détenteurs ou utilisateurs de fichiers nominatifs ne peuvent s’opposer à l’action de la Commission ou de ses membres et doivent au contraire prendre toutes mesures utiles afin de faciliter sa tâche ». Il semble que le secret bancaire lui-même n’y résiste pas. L’obligation générale de la désignation d’un « Délégué à la protection des données » vient approfondir l’assise de la CNIL, jusque-là déjà bien relayée par le Délégué à la protection des données à caractère personnel (CIL).
188. Pour une présentation complète, v. T. Dautieu, « La Commission nationale de l’informatique et des libertés – Évolution, indépendance et composition » : J.-Cl. Communication, LexisNexis, Fasc. 4731. 189. CE, 6 nov. 2009, Interconfort, n° 304300, Publié au Recueil Lebon et CE, 6 nov. 2009, Pro décor, n° 304301, inédit.
la B.
protection des données à caractère personnel
| 73
Quelques lignes directrices sur le Délégué à la protection des données190
116. Le règlement du 27 avril 2016 rend obligatoire d’ici à 2018 la désignation, pour certaines structures, d’un Délégué à la protection des données personnelles (DPD). Ainsi que le souligne utilement M. Sauron, les entreprises, et a fortiori les banques et les assurances, compte tenu de la spécificité des données traitées par leurs activités, « doivent se préparer à mettre en place un délégué à la protection des données et à participer à la rédaction de code de conduite », l’enjeu n’étant plus « d’aller à un guichet administratif pour obtenir une autorisation ou un quitus, mais d’engager une véritable culture de la conformité »191. Ce changement de paradigme est aisément identifiable à l’examen des missions élargies du DPD en comparaison avec celles du Correspondant informatique et libertés (CIL) dont la désignation n’était alors qu’une simple faculté. De plus, le DPD se voit doté de moyens spécifiques et renforcés, dont les établissements bancaires et assurantiels doivent prendre la mesure pour maîtriser au mieux cette « administration de la conformité »192. 1.
La désignation du Délégué à la protection des données personnelles
117. L’article 37 du règlement n° 2016/679 relatif à la protection des données à caractère personnel prévoit la désignation d’un Délégué à la protection des données personnelles (« Data Protection Officer » – DPO) obligatoire dans trois cas : – lorsque le traitement est effectué par une autorité publique ou un organisme public ; – lorsque le traitement permet un suivi régulier et systématique des personnes à grande échelle ; ou – lorsqu’il porte sur des données sensibles (visées à l’article 9) ou pénales (visées à l’article 10), à grande échelle. En dehors de ces cas, il est toujours possible de désigner un délégué à la protection des données et les États membres peuvent rendre sa désignation obligatoire. Auparavant, la nomination du correspondant était une simple faculté laissée à la libre volonté des responsables de traitement. Cette faculté n’a été que peu 190. B. Fauvarque-Cosson, « Du Correspondant informatique et libertés (CIL) au délégué à la protection des données (DPD) : entre continuité et changements », hors-série Banque & Droit, mars-avr. 2017, p. 38 et s. 191. J.-L. Sauron, « Le règlement général sur la protection des données, règlement n° 2016/679/ UE du 27 avril 2016 : de quoi est-il le signe ? », Com. com. électr. 2016, étude 16. E. Jouffin, « Présentation du Règlement général sur la protection des données », hors-série Banque & Droit, mars-avr. 2017, p. 4 et s. 192. Ibid.
74 | B anque
et
a ssurance
digitales
utilisée dans le secteur de la banque. Mais cela va s’imposer avec l’entrée en application du nouveau règlement. a.
La procédure
118. La procédure de désignation change sensiblement pour le délégué. Le délégué à la protection des données est désigné par le responsable du traitement et le sous-traitant. Les coordonnées du délégué doivent être publiées par le responsable du traitement des données ou le sous-traitant et communiquées à l’autorité de contrôle. En revanche, il n’a pas été prévu d’information des instances représentatives du personnel comme c’était le cas en l’espèce pour le correspondant (article 45 du décret n° 2005-1309). Le délégué peut être un membre du personnel du responsable du traitement ou du sous-traitant, ou exercer ses missions sur la base d’un contrat de service. Le correspondant pouvait également être externalisé lorsque le nombre de personnes chargées de la mise en œuvre du traitement est inférieur à 50 (article 44 du décret n° 2005-1309)193. Le même délégué peut être désigné pour un groupe d’entreprise à la condition qu’il soit facilement joignable depuis chaque lieu d’établissement. b.
La qualification
119. Actuellement, la question de la qualification (formation initiale ou formation continue) reste toujours entière. Le délégué à la protection des données est désigné sur la base des qualités professionnelles et, en particulier, des connaissances spécialisées du droit et des pratiques en matière de protection des données et de sa capacité à accomplir les missions visées à l’article 39. On remarque qu’il y a peu de changement avec le correspondant dans la mesure où ce dernier devait bénéficier des qualifications requises pour exercer ses missions (article 22 de la loi « Informatique et Libertés »). De toute évidence, comme pour le correspondant, le profil doit être transversal, le délégué doit avoir des connaissances en droit, en informatique, des notions de sécurité informatique, mais également de la structure et des métiers, en l’occurrence, de la banque et de l’assurance.
193. G. Desgens-Pasanau, Le correspondant « informatique et libertés », LexisNexis, coll. Droit & Professionnels, 2013. É. A. Caprioli et I. Cantero, « Les nouvelles obligations faites aux responsables de traitements de données à caractère personnel », JCP éd. E, 2007, 1976.
la c.
protection des données à caractère personnel
| 75
Les incompatibilités
120. Les incompatibilités relatives à l’exercice de la fonction de délégué s’inscrivent dans la continuité de celles prévues pour le correspondant. En effet, il ne faut pas que l’exercice d’autres missions ou tâches entraîne un « conflit d’intérêts » (article 38-6 du RGPD). Aucune précision n’est apportée quant à l’exercice cumulé des fonctions de DPD et de responsable de traitement, mais on peut penser que ce qui vaut déjà pour le « Correspondant informatique et libertés » (CIL), à savoir l’incompatibilité entre les deux fonctions (article 46 du décret n° 2005-1309), vaudra pour le DPD (article 38-3 du RGPD). En effet, il était déjà admis que le correspond ne pouvait pas se confondre en la personne du responsable de traitement. 2.
Les missions
121. Le délégué est garant du respect de la réglementation. D’un point de vue pratique, il est le représentant de la CNIL au sein de la structure qui l’a désigné. Les fonctions peuvent être exercées pour une durée déterminée ou indéterminée. Ses missions se rapprochent fortement de celles prévues aux articles 49 et 51 du décret n° 2005-1309194 pour le correspondant en ce qu’il doit : a) contrôler l’application de la réglementation et contrôler les règles internes en la matière (article 39-1-b) du RGPD) ; b) informer et conseiller le responsable du traitement ou le sous-traitant ainsi que les employés sur les obligations légales en matière de protection des données (article 39-1-a) du RGPD) ; c) réceptionner les réclamations (article 38-4 du RGPD) ; d) coopérer avec l’autorité de contrôle (article 39-1-d) du RGPD) ; e) être un point de contact avec l’autorité de contrôle (article 39-1-d) du RGPD). Toutefois, il se voit également attribuer une mission relative à l’analyse d’impact, puisqu’il devra, en effet, dispenser des conseils, sur demande, en ce qui concerne l’analyse d’impact relative à la protection des données et vérifier son exécution. Le délégué doit également tenir compte dans ses missions du risque associé aux opérations de traitement compte tenu de la nature, de la portée, du contexte et des finalités du traitement (article 39-2 du RGPD). 194. JO 22 oct. 2005, p. 16769 ; v. l. Cantero, « Commentaire du décret », Com. com. électr. 2006, étude 6, p. 25.
76 | B anque
et
a ssurance
digitales
On remarque que le Délégué ne sera pas en charge de la tenue du registre des traitements comme c’était le cas pour le correspondant (article 48 du décret n° 2005-1309), pas plus que le bilan annuel (article 49 du décret n° 2005-1309). 3.
Les moyens
122. Le délégué comme le correspondant possède une liberté dans sa mission dans la mesure où il ne reçoit aucune instruction (article 46 du décret n° 2007451195 et article 38-3 du RGPD). Mais le délégué se voit doté de moyens qui n’avaient pas été prévus pour le correspondant. En effet, pour exercer ses missions le délégué doit être rattaché au niveau le plus élevé de la direction du responsable du traitement ou du soustraitant (article 38-3 du RGPD). De plus, il devra être associé à toutes les questions de protection des données, de manière appropriée et en temps utile (article 38-1 du RGPD). Il doit disposer des ressources nécessaires pour exercer ces missions (humaines et financières), avoir accès aux données à caractère personnel et aux opérations de traitement (article 38-2 du RGPD). Enfin, il devra être en mesure d’entretenir des connaissances spécialisées (article 38-2 du RGPD). 4.
Le statut
123. Le statut du délégué sera également un statut protecteur, comme celui du correspondant. Le règlement précise que le délégué ne doit recevoir aucune instruction en ce qui concerne l’exercice de ses missions (article 38-3 du RGPD et article 46 du décret n° 2007-451). Le délégué ne peut être pénalisé ou relevé de ses fonctions par le responsable du traitement ou le sous-traitant pour l’exercice de ses fonctions (article 38-3 du RGPD). En conséquence, le délégué dispose d’un statut « particulier » protecteur. Le principe d’immunité est repris puisqu’il était déjà prévu pour le correspondant (article 22-III de la loi « Informatique et Libertés »). Le règlement a prévu que le délégué est lié par le secret professionnel ou la confidentialité dans l’exercice de ses tâches (article 38-5 du RGPD). Ce qui n’était pas prévu pour le correspondant.
195. Décret n° 2007-451 du 25 mars 2007, disponible sur : http://www.caprioli-avocats.com. D. n° 2007-451, 25 mars 2007 modifiant le régime de protection des personnes à I’égard des traitements de données à caractère personnel, JO 28 mars 2007.
la 5.
protection des données à caractère personnel
| 77
Les responsabilités
124. Aucune disposition spécifique du règlement ne permet de clarifier la responsabilité effective du délégué à la protection des données personnelles. Rien n’avait été également prévu pour le correspondant. Il semble toutefois que seule l’entreprise soit à considérer comme responsable de tout manquement aux obligations de la loi vis-à-vis des personnes concernées par les traitements, et que le correspondant ne sera pas responsable. Le délégué ne devrait donc pas non plus voir sa responsabilité engagée. En outre, la délégation de pouvoirs avec transfert du risque pénal auprès du DPD ne semble pas possible au même titre que ce qui vaut déjà pour le CIL, au risque de confondre sa mission avec celle du responsable des traitements. Le rôle particulier du DPD au sein des établissements bancaires et assurantiels sera d’autant plus déterminant et impactant pour ces derniers que le volume important et que la qualité particulière des données qu’ils sont amenés à recueillir et à traiter les placent au cœur des préoccupations des autorités de contrôles, telle que la CNIL en France. § 2 – Le principe d’une protection différenciée selon les catégories de données
125. Plusieurs catégories de données méritent une attention particulière car elles sont traitées par les banques ou les assurances en raison de leurs activités respectives, et plus particulièrement dans un environnement digital (A). Les données intrinsèquement liées à l’identité numérique des personnes relèvent, quant à elles, d’un régime spécifique inhérent à leur nature (B). A.
Les données protégées
126. À l’instar du monde physique, dans un environnement numérique, la protection des données personnelles impose de distinguer selon la nature de ces données et veille à garantir un régime destiné à préserver la nécessaire confidentialité des données relatives à la santé (1) et des données bancaires (2). Cela est d’autant plus vrai que parmi les données susceptibles d’être collectées et traitées, les données relatives au mineur (3) et celles concernant une personne décédée (4) disposent également d’un cadre juridique particulier. 1.
Les données relatives à la santé
127. L’article 8 de la loi « Informatique et Libertés » pose un principe d’interdiction pour la collecte et le traitement des données à caractère personnel d’une personne se rapportant à ses origines raciales, ethniques, ses opinions politiques ou religieuses, des informations relatives à sa santé ou
78 | B anque
et
a ssurance
digitales
à sa vie sexuelle. Le consentement exprès de la personne concernée est une des dérogations admises au principe d’interdiction de traitement de ce type de données. Pour autant, aucune loi ne doit s’y opposer. Le fait de traiter ces données sans y être autorisé, est passible des sanctions prévues par l’article 226-19 du Code pénal (jusqu’à 5 ans d’emprisonnement et 300 000 euros d’amende). Concrètement, des traitements portant sur ces catégories de données ne sont pas, en principe, susceptibles d’être mis en œuvre par les établissements bancaires et par les entreprises d’assurance196, à l’exception des données de santé pour ces dernières. 128. En effet, pour la souscription à un contrat, il est demandé à la personne (contrat souscrit par voie électronique en agence) ou à l’internaute (contractualisation en ligne) de remplir un questionnaire de santé dont la teneur peut varier selon les entreprises d’assurance. Le questionnaire ou des informations relatives à la santé peuvent également être requis pour la déclaration de sinistre (qui pourra aussi, lorsque la procédure est prévue, être réalisée en ligne via le site Internet de l’assureur). La personne concernée est tenue de fournir certaines informations liées à son état de santé (rente invalidité, intervention chirurgicale, arrêts de travail, pathologies, traitements médicaux, etc.). 129. Pour rappel, à défaut de définition légale, la notion de données de santé à caractère personnel est en principe entendue dans son sens le plus large comme en atteste la jurisprudence. La CJUE a rendu un arrêt de principe le 6 novembre 2003197 considérant que les données de santé incluaient les « informations 196. V. infra partie I, chapitre II, section III : Profilage – Big Data. 197. CJCE, 6 nov. 2003, aff. C-101/01, Bodil Lindqvist. La CJCE a eu à connaître de cette affaire par le biais de plusieurs questions préjudicielles posées par la juridiction d’appel suédoise, confrontée à des difficultés d’interprétation de la directive n° 95/46/CE du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel. L’espèce concernait une Suédoise qui avait publié sur son site, crée à l’attention des paroissiens, à son domicile et avec son ordinateur personnel, des données à caractère personnel concernant un certain nombre de personnes qui travaillent, comme elle, à titre bénévole dans ladite paroisse de l’Église protestante de Suède, et ce sans leur accord préalable et sans déclaration à l’organisme public en charge de la protection des données. Ainsi, la juridiction de renvoi demandait, entre autres, « si l’indication du fait qu’une personne s’est blessée au pied et est en congé de maladie partiel constitue une donnée à caractère personnel relative à la santé au sens de l’article 8, paragraphe 1, de la directive n° 95/46/CE ». La Cour a considéré qu’il convenait de « donner à l’expression “données relatives à la santé” employée à son article 8, paragraphe 1, une interprétation large de sorte qu’elle comprenne des informations concernant tous les aspects, tant physiques que psychiques, de la santé d’une personne » ; ainsi, « l’indication du fait qu’une personne s’est blessée au pied et est en congé de maladie partiel constitue une donnée à caractère personnel relative à la santé au sens de l’article 8, paragraphe 1, de la directive n° 95/46/CE ». Cet arrêt a également affirmé que « l’opération consistant à faire référence, sur une page Internet, à diverses personnes et à les identifier soit par leur nom, soit par d’autres moyens, par exemple leur numéro de téléphone ou des informations relatives à leurs conditions de travail et à leurs passe-temps, constitue un “traitement de données à caractère personnel, automatisé en tout ou en partie”, au sens de l’article 3, paragraphe 1, de la directive n° 95/46/CE ». Ainsi, un tel traitement de
la
protection des données à caractère personnel
| 79
concernant tous les aspects, tant physiques que psychiques, de la santé d’une personne ». Dans sa recommandation du 4 février 1997 sur le traitement des données de santé à caractère personnel198, la CNIL a estimé qu’il s’agit de « données, qui sont directement ou indirectement nominatives à l’égard du patient ou du professionnel de santé ». Sous cette recommandation, la CNIL montre qu’elle a une interprétation très large de la notion de données de santé à caractère personnel en y incluant toute donnée permettant d’obtenir des indices sur l’état de santé d’une personne. Les autorisations de traitements portant sur des données de santé qui sont délivrées par la CNIL attestent de cette interprétation. À ce titre, l’autorisation n° 2011-46 du 8 septembre 2011 de mise en œuvre d’un traitement de données de santé à caractère personnel par une société prestataire informatique précise que les données de santé à caractère personnel qui sont collectées pour le traitement sont des informations relatives à l’acte de soin délivré, aux montants remboursables, aux produits délivrés et prescrits (code identification du médicament ou produit, quantités, tarif unitaire, montant total). 130. Le RGPD pose une définition très large de la notion qui rejoint l’interprétation de la jurisprudence et de la CNIL sur le périmètre des données de santé. Ainsi, aux termes de l’article 4-15), cette catégorie comprend « les données à caractère personnel relatives à la santé physique ou mentale d’une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l’état de santé de cette personne ». 131. Concrètement, le questionnaire dématérialisé (rempli en ligne ou en agence) devra permettre de garantir la stricte confidentialité des informations transmises, étant rappelé que les données relatives à la santé sont couvertes par le secret professionnel prévu par l’article 226-13 du Code pénal qui en interdit la libre circulation ou divulgation. Les banques, en revanche, n’ont pas, en principe, à traiter de données relatives à la santé dans le cadre de leurs activités (sauf pour les assurances souscrites pour leurs produits). 2.
Les données bancaires
132. Concrètement, la notion de données bancaires renvoie à une pluralité d’informations ayant trait à l’identification de la personne, de ses comptes (en ce compris, le code IBAN, les informations relatives à ses moyens de paiement, les transactions réalisées…). Les données bancaires sont également couvertes par le secret professionnel. Ce principe a été rappelé par la Cour de cassation199 données à caractère personnel n’est couvert par aucune des exceptions figurant à l’article 3 § 2 de la directive n° 95/46/CE. V. M. Nicolella, note sous l’arrêt, Gaz. Pal. 12 juin 2004, n° 164. 198. Recommandation n° 97-008 du 4 février 1997 sur le traitement des données de santé à caractère personnel. 199. Cass. com., 18 sept. 2007, n° 06-10.663 : l’affaire concernait un client qui poursuivait en responsabilité sa banque pour défaut d’information au prétexte de ne pas avoir été informé
80 | B anque
et
a ssurance
digitales
qui a estimé que le secret professionnel auquel sont soumises les banques, en vertu de l’article L. 511-33 du Code monétaire et financier, vise à protéger les clients de toute demande de renseignements par des tiers (données chiffrées, coordonnées bancaires, identité et autres). 133. Le secret bancaire ne couvre pas toutes les informations que les établissements seraient susceptibles de connaître comme, par exemple, certaines données factuelles ou des renseignements commerciaux d’ordre général et économique sur la solvabilité200. Pour autant, la notion de donnée bancaire reçoit une acception large et ces informations sont en général des données à caractère personnel (permettant d’identifier même de façon indirecte le client de la banque). 134. La multiplication des services de banque en ligne (accès aux comptes, virements, messagerie électronique, etc.)201 invite les établissements bancaires à renforcer leurs procédures de sécurisation des données bancaires, mais la protection des données personnelles rejoint sur ce point le droit bancaire (par exemple la gestion du risque opérationnel, la lutte contre la fraude externe, etc.)202. 135. Sur les transactions réalisées en ligne (règlement du contrat par exemple), les entreprises d’assurance, sont tenues de se conformer aux exigences de la CNIL203. Le développement du commerce sur Internet et des transactions en ligne a amené la CNIL à modifier en 2013 sa recommandation de 2003 sur le traitement des données relatives à la carte de paiement204. La CNIL indique que la collecte du numéro de carte de paiement par le e-commerçant doit répondre à certaines finalités limitativement énumérées :
200. 201.
202. 203. 204.
par son banquier de la situation financière d’un autre client, situation lui ayant occasionné un préjudice. La Cour de cassation a clairement affirmé que « l’obligation au secret professionnel à laquelle sont tenus les établissements de crédit leur interdit de fournir à un client qui en formule la demande des renseignements autres que simplement commerciaux d’ordre général et économique sur la solvabilité d’un autre de leurs clients ». Dans cette espèce, la Cour souligne également que le demandeur n’avait pas formulé de demande en ce sens à sa banque qui n’était pas tenue d’elle-même de lui fournir une quelconque information. Sur cet arrêt, v. RDBF 2007, n° 6, p. 46, obs. F.-J. Crédot et Th. Samin, RLDA 2007/21, n° 1284, Banque & Droit 2008, n° 117, p. 27, obs. Th. Bonneau. CA Versailles, 23 mars 1994, Juris-Data n° 1994-044277 ; Cass. com., 18 sept. 2007, n° 0610.663 : Juris-Data n° 2007-040414. É. A. Caprioli et I. Cantero, « La protection des données à caractère personnel dans le cadre de la banque en ligne », Banque & Droit, « Quel droit pour le développement de la banque en ligne ? », hors-série, juin 2013, p. 64 et s ; É. A. Caprioli (ss. La dir.), I. Cantero, I. Choukri, P. Agosti ; F. Coupez, La banque en ligne et le droit, RB Édition, 2014, p. 19 et s. Arrêté du 3 novembre 2014 relatif au contrôle interne des entreprises du secteur de la banque, des services de paiement et des services d’investissement soumis au contrôle de l’Autorité de contrôle prudentiel et de résolution, JO 5 nov. 2014, p. 18598. V. infra partie I, chapitre II, section I - § 3. B : « L’accomplissement des formalités déclaratives ». Délibération n° 2013-358 du 14 novembre 2013 portant adoption d’une recommandation concernant le traitement des données relatives à la carte de paiement en matière de vente de biens ou de fourniture de services à distance et abrogeant la délibération n° 03034 du 19 juin 2003.
la
protection des données à caractère personnel
| 81
« – la réservation d’un bien ou d’un service ; – la conservation du numéro de la carte du client afin de faciliter ses éventuels achats ultérieurs sur le site du commerçant ; – l’offre de solutions de paiement dédiées à la vente à distance par des prestataires de services de paiement (cartes virtuelles, « wallets », comptes rechargeables, etc.). Ces solutions visent à éviter aux consommateurs de saisir les données relatives à leur carte lors d’achats effectués à distance ; – la lutte contre la fraude à la carte de paiement ». 136. En outre, la CNIL recommande aux responsables de traitements d’utiliser uniquement des services de paiement en ligne sécurisés, « conformes à des référentiels reconnus en matière de sécurisation de données relatives à la carte au niveau européen ou international (par exemple le standard PCI DSS) »205 ainsi qu’à la réglementation applicable. La CNIL s’est toujours montrée très vigilante sur les mesures prises par le responsable de traitement pour la sécurité et la confidentialité de ces données, comme en attestent par exemple ses avertissements publics prononcés à l’encontre de deux grandes enseignes, pour la collecte et la conservation en clair des numéros de cartes bancaires et du cryptogramme206. 3.
Les données relatives aux mineurs
137. La loi pour une République numérique a modifié l’article 40 de la loi « Informatique et Libertés » pour y introduire un droit à l’effacement spécifique, au bénéfice des personnes mineures, étant précisé que le RGPD aborde également le droit à l’effacement à l’article 17. En pratique, les traitements de données mis en œuvre par les banques comme ceux réalisés par les entreprises d’assurance restent sous la responsabilité des représentants légaux des mineurs concernés et cela conditionne notamment la licéité de la collecte des données, ainsi que le recueil du consentement. 4.
Les données des personnes décédées
138. L’article 63 de la loi pour une République numérique a consacré la « mort numérique »207, principe qui figure désormais à l’article 40-1 de la loi « Informatique et Libertés ». Cet article indique que « toute personne peut définir des directives relatives à la conservation, à l’effacement et à la communication de ses données à caractère personnel après son décès ». Ces directives peuvent être générales (pour l’ensemble des données à caractère personnel concernant 205. Article 5 de la délibération n° 2013-358 du 14 novembre 2013, préc. 206. Délibération de la formation restreinte n° 2012-214 du 19 juillet 2012 portant avertissement à l’encontre de la société Fnac Direct ; Délibération de la formation restreinte n° 2016-265 du 20 septembre 2016 prononçant un avertissement public à l’encontre de la société CDiscount. 207. Contrairement à l’arrêt rendu par le Conseil d’État en date du 8 juin 2016, n° 386525.
82 | B anque
et
a ssurance
digitales
le défunt) et pourront être enregistrées chez un tiers de confiance. Elles peuvent être particulières (pour des traitements spécifiquement mentionnés dans ces directives) et sont enregistrées auprès des responsables de traitement concernés. Pour les directives particulières, le consentement spécifique de la personne est requis et elles ne peuvent résulter de la seule approbation des conditions générales d’utilisation. Ces directives sont modifiables et révocables à tout moment. L’objectif est bien de permettre d’exécuter la volonté du défunt quant au sort de ses données. Les directives permettent de désigner une personne chargée de leur exécution. À défaut de désignation, les héritiers ont qualité pour prendre connaissance des directives et demander leur mise en œuvre aux responsables de traitement concernés. En l’absence de directives ou de mention contraire dans lesdites directives, l’accès aux données du défunt est possible, dans la mesure nécessaire « à l’organisation et au règlement de la succession du défunt » et « à la prise en compte, par les responsables de traitement, de son décès ». Dès lors, la gestion des données relatives aux clients nécessite de prendre en compte les directives susceptibles d’avoir été enregistrées avant le décès. Des procédures adaptées doivent être mises en place afin de prendre acte des directives. B.
Les identifiants numériques
139. L’identité numérique repose sur un ensemble d’informations dont certaines sont assimilées à des données à caractère personnel en ce qu’elles permettent d’identifier indirectement une personne. Plusieurs types d’identifiants numériques peuvent être listés telles les informations communiquées pour la création d’un compte en ligne, le login/mot de passe, les certificats électroniques d’authentification et de signature électronique, etc. Mais la protection intéresse aussi les traces laissées par l’utilisateur de services de communication en ligne, des questionnements particuliers ayant été soulevés par l’adresse IP (1) et par les témoins de connexion (2). 1.
L’adresse IP
140. « Une adresse IP (Internet Protocol) est un identifiant numérique unique qui est nécessaire à tout dispositif qui se connecte à l’Internet. Il est attribué par les fournisseurs d’accès Internet et par les gestionnaires de réseaux locaux. Ceux-ci peuvent, par des moyens raisonnables, identifier les utilisateurs de l’Internet, car ils enregistrent systématiquement dans un fichier la date, l’heure, la durée et l’adresse IP dynamique de chaque connexion »208.
208. Parlement européen, Question parlementaire du 12 mars 2013 sur la définition de l’adresse IP.
la
protection des données à caractère personnel
| 83
L’adresse IP peut être statique (la même pour chaque connexion à Internet) ou dynamique (nouvelle adresse attribuée par un fournisseur d’accès à Internet à chaque fois que le terminal se connecte au réseau). Dès 2000, dans un avis sur le respect de la vie privée sur Internet209, le G29 a considéré que « les fournisseurs d’accès Internet et les gestionnaires des réseaux locaux peuvent, en utilisant des moyens raisonnables, identifier les utilisateurs Internet auxquels ils ont attribué des adresses IP, du fait qu’ils enregistrent systématiquement dans un fichier les date, heure, durée et adresse dynamique IP donnée à l’utilisateur Internet. Il en va de même pour les fournisseurs de services Internet qui conservent un fichierregistre sur le serveur HTTP. Dans ces cas, on peut parler, sans l’ombre d’un doute, de données à caractère personnel ». Dans un avis de 2007 sur le concept de données à caractère personnel210, pour l’adresse IP dynamique, le G29 a précisé « à moins que les fournisseurs d’accès Internet soient en mesure de déterminer avec une certitude absolue que les données correspondent à des utilisateurs non identifiables, par mesure sécurité, ils devront traiter toutes les informations IP comme des données à caractère personnel ». Pour autant, dans un premier temps, les décisions judiciaires n’ont pas suivi cette interprétation. Ainsi, la Cour d’appel de Paris, dans deux arrêts rendus les 27 avril et 15 mai 2007211, au sujet de téléchargements illégaux en « Peer to Peer », avait refusé de voir en l’adresse IP une donnée à caractère personnel dans la mesure où, pour la Cour, seul le terminal pouvait être identifié et non la personne utilisatrice. 141. En 2013, dans le cadre de sa sanction pécuniaire la plus élevée (150 000 euros) prononcée à l’encontre de la société Google212, la CNIL a tout de même retenu que la « qualification de données à caractère personnel peut ainsi s’appliquer non seulement à l’adresse IP et aux données collectées par le vecteur des cookies, mais également à tous les types d’identifiants uniques, tels que celui du terminal ou d’un composant du terminal de l’utilisateur, le résultat du calcul d’empreinte dans le cas du fingerprinting, ou encore l’identifiant généré par un logiciel ou un système d’exploitation ».
209. G29 [WP 37], « Le respect de la vie privée sur Internet – Une approche européenne intégrée sur la protection des données en ligne », adopté le 21 novembre 2000. 210. G29 – Avis n° 4/2007 sur le concept de données à caractère personnel [WP 136] adopté le 20 juin 2007, p. 18. 211. CA Paris, 27 avril 2007, n° 06/02334. Sur cet arrêt, v. F. Mattatia, « Internet face à la loi « Informatique et Libertés » : l’adresse IP est-elle une donnée à caractère personnel ? », Gaz. Pal. 2008, n° 13 à 15, p. 9. CA Paris, 15 mai 2007, 06/01954, Com. com. électr. 2007, comm. 144, obs. C. Caron. La cour a relevé que l’adresse IP est une série de chiffres qui « ne constitue en rien une donnée indirectement nominative relative à la personne dans la mesure où elle ne se rapporte qu’à une machine, et non à l’individu qui utilise l’ordinateur pour se livrer à la contrefaçon ». 212. Délibération n° 2013-420 de la formation restreinte prononçant une sanction pécuniaire à l’encontre de la société Google Inc.
84 | B anque
et
a ssurance
digitales
Cette position a enfin été consacrée par la jurisprudence européenne, puis en France. 142. La Cour de Justice européenne (CJUE) a été saisie d’une question préjudicielle par la Cour suprême allemande portant sur le fait de savoir si une adresse IP dynamique était une donnée à caractère personnel. Cette demande était présentée dans le cadre d’un litige opposant un internaute allemand à la République Fédérale d’Allemagne au sujet de l’enregistrement de son adresse IP sans son consentement lors de la consultation des différents sites institutionnels. Par un arrêt en date du 19 octobre 2016213, la CJUE conclut que « l’adresse IP d’un internaute enregistrée par un éditeur de site à l’occasion de la consultation du site par cette personne est une donnée à caractère personnel lorsque ledit éditeur dispose de moyens légaux lui permettant de faire identifier la personne concernée grâce aux informations supplémentaires dont dispose le fournisseur d’accès à Internet de cette personne ». 143. La Cour de cassation a indiqué dans un arrêt du 3 novembre 2016214 que « les adresses IP, qui permettent d’identifier indirectement une personne physique, sont des données à caractère personnel, de sorte que leur collecte constitue un traitement de données à caractère personnel et doit faire l’objet d’une déclaration préalable auprès de la CNIL ». 144. Ces arrêts anticipent la position prise par le RGPD selon laquelle l’adresse IP est un identifiant en ligne (au même titre que les cookies) et la combinaison des traces laissées sur l’Internet avec ces identifiants peut laisser des traces sur Internet et la combinaison des traces à des identifiants uniques et d’autres informations reçues par les serveurs peuvent « servir à créer des profils de personnes physiques et à identifier ces personnes »215. La définition nouvelle des données à caractère personnel, qui est posée par l’article 4, vise expressément la possibilité d’identifier une personne physique indirectement notamment « par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne ». 2.
Les témoins de connexion (cookies)
145. Un « témoin de connexion » est officiellement défini en France comme une « appliquette envoyée par un serveur de la toile mondiale à un utilisateur, parfois à l’insu de celui-ci, au cours d’une connexion afin de caractériser cet utilisateur.
213. CJUE, 19 oct. 2016, aff. C-582/14, N. Metallinos, « Statut de l’adresse IP - Arrêt Breyer : la Cour de Justice de l’Union européenne prône une approche réaliste », Com. com. électr. 2016, comm. 104. 214. Cass. civ. 1re, 3 nov. 2016, n° 15-22.595, publié au Bulletin. V. R. Perray, « L’adresse IP : (enfin !) une donnée personnelle pour la Cour de cassation », JCP éd. G, n° 49, 5 déc. 2016, 1310. 215. Considérant 30 du RGPD.
la
protection des données à caractère personnel
| 85
Par extension, information que l’appliquette peut enregistrer sur le disque de l’utilisateur et à laquelle le serveur peut accéder ultérieurement »216. Les témoins de connexion sont des technologies utilisées par différents acteurs du Web (moteurs de recherche, éditeurs de sites tels que les banques et les assurances, éditeurs de systèmes d’exploitation et d’applications, régies publicitaires, réseaux sociaux) qui permettent de tracer la navigation des internautes, de l’analyser ainsi que les déplacements, les consultations, les achats et plus globalement les habitudes en ligne de la personne. La prise en compte de ces « traceurs » par la réglementation sur les données à caractère personnel est issue de la transposition du « Paquet Télécom »217, ensemble de directives qui ont modifié la directive n° 2002/58/CE du 12 juillet 2002218 dite directive « vie privée et communications électroniques ». Cette réglementation leur est applicable car même si ces technologies ne sont pas, par nature, des données à caractère personnel, elles peuvent permettre d’y accéder et de les utiliser. 146. Dans sa recommandation sur les cookies de 2013219, la CNIL vise spécifiquement : les cookies http, les cookies « flash », les pixels invisibles ou Web bugs, les identifications par calcul d’empreinte du terminal connecté (« fingerprinting »), et tout autre identifiant généré par un logiciel ou un système d’exploitation. La CNIL utilise le terme cookie pour qualifier l’ensemble de ces « mouchards électroniques » qui permettent d’accéder à des informations qui sont stockées dans l’équipement terminal d’une personne utilisatrice d’un service de communications électroniques ou à inscrire des informations sur cet équipement. Concrètement, il s’agit des cookies qui sont déposés ou lus « lors de la consultation d’un site Internet, de la lecture d’un courrier électronique, de l’installation ou de l’utilisation d’un logiciel ou d’une application mobile, quel que
216. Définition France terme, ministère de la Culture et de la Communication, JO 16 mars 1999. 217. Directive n° 2009/136/CE du Parlement européen et du Conseil et directive n° 2009/140/CE du Parlement européen et du Conseil du 25 novembre 2009 modifiant les directives n° 2002/21/ CE relative à un cadre réglementaire commun pour les réseaux et services de communications électroniques, n° 2002/19/CE relative à l’accès aux réseaux de communications électroniques et aux ressources associées, ainsi qu’à leur interconnexion, et n° 2002/20/CE relative à l’autorisation des réseaux et services de communications électroniques, JOUE n° L. 337, 18 déc. 2009, p. 11 et p. 37 ; v. L. Rapp, op. cit. ; v. égal. F. Foster, « Le nouveau Paquet Télécom : instrument de l’intensification de la régulation sectorielle ? », Gaz. Pal. 24 avr. 2010, n° 114. 218. Directive n° 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (Directive « vie privée et communications électroniques »), JOUE n° L. 201, 31 juill. 2002, p. 37 ; v. N. Campagne, « Réalité et limites de la protection de la vie privée des entreprises », Revue Lamy droit de l’immatériel, n° 101, 1er févr. 2014 ; v. également G. Cordier, « Focus sur la directive n° 2009/136/CE du 25 novembre 2009 modifiant la directive n° 2002/58/CE concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques : optons pour une interprétation pragmatique de l’utilisation des cookies ? », Revue Lamy Droit de l’immatériel, n° 57. 219. Délibération n° 2013-378 du 5 décembre 2013 portant adoption d’une recommandation relative aux cookies et aux autres traceurs visés par l’article 32-II de la loi du 6 janvier 1978, JO 26 déc. 2013.
86 | B anque
et
a ssurance
digitales
soit le système d’exploitation, le navigateur ou le terminal utilisés (par exemple un ordinateur, une tablette, un ordiphone ou Smartphone, une télévision connectée, une console de jeux vidéo connectée au réseau Internet) ». La CNIL distingue deux catégories de cookies : ceux pour lesquels une simple information (néanmoins complète) est requise et ceux pour lesquels le consentement préalable est nécessaire préalablement à leur installation sur l’équipement terminal de la personne concernée ou leur lecture. L’article 32-II de la loi « Informatique et Libertés » pose un principe de transparence selon lequel : « l’abonné ou utilisateur d’un service de communications électroniques doit être informé de manière claire et complète, sauf s’il l’a été au préalable, par le responsable du traitement ou son représentant : – de la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement ; – des moyens dont il dispose pour s’y opposer ». 147. Les cookies, qui peuvent être déposés ou lus sous réserve d’en informer la personne concernée, sont ceux qui ont pour finalité exclusive de permettre ou faciliter la communication par voie électronique (cookie de session), les cookies de navigation strictement nécessaires à la fourniture d’un service expressément demandé par l’internaute (panier d’achat, par exemple). Certains cookies de mesure d’audience sont également visés. Le détail des conditions requises pour l’exemption de consentement préalable pour les cookies de mesure d’audience est donné par l’article 6 de la recommandation de la CNIL de 2013 précitée supra qui indique que la personne doit être informée de leur dépôt et de la façon de s’y opposer, étant précisé que le mécanisme d’opposition doit être « facilement utilisable sur l’ensemble des terminaux, des systèmes d’exploitation, des applications et des navigateurs Internet ». En outre, la finalité de ces mesures d’audience est strictement limitée et exclusive de toute possibilité de profilage. De fait, elles ne doivent pas permettre d’identifier l’internaute (portée limitée à un seul éditeur de site, pas de recoupement avec d’autres fichiers clients ou avec des statistiques d’autres sites, adresse IP limitée à la ville). Elles participent à la production de statistiques anonymes exclusivement. A contrario, plusieurs catégories de cookies ne peuvent pas être déposées ou lus tant que la personne n’a pas donné son consentement. Sont visés les cookies comportementaux liés aux opérations de publicité ciblée220, certains cookies de 220. V. chapitre II, section II - § 2. A : La constitution des fichiers de prospects. É. A. Caprioli, « Loi du 6 août 2004. Commerce à distance sur l’Internet et protection des données à caractère personnel », Com. com. électr. 2005, étude 7 et le numéro spécial de la revue Com. com. électr., févr. 2005 consacré à la loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel et modifiant la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ; E. Jouffin
la
protection des données à caractère personnel
| 87
mesure d’audience (ex. identification de l’internaute) telles les solutions « Analytics » (« Google Analytics » ou « Universal Analytics »). Sont également concernés les cookies des réseaux sociaux qui sont générés par les boutons de partage dès lors que ces derniers collectent des données personnelles. 3.
Les données pseudonymisées
148. En son considérant 26, le RGPD explicite qu’« il y a lieu d’appliquer les principes relatifs à la protection des données à toute information concernant une personne physique identifiée ou identifiable ». Cette dernière formule désigne les données pseudonymisées, étant entendu que la possibilité d’identifier une personne passe par la prise en compte de « l’ensemble des moyens raisonnablement susceptibles d’être utilisés par le responsable du traitement ou par toute autre personne pour identifier la personne physique directement ou indirectement, tels que le ciblage ». C’est ainsi que le règlement a pris en considération la généralisation des techniques de pseudonymisation qui entrent donc pleinement dans le périmètre réglementaire des données à caractère personnel. 149. L’utilité et parfois la nécessité même de la pseudonymisation des données – en tant que traitement permettant de ne pas divulguer l’identité et de la maintenir cachée – sont aisément identifiables dans le cadre de démarches ou d’opérations à but statistique ou en matière de e-santé et de recherche. Elle présente l’avantage remarquable d’assurer une sorte de confidentialité dans l’appréhension et la circulation de certaines catégories de données et d’en faciliter la collecte et le traitement. Compte tenu des enjeux, ce procédé a été défini dans le cadre de l’article 4, alinéa 5, du RGPD comme un « traitement de données à caractère personnel de telle façon que celles-ci ne puissent plus être attribuées à une personne concernée précise sans avoir recours à des informations supplémentaires, pour autant que ces informations supplémentaires soient conservées séparément et soumises à des mesures techniques et organisationnelles afin de garantir que les données à caractère personnel ne sont pas attribuées à une personne physique identifiée ou identifiable ». Contrairement à l’anonymisation, la possibilité d’une « ré-identification » de la personne, par l’utilisation d’« information additionnelle » n’est pas compromise, puisque, la pseudonymisation repose sur des mécanismes de « retraçage » « raisonnablement susceptibles d’être utilisés pour identifier une personne physique ». Ces mécanismes s’apprécient à la lumière d’un « ensemble de facteurs objectifs, tels que le coût de l’identification et le temps nécessaire à celle-ci, en tenant compte des technologies disponibles au moment du traitement et de l’évolution de celles-ci ». et X. Lemarteleur, « Un nouvel état de l’art pour les banques en matière de gestion de la relation clients/prospects ? », Banque & Droit, n° 146, nov.-déc. 2012, p. 16-23.
88 | B anque
et
a ssurance
digitales
Usuellement, et entre autres, il s’agira de la mise en correspondance de listes de pseudonymes et celles des identités réelles (ou tout autre procédé garantissant notamment le caractère aléatoire et imprévisible des choix de correspondance) ou bien des techniques sécurisées de cryptage/décryptage. Il convient de souligner que le processus de pseudonymisation est bien un traitement au sens de l’article 4, alinéa 2, du RGPD dans la mesure où des données personnelles ont bien été recueillies en amont pour ensuite devenir des données « pseudonymisées ». 150. Rappelons, par contraste, que si le processus d’anonymisation constitue bien un traitement au sens de l’article 4, alinéa 5, du RGPD – pour les mêmes raisons que celles précitées pour la pseudonymisation – une donnée anonyme (donc irréversible) ne constitue pas une donnée personnelle et n’entre pas dans le cadre du RGPD. Dès lors, une fois anonyme – c’est-à-dire transformée en « informations ne concernant pas une personne physique identifiée ou identifiable, ni aux données à caractère personnel rendues anonymes de telle manière que la personne concernée ne soit pas ou plus identifiable »221, la donnée peut être librement traitée. Ce n’est pas le cas de la donnée « pseudonymisée ». 151. La définition du RGPD situe donc la pseudonymisation comme une technique de sécurisation du traitement des données, au même titre que le chiffrement par exemple. Si le RGPD fait ouvertement la promotion du processus de pseudonymisation222 en relevant qu’elle « peut réduire les risques pour les personnes concernées et aider les responsables du traitement et les soustraitants à remplir leurs obligations en matière de protection des données », il indique également ne pas viser « à exclure toute autre mesure de protection des données ». § 3 – L’application des principes de protection aux services de banque et d’assurance en ligne A.
Le principe de finalité
152. La finalité d’un traitement est intrinsèquement liée à l’activité du responsable de traitement. Dès lors, même dans un contexte de rapprochement des activités bancaires et d’assurances, chaque traitement doit être appréhendé en fonction 221. Considérant 26 du RGPD. 222. V. en ce sens, notamment le considérant 29, qui indique : « Afin d’encourager la pseudonymisation dans le cadre du traitement des données à caractère personnel, des mesures de pseudonymisation devraient être possibles chez un même responsable du traitement, tout en permettant une analyse générale, lorsque celui-ci a pris les mesures techniques et organisationnelles nécessaires afin de garantir, pour le traitement concerné, que le présent règlement est mis en œuvre, et que les informations supplémentaires permettant d’attribuer les données à caractère personnel à une personne concernée précise soient conservées séparément. Le responsable du traitement qui traite les données à caractère personnel devrait indiquer les personnes autorisées à cet effet chez un même responsable du traitement ».
la
protection des données à caractère personnel
| 89
de sa finalité propre. En outre, le principe de finalité conditionne en amont celui de collecte loyale et licite qui est posé par l’article 6 de la loi « Informatique et Libertés ». Cet article impose, en effet, au responsable de traitement d’informer la personne préalablement à l’enregistrement et à l’utilisation de ses données. Le contenu de l’information est prévu par l’article 32 de la loi « Informatique et Libertés » et porte notamment sur l’identité de l’organisme qui réalise la collecte, les finalités poursuivies par le traitement, les destinataires des données, les droits reconnus à la personne et, le cas échéant, le transfert de données vers un État tiers (ne présentant pas un niveau de protection jugé suffisant par référence au droit de l’Union européenne). La loi du 7 octobre 2016 pour une République numérique a ajouté l’obligation d’informer la personne concernée par un traitement de son « droit de définir des directives relatives au sort de ses données à caractère personnel après sa mort »223 et « de la durée de conservation des catégories de données traitées ou, en cas d’impossibilité, des critères utilisés permettant de déterminer cette durée »224. 153. En application du principe de proportionnalité, les données collectées doivent être « adéquates, pertinentes et non excessives » par rapport aux objectifs poursuivis par le traitement. Par ailleurs, l’article 6-4° de la loi du 6 janvier 1978 modifiée impose que seules peuvent être collectées des données exactes et complètes. Le responsable de traitement doit ainsi veiller à ce que « les données inexactes ou incomplètes au regard des finalités pour lesquelles elles sont collectées ou traitées soient effacées ou rectifiées ». La CNIL s’est prononcée à différentes reprises en la matière. Ainsi, à titre d’exemple, la CNIL a émis un avertissement à l’encontre d’un établissement bancaire225 qui avait manqué à son obligation de mettre à jour les données de ses clients, en maintenant l’inscription de personnes au Fichier national des incidents de remboursement des crédits aux particuliers (FICP), plusieurs mois après la régularisation de leur incident de paiement. Il ne s’agit pas d’un cas unique, la CNIL ayant également pu sanctionner une autre banque pour avoir notamment inscrit sur ce même fichier une personne sans respecter les délais impartis par l’arrêté, cette situation conduisant « à la persistance d’informations inexactes et en tout état de cause non mises à jour »226. Enfin, suite à des dysfonctionnements de son application informatique, une société spécialisée dans les prestations de télécommunications par fibre optique avait identifié, à tort, un abonné comme étant titulaire de nombreuses adresses IP à l’origine de téléchargements illégaux et avait communiqué par erreur son identité à la Hadopi et aux services de police 223. Art. 63 de la loi pour une République numérique – Art. 32-6° de la loi « Informatique et Libertés » modifiée. 224. Art. 57 de la loi pour une République numérique – Art. 32-8° de la loi « Informatique et Libertés » modifiée. 225. Délibération de la formation restreinte n° 2014-299 du 7 août 2014 prononçant un avertissement à l’encontre de la société CA Consumer Finance (Crédit Agricole). 226. Délibération de la formation restreinte n° 2013-173 du 19 juin 2013 BNP Paribas [Avertissement public]. V. X. Delpech, « Radiation tardive du fichier des incidents de remboursement des crédits, avertissement de la CNIL », Dalloz Actualité, 16 juill. 2013. V. également Lamy droit du numérique (Guide), sous la direction de L. Costes, 2016, n° 4293 : « Durant quelle période un responsable de traitement peut-il ou doit-il conserver les données à caractère personnel ».
90 | B anque
et
a ssurance
digitales
et de gendarmerie. La CNIL a prononcé un avertissement à l’encontre de cette société, spécialement pour manquement à l’obligation de veiller à l’exactitude des données à caractère personnel de ses abonnés. La Commission indique que l’article 6-4° de la loi du 6 janvier 1978 modifiée « consiste sans ambiguïté en une obligation de résultat en ce qu’il impose au responsable de traitement de garantir l’exactitude des données à caractère personnel qu’il traite en prenant toutes les mesures utiles afin de rectifier ou d’effacer les données inexactes ». 154. Les données doivent être collectées pour des « finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités ». Concrètement, dans le secteur bancaire et dans le secteur des assurances, les finalités qui fondent la mise en œuvre des traitements de données personnelles relatives à la clientèle sont de différents ordres tels que la lutte contre le blanchiment, la lutte contre la fraude, la gestion de la relation clients, la réalisation d’études statistiques, le profilage, etc. Le manquement à cette obligation est passible des sanctions prévues au titre du détournement de finalité par l’article 226-21 du Code pénal ou d’une sanction administrative. 155. Les traitements de données doivent être licites, c’est-à-dire qu’ils doivent être fondés sur le consentement de la personne concernée, ou le respect d’une obligation légale incombant au responsable de traitement, ou l’exécution d’un contrat auquel la personne concernée est partie ou de mesures précontractuelles prises à la demande de celle-ci, ou la réalisation de l’intérêt légitime poursuivi par le responsable du traitement ou par le destinataire, sous réserve de ne pas méconnaître l’intérêt ou les droits et libertés fondamentaux de la personne concernée. 156. En ce qui concerne le consentement préalable de la personne, ce fondement peut être cumulé avec d’autres (c’est par exemple le cas de la prospection réalisée par voie électronique), obligatoire dans certains cas (pour le traitement des données « sensibles »). Il est défini par l’article 2-h) de la directive n° 95/46/CE comme étant « toute manifestation de volonté, libre, spécifique et informée par laquelle la personne concernée accepte que des données à caractère personnel la concernant fassent l’objet d’un traitement ». Cette définition n’a pas été reprise par la loi « Informatique et Libertés ». En 2011, le G29 a publié un avis relatif à la définition du consentement227 permettant d’envisager différentes situations concrètes. 157. L’article 4 § 11 du RGPD définit le consentement de la personne concernée comme « toute manifestation de volonté, libre, spécifique, éclairée » étant noté que la définition impose que le consentement soit « univoque » et manifesté par « une déclaration ou par un acte positif clair ». Ainsi, « le consentement devrait être donné par un acte positif clair par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque 227. G29 Avis n° 15/2011 [WP187] sur la définition du consentement, adopté le 13 juillet 2011.
la
protection des données à caractère personnel
| 91
son accord au traitement des données à caractère personnel la concernant, par exemple au moyen d’une déclaration écrite, y compris par voie électronique, ou d’une déclaration orale. Cela pourrait se faire notamment en cochant une case lors de la consultation d’un site Internet, en optant pour certains paramètres techniques pour des services de la société de l’information ou au moyen d’une autre déclaration ou d’un autre comportement indiquant clairement dans ce contexte que la personne concernée accepte le traitement proposé de ses données à caractère personnel. Il ne saurait dès lors y avoir de consentement en cas de silence, de cases cochées par défaut ou d’inactivité. Le consentement donné devrait valoir pour toutes les activités de traitement ayant la ou les mêmes finalités. Lorsque le traitement a plusieurs finalités, le consentement devrait être donné pour l’ensemble d’entre elles. Si le consentement de la personne concernée est donné à la suite d’une demande introduite par voie électronique, cette demande doit être claire et concise et ne doit pas inutilement perturber l’utilisation du service pour lequel il est accordé »228. 158. L’article 7 du RGPD pose des conditions pour la validité du consentement obtenu. Le recueil du consentement est nécessairement spécifique et doit être présenté de façon distincte sur tout support écrit. Un consentement global (dilué dans des conditions générales d’utilisation, par exemple) n’est pas valable. De plus, lorsque le traitement est basé sur le consentement, le responsable de traitement doit pouvoir prouver que la personne a consenti au traitement de ses données, ce qui impose de garder des traces de ce consentement. Le responsable est tenu de conserver la preuve du consentement et de son retrait. Par ailleurs, le consentement peut être retiré à tout moment, mais ne doit pas affecter la licéité du traitement rétroactivement. Le contexte du recueil du consentement est important dans la mesure où il sert à vérifier que le consentement est donné librement, en particulier s’il conditionne un contrat alors même que les données ne sont pas nécessaires à son application. L’article 8 du RGPD aménage les conditions applicables au consentement des enfants dans le cadre des services de la société de l’information (les réseaux sociaux étant visés). 159. La CNIL a sanctionné des sociétés pour ne pas avoir obtenu l’accord préalable des personnes concernées notamment en matière de dépôt de cookies. Tel a été l’objectif de la sanction pécuniaire de 30 000 € prononcée à l’encontre d’une société de vente en ligne229 pour ne pas avoir informé correctement les internautes (le bandeau d’information relatif aux cookies étant rédigé de telle sorte qu’il n’informait pas les utilisateurs de leur possibilité de paramétrer le dépôt de cookies) et pour avoir déposé des cookies ayant des finalités publicitaires
228. Considérant 32 du RGPD. 229. Délibération de la formation restreinte n° 2016-204 du 7 juillet 2016 prononçant une sanction pécuniaire à l’encontre de la société Brandalley. V. « La société Brandalley sanctionnée par la CNIL », Revue Lamy Droit de l’immatériel, n° 129, 1er août 2016.
92 | B anque
et
a ssurance
digitales
dès l’arrivée des internautes sur la page d’accueil du site, sans recueil préalable de leur consentement. 160. En ce qui concerne le respect d’une obligation légale incombant au responsable de traitement, c’est sur ce fondement, par exemple, que les traitements de lutte contre le blanchiment230 peuvent être mis en œuvre par les banques et les assurances. 161. L’exécution d’un contrat auquel la personne concernée est partie ou de mesures précontractuelles prises à la demande de celle-ci constitue le fondement permettant de légitimer les traitements liés à la gestion de clients. 162. En ce qui concerne la réalisation de l’intérêt légitime poursuivi par le responsable du traitement ou par le destinataire, sous réserve de ne pas méconnaître l’intérêt ou les droits et libertés fondamentaux de la personne concernée. Ce fondement est invoqué dans certaines situations (par exemple pour le marketing ou les traitements statistiques). Comme l’indique le RGPD : « le traitement de données à caractère personnel strictement nécessaire à des fins de prévention de la fraude constitue également un intérêt légitime du responsable du traitement concerné. Le traitement de données à caractère personnel à des fins de prospection peut être considéré comme étant réalisé pour répondre à un intérêt légitime »231. B.
L’accomplissement des formalités déclaratives
1.
Les principes du contrôle a priori de la CNIL
163. Préalablement à tout traitement de données à caractère personnel, il est obligatoire d’accomplir des formalités déclaratives auprès de la CNIL. Le régime applicable dépend de la nature des données concernées (données courantes, données « sensibles ») et de la finalité poursuivie. Le non-respect, y compris par négligence, des formalités préalables est passible de sanctions prévues à l’article 226-16 du Code pénal (pour les déclarations et demandes d’autorisation) et à l’article 226-16-1 du Code pénal (pour les normes simplifiées ou les dispenses). À titre indicatif, dans un arrêt de 2015, la Cour de cassation a estimé que l’obligation de déclaration s’appliquait « sans qu’il soit besoin d’atteindre un certain seuil de données traitées »232, le défaut de déclaration portant sur la 230. CMF, art. L. 561-5-1 : « Avant d’entrer en relation d’affaires, les personnes mentionnées à l’article L. 561-2 recueillent les informations relatives à l’objet et à la nature de cette relation et tout autre élément d’information pertinent. Elles actualisent ces informations pendant toute la durée de la relation d’affaires. Les modalités d’application de cet article sont précisées par décret en Conseil d’État ». 231. Considérant 47 du RGPD. 232. Cass. crim., 8 septembre 2015, n° 13-85.587, Juris-Data n° 2015-020516. Sur cet arrêt : « Les traitements de données à caractère personnel doivent être déclarés à la CNIL, peu important le faible nombre de données concernées », Liaisons sociales Quotidien – Le dossier jurisprudence hebdo, n° 174/2015.
la
protection des données à caractère personnel
| 93
création d’un seul fichier de données personnelles (en l’occurrence deux notes internes portant sur une seule personne) accessible à des tiers. 164. En outre, le défaut de déclaration d’un traitement a servi de fondement à de nombreuses décisions judiciaires, dans des contentieux de droit social, permettant au juge d’invalider le licenciement prononcé sur la base d’un dispositif illicite. À titre d’exemple, dès 2004, la Cour de cassation a dû se prononcer sur le licenciement d’un salarié ayant refusé à plusieurs reprises d’utiliser son badge d’entrée. La Cour a admis que le licenciement était sans cause réelle et sérieuse et souligne « qu’à défaut de déclaration à la Commission nationale de l’informatique et des libertés d’un traitement automatisé d’informations nominatives concernant un salarié, son refus de déférer à une exigence de son employeur impliquant la mise en œuvre d’un tel traitement ne peut lui être reproché »233. Pour certaines catégories de données, l’autorisation préalable de la CNIL est obligatoirement requise conformément aux dispositions de l’article 25 de la loi « Informatique et Libertés ». Tel est le cas, particulièrement, des données relatives à la santé, des données couvertes par l’article 9 de la loi, du numéro de sécurité sociale (NIR) et des données biométriques. 165. Le responsable de traitement est tenu d’obtenir l’autorisation de la CNIL en raison de la finalité des traitements concernés. Sont spécifiquement visés : – « les traitements automatisés susceptibles, du fait de leur nature, de leur portée ou de leurs finalités, d’exclure des personnes du bénéfice d’un droit, d’une prestation ou d’un contrat en l’absence de toute disposition législative ou réglementaire 234 ; – les traitements ayant pour objet « l’interconnexion de fichiers (…) et dont les finalités principales sont différentes235 ». 2.
Les formalités CNIL pour le secteur des assurances
166. Pour le secteur des assurances, la CNIL a adopté un « Pack de conformité Assurance » qui a été finalisé en 2014. Ce Pack constitue un référentiel à destination des professionnels du secteur de l’assurance (sociétés anonymes d’assurance, sociétés d’assurance mutuelle, mutuelles relevant du code de la mutualité, institutions de prévoyance), destiné à simplifier les formalités à accomplir tout en tenant compte de la réalité des traitements de données à caractère personnel mis en œuvre dans ce secteur. 233. Cass. soc., 6 avr. 2004, n° 01-45.227, Juris-Data n° 2004-023267. Sur le sujet : « La surveillance de l’activité des salariés », Liaisons sociales Quotidien – Le dossier pratique, n° 223/2014, 10 déc. 2014. Sur le sujet : F.-J. Pansier, « Vie privée, téléphone et informatique », Les Cahiers Sociaux, 1er juill. 2004, n° 162. V. également : L. Dusseau, S. Charbit, « Responsabilité pénale et Droit du travail », Les Cahiers Sociaux, 1er juill. 2004, n° 4. 234. Art. 25-I-4° de la loi « Informatique et Libertés ». 235. Art. 25-I-5° de la loi « Informatique et Libertés ».
94 | B anque
et
a ssurance
digitales
Ce Pack comporte deux normes simplifiées et trois autorisations uniques. Aux termes de l’article 24-I, les normes simplifiées, qui concernent des données courantes des traitements dont la mise en œuvre n’est pas susceptible de porter atteinte à la vie privée, doivent préciser : « 1° Les finalités des traitements faisant l’objet d’une déclaration simplifiée ; 2° Les données à caractère personnel ou catégories de données à caractère personnel traitées ; 3° La ou les catégories de personnes concernées ; 4° Les destinataires ou catégories de destinataires auxquels les données à caractère personnel sont communiquées ; 5° La durée de conservation des données à caractère personnel ». Les autorisations uniques relèvent de l’article 25-II selon lequel la CNIL peut autoriser, sur décision unique, les traitements ayant les mêmes finalités, portant sur des catégories de données identiques et ayant les mêmes catégories de destinataires. Concrètement, le Pack de conformité Assurance comporte : – la Norme simplifiée n° 16236 qui concerne les traitements automatisés de données à caractère personnel ayant pour finalités la passation, la gestion et l’exécution des contrats mis en œuvre par les organismes d’assurance, de capitalisation, de réassurance, d’assistance et par leurs intermédiaires ; – la Norme simplifiée n° 56237 qui concerne les traitements automatisés de données à caractère personnel ayant pour finalités la gestion commerciale de clients et de prospects mis en œuvre par les organismes d’assurance, de capitalisation, de réassurance, d’assistance et par les intermédiaires d’assurance ; – l’Autorisation unique n° AU-031238 qui concerne les traitements de données à caractère personnel relatifs à la consultation du Répertoire national d’identification des personnes physiques (RNIPP) et à l’utilisation du Numéro d’inscription au répertoire (NIR) mis en œuvre
236. Délibération n° 2013-212 du 11 juillet 2013 concernant les traitements automatisés de données à caractère personnel relatifs à la passation, la gestion et l’exécution des contrats mis en œuvre par les organismes d’assurance, de capitalisation, de réassurance, d’assistance et par leurs intermédiaires. 237. Délibération n° 2013-213 du 11 juillet 2013 portant création d’une norme simplifiée concernant les traitements automatisés de données à caractère personnel relatifs à la gestion commerciale de clients et de prospects mis en œuvre par les organismes d’assurance, de capitalisation, de réassurance, d’assistance et par les intermédiaires d’assurance. 238. Délibération n° 2014-014 du 23 janvier 2014 portant création d’une autorisation unique concernant les traitements de données à caractère personnel relatifs à la consultation du répertoire national d’identification des personnes physiques (RNIPP) et à l’utilisation du numéro d’inscription au répertoire (NIR) mis en œuvre par les organismes d’assurance, de capitalisation, de réassurance, d’assistance, les intermédiaires d’assurance et par l’AGIRA.
la
protection des données à caractère personnel
| 95
par les organismes d’assurance, de capitalisation, de réassurance, d’assistance, les intermédiaires d’assurance et par l’AGIRA ; – l’Autorisation unique n° AU-032239 qui concerne les traitements de données à caractère personnel relatifs aux infractions, condamnations ou mesures de sûretés mis en œuvre par les organismes d’assurance, de capitalisation, de réassurance, d’assistance, les intermédiaires d’assurance et par l’AGIRA ; – l’Autorisation unique n° AU-039240 qui concerne les traitements de données à caractère personnel ayant pour finalité la lutte contre la fraude à l’assurance mis en œuvre par les organismes d’assurance, de capitalisation, de réassurance, d’assistance et par les intermédiaires d’assurance. En 2016, les organismes d’assurance doivent avoir procédé à un engagement de conformité au Pack de conformité Assurance, sous réserve que les traitements concernés correspondent strictement aux standards qui y figurent. Les avantages du Pack sont considérables dans la mesure où il permet d’intégrer l’ensemble des traitements mis en œuvre pour cette activité. Son intérêt réside également dans la prise en compte de l’environnement digital et des évolutions y afférentes. 167. L’article 10 de la NS-16 sur la passation, la gestion et l’exécution des contrats permet d’intégrer l’utilisation des sites Internet par les entreprises d’assurances. Il est effectivement prévu que la norme s’applique « également dans le cas où le responsable de traitement utilise un service de communications en ligne », pour l’ensemble des finalités visées (passation et gestion des contrats, réalisation de statistiques et études actuarielles, exercice des recours et gestion des réclamations et des contentieux, exécution des dispositions légales). La norme précise que les données de connexion (date et heure de connexion, adresse IP de l’équipement utilisé pour se connecter, URL de la page visitée) des internautes qui se sont connectés au site de l’assureur « pourront être exploitées à des fins de mesure d’audience et d’assistance technique », sous réserve d’une information claire et complète de l’internaute et « qu’elles ne soient pas recoupées avec d’autres traitements tels que les fichiers clients ». 168. L’article 7 de la NS-56 sur la gestion commerciale de clients et de prospects comporte également des dispositions applicables au site Internet des assureurs permettant de réaliser en ligne les finalités de prospection commerciale. Dans ce contexte, il est prévu que les données de connexion puissent être utilisées dans les mêmes conditions que celles posées par la NS-16. Les conditions d’installation et 239. Délibération n° 2014-015 du 23 janvier 2014 portant création d’une autorisation unique concernant les traitements de données à caractère personnel relatifs aux infractions, condamnations ou mesures de sûretés mis en œuvre par les organismes d’assurance, de capitalisation, de réassurance, d’assistance, les intermédiaires d’assurance et par l’AGIRA. 240. Délibération n° 2014-312 du 17 juillet 2014 portant autorisation unique de traitements de données à caractère personnel ayant pour finalité la lutte contre la fraude à l’assurance mis en œuvre par les organismes d’assurance, de capitalisation, de réassurance, d’assistance et par les intermédiaires d’assurance.
96 | B anque
et
a ssurance
digitales
de récupération des témoins de connexion (cookies) sont détaillées, en particulier concernant l’exercice du droit d’opposition à l’analyse de la navigation de l’internaute. 169. L’autorisation unique portant sur l’utilisation du NIR (AU-031) prévoit pour les mesures liées à la base AGIRA241, « une authentification mutuelle du système hébergeant le traitement et l’utilisateur » via des certificats délivrés par le Réseau d’accès aux données de l’assurance et de la messagerie sécurisée (RADAMESS), étant ajouté que « l’identification des machines connectées au traitement est également faite par des certificats de même nature ». À l’instar de ce référentiel, en ce qui concerne les autorisations uniques pour la collecte des données d’infractions, de condamnations ou des mesures de sûreté (AU-032) et pour la lutte contre la fraude (AU-39), c’est surtout la sécurité des données qui est concernée par la prise en compte des développements technologiques242. 3.
Les formalités CNIL pour le secteur bancaire
170. En l’absence de pack de conformité bancaire, chaque traitement doit être appréhendé en fonction des finalités poursuivies et des catégories de données collectées et traitées. Certaines simplifications sont applicables (v. tableau infra sur les traitements du secteur banque et finances), mais aucune référence n’est dédiée à l’utilisation d’un service de communication au public et chaque établissement doit définir comment déclarer ses services de banque en ligne. En tout état de cause, les normes simplifiées prévues pour la gestion des comptes clients ne correspondent pas à l’actualité des activités des banques qui ont dû très largement procéder à des déclarations normales auprès de la CNIL. Les traitements de lutte contre la fraude, quant à eux, ont fait l’objet de demandes d’autorisations spécifiques par établissement. BANQUE ET FINANCE – Dispense Dispense n° 9 – Dispense de déclaration de certains traitements automatisés de données personnelles ayant pour finalité la tenue, l’utilisation et la communication des listes d’initiés – Délibération n° 2006-186 du 6 juillet 2006 (JO 4 août 2006). Les traitements doivent avoir exclusivement pour finalité l’établissement, la mise à jour, l’utilisation et la communication des listes d’initiés dans les conditions fixées à l’article L. 621-18-4 du Code monétaire et financier. Sont exclus du champ d’application de la dispense : les traitements ayant également pour finalité la recherche des opérations suspectes définie à l’article L. 621-17-2 du Code monétaire et financier, les traitements qui ont recours à des moyens informatiques situés dans des pays tiers.
.../... 241. Association pour la gestion des informations sur le risque en assurance (AGIRA) autorisée par la CNIL (Délibération n° 2008-579, 18 déc. 2008) à traiter les données à caractère personnel relatives aux décès transmises par l’INSEE pour le compte des organismes d’assurance, dans le cadre des traitements mis en œuvre aux fins de recherche des assurés et des bénéficiaires de contrats d’assurance sur la vie décédés. Le système permet ainsi aux organismes d’assurance membres de l’AGIRA, d’interroger le responsable de traitement (AGIRA), pour consulter le fichier. 242. V. infra, partie I, chapitre II, section I - § 3. C.
la
protection des données à caractère personnel
| 97
.../... BANQUE ET FINANCE – Normes simplifiées
– Norme simplifiée n° 12 du 19 août 1980 relative à la tenue des comptes de la
clientèle et le traitement des informations s’y rattachant par les établissements bancaires et assimilés. – Norme simplifiée n° 13 du 8 juillet 1980, modifiée le 30 avril 1985 et le 5 juillet 1988, relative à la gestion des crédits et des prêts aux personnes physiques. – Norme simplifiée n° 41 du 9 septembre 1997 concernant les traitements relatifs aux instruments financiers. Ces normes sont obsolètes et ne correspondent plus aux activités bancaires. BANQUE ET FINANCE – Autorisations uniques Autorisation unique [AU-003] pour certains traitements de données à caractère personnel mis en œuvre dans des organismes financiers au titre de la lutte contre le blanchiment de capitaux et le financement du terrorisme. Délibération n° 2005-297 du 1er décembre 2005 (JO 31 mars 2006). Délibération n° 2011-180 du 16 juin 2011 (JO 7 juill. 2011). Autorisation unique également applicable au secteur des assurances. Autorisation unique [AU-005] pour certains traitements de données à caractère personnel mis en œuvre par les établissements de crédit pour aider à l’évaluation et à la sélection des risques en matière d’octroi de crédit. Délibération n° 2006-019 du 2 février 2006 (JO 23 mars 2006). Délibération n° 2008-198 du 9 juillet 2008 (JO 5 août 2008). Sont visés par cette autorisation unique « les traitements automatisés relatifs à l’élaboration, à l’actualisation et à l’utilisation de systèmes de score ». Ces traitements peuvent être confiés dans des conditions précises à des prestataires externes. Les données traitées, les destinataires de ces données et leur durée d’utilisation et de conservation sont également strictement limités. Autorisation unique [AU-046] pour les traitements de données à caractère personnel mis en œuvre par les organismes publics et privés pour la préparation, l’exercice et le suivi de leurs contentieux ainsi que l’exécution des décisions rendues. Délibération n° 2016-005 du 14 janvier 2016 (JO 12 févr. 2016). Cette norme n’est pas spécifique au secteur bancaire.
C.
La sécurité des données
171. L’article 34 de la loi « Informatique et Libertés » impose aux responsables de traitement de prendre « toutes précautions utiles afin de préserver la sécurité des données » et d’empêcher « qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès ». La règle posée est que le niveau de sécurité doit être déterminé compte tenu des risques présentés par le traitement et de la nature des données243. L’obligation de sécurité à laquelle est tenu le responsable de traitement est une obligation de moyen renforcée. En cas de manquement à son obligation de sécurité et de confidentialité des données à caractère personnel, le responsable 243. É. A. Caprioli et I. Cantero, « Quelle sécurité de l’information en matière de protection des données personnelles ? », MagSecurs n° 51, 3e trimestre 2016, p. 17 et s.
98 | B anque
et
a ssurance
digitales
de traitement encourt des sanctions pénales prévues par l’article 226-17 du Code pénal (5 ans d’emprisonnement et jusqu’à 300 000 euros d’amende) et/ou de sanctions administratives (sanction pécuniaire jusqu’à 3 millions d’euros). 172. Comme en attestent les diverses sanctions publiques de la CNIL (avertissement, sanction pécuniaire), la Commission vérifie quasi-systématiquement les mesures prises par le responsable de traitement lors de ces contrôles et n’hésite pas à réprimer les manquements. À titre d’illustration, en 2014, la CNIL a prononcé un avertissement public à l’encontre d’une société de crédit aux particuliers244 pour avoir manqué à son obligation d’assurer la sécurité et la confidentialité des données de ses clients conformément à l’article 34 de la loi « Informatique et Libertés ». En l’espèce, deux clients de la société avaient reçu des documents confidentiels contenant des données nominatives relatives à des tiers, et la CNIL a considéré que « la société ne saurait s’exonérer de sa responsabilité en se retranchant derrière des erreurs humaines ». Au fil de ses sanctions, la CNIL a même précisé « l’état de l’art » au niveau des mesures de sécurité attendues des responsables de traitement. Tel est le cas, par exemple de la sanction pécuniaire de 10 000 euros infligée par la CNIL245 à une société pour ne pas avoir suffisamment sécurisé l’accès à des dispositifs de vidéosurveillance (mots de passe brefs, déductibles et non renouvelés depuis 2011 pour certains) mais également pour ne pas avoir adopté et mis en place une politique de sécurité. Cette délibération a été confirmée par le Conseil d’État246. 173. L’article 35 de la loi « Informatique et Libertés » étend l’obligation de sécurité au sous-traitant, étant rappelé que ce dernier ne dispose pas en principe d’autonomie sur la gestion des traitements qui lui sont confiés par le responsable. Il est réputé agir sous ses instructions, mais cela n’exonère en rien le responsable de traitement de son obligation de sécurité et de confidentialité des données. C’est cette position qu’a confirmée la CNIL dans un avertissement public de 2014 faisant suite à la notification d’une fuite de données personnelles. À l’issue de son contrôle, la CNIL a en effet constaté que les mesures de sécurité techniques et opérationnelles n’avaient pas été suffisantes et elle a retenu que le responsable « ne saurait minimiser sa responsabilité par le recours à plusieurs prestataires »247. La CNIL a même spécifiquement sanctionné l’existence d’un 244. Délibération de la formation restreinte n° 2014-299 du 7 août 2014 prononçant un avertissement à l’encontre de la société CA Consumer Finance (Crédit Agricole), v. notamment le commentaire A. Debet, « Le responsable de traitement est tenu d’une obligation de résultat s’agissant de l’exactitude des données », Com. com. électr. 2016, comm. 44. 245. Délibération de la formation restreinte n° 2013-139 du 30 mai 2013 SAS Professional Service Consulting dite PS Consulting. Sur la doctrine de la CNIL sur le sujet, v. A. Debet, « La biométrie inopposable au fonctionnaire en l’absence d’une information individuelle », Com. com. électr. 2014, comm. 89. 246. CE, 18 nov. 2015, n° 371196 : v. le commentaire de A. Debet, « Des précisions sur le cadre juridique des contrôles et des sanctions prononcées par la CNIL », Com. com. électr. 2016, comm. 16. 247. Délibération de la formation restreinte n° 2014-298 du 7 août 2014 prononçant un avertissement à l’encontre de la société Orange, Juris-Data n° 2014-019919. Le Conseil
la
protection des données à caractère personnel
| 99
manquement à l’obligation d’assurer la sécurité et la confidentialité des données gérées par un sous-traitant en adoptant une sanction pécuniaire de 50 000 euros aux motifs que le contrat conclu entre la société, responsable de traitement et son sous-traitant, « ne comportait aucune clause relative à la sécurité et à la confidentialité des données. Il a été enjoint à la société de prévoir une clause définissant les obligations de son prestataire en la matière et précisant que ce prestataire ne pouvait agir que sur son instruction »248. Pour le secteur bancaire comme pour celui des assurances, les mesures de sécurité techniques et organisationnelles doivent s’appuyer sur les référentiels de sécurité proposés par l’Agence nationale de la sécurité des systèmes d’information (ANSSI), les normes de la famille ISO/IEC 27000 et les standards PCI DSS249. Pour rappel, la transmission des données bancaires doit répondre aux exigences de normes ISO spécifiques et, entre autres, la norme ISO 20022 sur les services financiers. La généralisation des services en ligne positionne la sécurité et la confidentialité en amont des traitements de données et pendant tout le cycle de vie des données personnelles. En outre, dans un environnement digital, la maîtrise des risques numériques tend à transformer l’obligation de sécurité des responsables de traitement et des sous-traitants en une obligation de résultat. D.
Durée de conservation des données
174. L’article 6-5° de la loi « Informatique et Libertés » impose que les données à caractère personnel soient conservées sous une forme permettant l’identification des personnes concernées pour une durée limitée, c’est-à-dire « qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées ». Un prolongement de la durée de conservation est autorisé lorsqu’elle est effectuée « à des fins historiques, statistiques ou scientifiques dans les conditions prévues par la loi ».
d’État a confirmé la délibération de la CNIL par une décision en date du 30 décembre 2015 (n° 385019, publié au Recueil Lebon, Juris-Data n° 2015-029454. Le Conseil d’État relève que « la seule mention, dans le contrat liant la société Orange à son prestataire (…) d’une obligation de sécurité mise à la charge de [ce dernier] et de ses sous-traitants ne dispensait pas la société Orange de prendre des mesures destinées à s’assurer elle-même que la sécurité de ses données était préservée ». Or, il est avéré que Orange n’a « pas fait procéder à un audit de sécurité sur l’application qui avait été spécialement définie pour la prospection commerciale de ses clients », n’a « pas utilisé des moyens de communication sécurisés pour transférer à ses prestataires des données à caractère personnel », n’a « pas veillé à ce que les consignes de sécurité prévues contractuellement avec son prestataire soient portées à la connaissance du prestataire secondaire ». 248. Délibération de la formation restreinte n° 2015-379 du 5 novembre 2015 prononçant une sanction pécuniaire à l’encontre de la société Optical Center. 249. Payment Card Industry Data Security Standard.
100 | B anque
et
a ssurance
digitales
Cette limitation, déjà présente au sein de la directive n° 95/46/CE, a été conservée par le RGPD. En effet, le RGPD rappelle dans son considérant 39 que les données à caractère personnel devraient être adéquates, pertinentes et limitées à ce qui est nécessaire pour les finalités pour lesquelles elles sont traitées et que pour ce faire, il est nécessaire que la durée de conservation des données soit limitée au strict minimum. 175. Si la loi « Informatique et Libertés » n’imposait pas d’information spécifique sur la durée de conservation des données, cette exigence a été récemment ajoutée par le biais de la loi du 7 octobre 2016 pour une République numérique, qui a modifié l’article 32 et anticipe ainsi les dispositions du RGPD en la matière250. Force est de constater que si la législation établit parfois des durées de conservations précises (par exemple le délai de conservation des livres, registres, documents ou pièces sur lesquels l’administration fiscale peut exercer ses droits de communication, d’enquête et de contrôle a été fixé à 6 ans à compter de la date de la dernière opération mentionnée sur les livres ou registres ou de la date à laquelle les documents ou pièces ont été établis251), tel n’est pas toujours le cas et la détermination de la durée de conservation des données pour un traitement est souvent un exercice difficile. 176. La Recommandation de la CNIL du 11 octobre 2005252 portant sur les modalités d’archivage des données à caractère personnel, dans le secteur privé, a défini trois niveaux d’archives253 auxquels doivent être respectivement associées des modalités de conservation adaptées (procédures de bascule automatique entre les niveaux, habilitations spécifiques, traçabilité des accès, mesures de sécurité). 177. Pour le secteur des assurances, les durées de conservation applicables aux données relatives aux assurés doivent permettre de respecter les délais de prescription résultant notamment du Code des assurances254 et du Code 250. Article 13 2. A) et 14 2. A) du RGPD. 251. Article L. 102 B du Livre des procédures fiscales. 252. Délibération n° 2005-213 du 11 octobre 2005 portant adoption d’une recommandation concernant les modalités d’archivage électronique dans le secteur privé de données à caractère personnel, publiée au JO du 23 nov. 2005. 253. La recommandation différencie les archives courantes, qui correspondent à l’utilisation des données par les services concernés (contrat en cours d’exécution, par exemple), des archives intermédiaires pour les données présentant un intérêt administratif pour les services concernés et, surtout, dont les durées de conservation répondent à des prescriptions légales (civiles, commerciales, en matière sociale ou voire pénales), des archives définitives qui comprennent exclusivement les données présentant un intérêt historique, scientifique ou statistique justifiant leur conservation. 254. Article L. 114-1 : « Toutes actions dérivant d’un contrat d’assurance sont prescrites par deux ans à compter de l’événement qui y donne naissance. Toutefois, ce délai ne court : 1° En cas de réticence, omission, déclaration fausse ou inexacte sur le risque couru, que du jour où l’assureur en a eu connaissance ; 2° En cas de sinistre, que du jour où les intéressés en ont eu connaissance, s’ils prouvent qu’ils l’ont ignoré jusque-là. Quand l’action de l’assuré contre l’assureur a pour cause le recours d’un tiers, le délai de la prescription ne court que
la
protection des données à caractère personnel
| 101
civil255. De façon très complète, le « Pack de conformité Assurance » édité par la CNIL en 2014 a vocation à constituer un référentiel pour l’ensemble des délais de conservation des données. À titre d’exemple, des durées spécifiques sont prévues dans le cadre de la NS-16, pour les données de santé collectées hors conclusion de contrat (conservation pour une durée de 5 ans), pour les données relatives à la carte bancaire (durée allant de 13 à 15 mois selon la carte). La NS-56 différencie les délais de conservation pour les données relatives aux clients (3 ans à compter de la fin de la relation commerciale) et celles des prospects (3 ans à compter de leur collecte par le responsable de traitement ou du dernier contact émanant du prospect). 178. Pour le secteur bancaire, en l’absence de référentiel commun, les durées de conservation des données sont fixées en fonction des traitements concernés, par référence au CMF (délai de prescription de 5 ans conformément à l’article L. 561-12 du Code monétaire et financier)256, étant noté que des durées spécifiques sont également prévues (conservation des données de la carte bancaire, par exemple, pour une durée de 13 mois suivant la date de débit257). De même, pour la mise en œuvre de traitements pour aider à l’évaluation et à la sélection des risques en matière d’octroi de crédit (délibération n° 2008198258), le délai de conservation pour des informations spécialement collectées pour l’instruction des demandes de crédit est conservé, en cas de rejet de la demande, pendant une durée de six mois à compter du dépôt de la demande.
255. 256.
257. 258.
du jour où ce tiers a exercé une action en justice contre l’assuré ou a été indemnisé par ce dernier. La prescription est portée à dix ans dans les contrats d’assurance sur la vie lorsque le bénéficiaire est une personne distincte du souscripteur et, dans les contrats d’assurance contre les accidents atteignant les personnes, lorsque les bénéficiaires sont les ayants droit de l’assuré décédé ». « Pour les contrats d’assurance sur la vie, nonobstant les dispositions du 2°, les actions du bénéficiaire sont prescrites au plus tard trente ans à compter du décès de l’assuré ». C. civ., art. 2224 à 2227. CMF, art. L. 561-12 : « Sous réserve de dispositions plus contraignantes, les personnes mentionnées à l’article L. 561-2 conservent pendant cinq ans à compter de la clôture de leurs comptes ou de la cessation de leurs relations avec eux les documents et informations, quel qu’en soit le support, relatifs à l’identité de leurs clients habituels ou occasionnels. Elles conservent également, dans la limite de leurs attributions, pendant cinq ans à compter de leur exécution, quel qu’en soit le support, les documents et informations relatifs aux opérations faites par ceux-ci, ainsi que les documents consignant les caractéristiques des opérations mentionnées au II de l’article L. 561-10-2. Sans préjudice des obligations mentionnées au premier alinéa du présent article, les personnes mentionnées aux 1° et 1° ter de l’article L. 561-2 recueillent les informations et les données techniques relatives à l’activation, au chargement et à l’utilisation de la monnaie électronique au moyen d’un support physique et les conservent pendant une durée de cinq ans à compter de l’exécution de ces opérations. Un arrêté du ministre chargé de l’Économie précise les informations et les données techniques qui sont recueillies et conservées ». CMF, art. L. 133-24. Délibération n° 2008-198 du 9 juillet 2008 modifiant l’autorisation unique n° AU-005 relative à certains traitements de données à caractère personnel mis en œuvre par les établissements de crédit pour aider à l’évaluation et à la sélection des risques en matière d’octroi de crédit, publiée au JO du 5 août 2008 ‒ Numéro 181, v. RTD com. 2008, p. 832, obs. D. Legeais.
102 | B anque
et
a ssurance
digitales
179. Les sanctions pénales sont prévues par l’article 226-20 du Code pénal (5 ans d’emprisonnement et 300 000 euros d’amende)259. Au titre des sanctions, en 2009, le Conseil d’État260 a confirmé la délibération de la CNIL261 ayant refusé à une société l’autorisation nécessaire à la création d’un traitement ayant pour finalité la mise en place d’une « centrale de crédit » au motif notamment que le projet maintenait, sans justification évidente, les données sur les emprunteurs dans les fichiers de la centrale, trois ans après la fin du remboursement du crédit. La CNIL a aussi été rappelée à l’ordre par le Conseil d’État, dans sa décision du 28 septembre 2016262, qui prononce l’annulation d’une délibération de la formation restreinte de la CNIL, au motif que cette délibération ne fixait pas la durée de son maintien en ligne sur le site Internet de la CNIL et sur le site Légifrance. E.
L’« Accountability » ou principe de responsabilité posé par le RGPD
180. L’article 24 du RGPD pose un principe novateur dit d’« Accountability » [ou principe de responsabilité] qui repose sur un changement de paradigme. En effet, le contrôle a priori de la conformité des traitements aux exigences légales est désormais à la charge du responsable de traitement, et non plus de l’autorité de contrôle. Les banques comme les entreprises d’assurance devront, d’une part, garantir la conformité légale des traitements mise en œuvre dans le cadre de leurs activités et, d’autre part, être en mesure de le prouver. C’est sur cette double contrainte que se fonde le principe d’« Accountability ». Le responsable devra adopter des mesures techniques et organisationnelles appropriées en tenant compte de la nature, de la portée, du contexte, des finalités et des risques propres au traitement, mis à jour quand cela est nécessaire. Concrètement, il va falloir documenter les processus à chacune des étapes des traitements de données personnelles, en phase projet, avant la mise en œuvre effective du traitement et pendant tout le cycle des traitements. Le RGPD prévoit la rédaction et la mise en place de politiques de protection des données.
259. Cass. crim., 3 mars 2015, n° 13-88.079 : Une gestionnaire de fait d’une société a conservé des données qui ne peuvent être utilisées et conservées que pour le strict besoin et pendant le temps d’une transaction déterminée, mais ne doivent pas être stockées (cryptogrammes de cartes bleues). Elle a donc été condamnée au visa de l’article 226-20 du Code pénal. 260. CE, 30 déc. 2009, n° 306173, Juris-Data n° 2009-017446 ; JCP éd. A 2010, act. 38, obs. J.-G. S. V. également N. Mathey, « Crédit à la consommation, informatique et liberté », RDBF 2010, comm. 86. 261. Délibération n° 2007-044 du 8 mars 2007 refusant la création par la société Experian d’un traitement automatisé ayant pour finalité la mise en place d’une « centrale de crédit ». 262. CE, 28 sept. 2016, n° 389448, Juris-Data n° 2016-020259, publié au Recueil Lebon ; v. M. Touzeil-Divina, « Conditions de légalité d’une sanction complémentaire par publication en ligne », JCP éd. A 2016, act. 754.
la 1.
protection des données à caractère personnel
| 103
Les principes de « Privacy by design » et de « Privacy by default »
181. La protection des données doit être garantie dès la conception des traitements, et le RGPD créé de nouvelles obligations : – Le principe du « Privacy by design » [ou Protection des données dès la conception] qui est défini par l’article 25 du RGPD impose d’intégrer la protection des données « tant au moment de la détermination des moyens du traitement qu’au moment du traitement lui-même ». Cette règle s’appliquera concrètement dès le projet de traitement et à tous les acteurs, en ce compris les sous-traitants, par la mise en œuvre de « mesures techniques et organisationnelles appropriées, telles que la pseudonymisation »263 ou la purge des fichiers à l’expiration de la durée de conservation autorisée pour les données ou la minimisation des données, c’est-à-dire selon l’article 5-c) du RGPD, la limitation des données à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées. – Le principe de « Privacy by default » [ou Protection des données par défaut], également posé par l’article 25 du RGPD, exige du responsable de traitement de garantir par défaut le plus haut niveau possible de protection, en particulier les mesures prises doivent garantir « que, par défaut, les données à caractère personnel ne sont pas rendues accessibles à un nombre indéterminé de personnes physiques sans l’intervention de la personne physique concernée ». 182. L’article 83-4 du RGPD prévoit une sanction administrative pouvant aller jusqu’à 10 000 000 euros ou 2 % du CA mondial (pour les entreprises). 2.
L’analyse d’impact sur la vie privée prévue par le RGPD
183. Le RGPD remplace le principe de déclaration préalable auprès de l’autorité de contrôle par une sorte d’auto-évaluation de la part du responsable de traitement. Il part du constat que « l’obligation de notification (déclarations préalables à la mise en œuvre des traitements), génère une charge administrative et financière, sans pour autant avoir systématiquement contribué à améliorer la protection des données à caractère personnel »264. 184. Le responsable de traitement doit réaliser une étude d’impact si le type de traitement de données à caractère personnel concerné engendre un risque élevé sur les droits et libertés des personnes pour évaluer l’origine, la nature, la particularité et la gravité de ce risque.
263. V. partie I, chapitre II, section I - § 2. B. 3. 264. Considérant 89 du RGPD.
104 | B anque
et
a ssurance
digitales
185. Le RGPD soumet obligatoirement à une « analyse d’impact relative à la protection des données » : a) tout traitement qui porte sur « l’évaluation systématique et approfondie d’aspects personnels concernant des personnes physiques, qui est fondée sur un traitement automatisé, y compris le profilage, et sur la base de laquelle sont prises des décisions produisant des effets juridiques à l’égard d’une personne physique ou l’affectant de manière significative de façon similaire » ; b) la surveillance systématique à grande échelle265 d’une zone accessible au public ; c) tout traitement à grande échelle de données « sensibles » ou de données à caractère personnel relatives à des condamnations ; d) la liste des traitements soumis à l’analyse d’impact établie et publiée par l’autorité de contrôle (liste unifiée au sein de l’Union européenne). L’analyse d’impact n’est pas requise en l’absence de risque élevé pour le traitement, si le traitement figure sur la liste de l’autorité de contrôle portant sur des exonérations et lorsque le traitement répond à une obligation légale et qu’une analyse d’impact a été réalisée pour l’adoption de la réglementation (sauf si l’État le demande). Une seule analyse peut être menée sur un ensemble de traitements similaires quant à leurs finalités et au vu des risques présentés. Lorsque l’analyse d’impact révèle un risque élevé, le responsable de traitement devra consulter la CNIL. La Commission est tenue de conseiller le responsable sur les mesures à adopter sous deux mois (extensible à 14 semaines en cas de complexité). En application de l’article 36 du RGPD, elle pourra aussi, le cas échéant, interdire le traitement ou ordonner des mesures de mise en conformité. Concrètement, cette procédure revient en définitive à permettre à la CNIL d’autoriser le traitement ou non. Le responsable doit solliciter l’avis du Délégué à la Protection des Données et celui des personnes concernées ou de leurs représentants, si cela est nécessaire. Selon l’article 35-7 du RGPD, l’analyse d’impact doit contenir, au moins, une description du traitement concerné et de ses finalités (avec, le cas échéant, l’intérêt légitime poursuivi par le responsable du traitement), une évaluation de la nécessité et de la proportionnalité du traitement par rapport aux finalités poursuivies, une évaluation des risques pour les droits et libertés des personnes concernées, l’ensemble des mesures envisagées pour y faire face. 265. Par référence au considérant 91 du RGPD, il s’agit d’un « volume considérable de données à caractère personnel au niveau régional, national ou supranational ».
la
protection des données à caractère personnel
| 105
Lorsque le traitement répond à une obligation légale et qu’une analyse d’impact a été réalisée pour l’adoption de la réglementation de référence, il n’est pas nécessaire de faire une analyse supplémentaire, sauf si l’État le demande. L’analyse d’impact sur la vie privée opère un changement de cible. En effet, l’analyse d’impact, qui est en principe réalisée par les services en charge de la sécurité des systèmes d’information, vise à protéger l’entreprise vis-à-vis d’atteintes de son système d’information. L’analyse d’impact sur la vie privée a pour objectif de protéger la personne concernée par un traitement de données à caractère personnel dans un contexte de traitements identifiés comme étant risqués. 186. En application de l’article 83-4 du RGPD, la sanction administrative prévue pourra aller jusqu’à 10 000 000 euros ou 2 % du CA mondial (pour les entreprises). 3.
L’évolution du principe de sécurité pendant le traitement
187. Pour rappel, les principes de « Privacy by design » ou de « Privacy by default » s’appliquent aux mesures techniques à prendre pour garantir la sécurité et la confidentialité des données. a.
Les exigences portant sur les mesures de sécurité 266
188. L’article 32 du RGPD impose au responsable de traitement et au sous-traitant de mettre en œuvre les mesures appropriées afin de garantir un niveau de sécurité adapté au risque présenté par le traitement de données. Les mesures sont appréciées en fonction de la nature, de la portée, du contexte, du niveau et de la gravité des risques liés au traitement, et concrètement, il sera fait par référence aux résultats de l’analyse d’impact (lorsque celle-ci est exigée). Il est d’ailleurs précisé que l’évaluation du niveau de sécurité doit prendre en compte le risque « résultant notamment de la destruction, de la perte, de l’altération, de la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou de l’accès non autorisé à de telles données, de manière accidentelle ou illicite ». Certaines mesures sont même listées telles la pseudonymisation et le chiffrement des données à caractère personnel, l’adoption de « moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement » et de « moyens permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique ». L’évaluation régulière de l’efficacité des mesures est également recommandée.
266. C. Boutonnet, « La sécurité des données », hors-série Banque & Droit, mars-avr. 2017, p. 52 et s.
106 | B anque b.
et
a ssurance
digitales
La notification des violations de données personnelles
189. Le RGPD prévoit une nouvelle obligation à la charge des responsables de traitement de notification des violations de données personnelles, notion qui doit être entendue comme une « violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données »267. La notification est prévue en deux temps : tout d’abord réalisée auprès de l’autorité de contrôle puis, en fonction des circonstances, auprès de la personne concernée. 190. L’article 33 du RGPD prévoit que la notification à destination de l’autorité de contrôle est requise dès lors qu’elle est susceptible d’engendrer un risque sur les droits et libertés des personnes physiques. Elle doit alors être réalisée sans délai injustifié et dans la limite de 72 heures après en avoir eu connaissance. Tout dépassement du délai de 72 heures doit être justifié. De son côté, le sous-traitant est tenu de notifier toute violation de données personnelles au responsable dès qu’il en a connaissance. Le contenu de la notification porte sur la nature de la violation, le nombre de personnes et de traitements concernés, les coordonnées du Délégué à la Protection des Données ou de tout contact pertinent, les conséquences de la violation des données pour les personnes et les mesures prises ou proposées pour y remédier. Le RGPD autorise la transmission de ces informations en plusieurs phases. Le responsable doit documenter la violation (contexte, effets, mesures prises ou à prendre) et la mettre à disposition de l’autorité de contrôle pour vérifications. 191. Selon l’article 34 du RGPD, la notification à destination de la personne concernée est obligatoire si la violation des données à caractère personnel fait porter un risque élevé sur les droits et libertés des personnes concernées ; elle doit alors être faite sans délai et comporter une grande partie des informations déjà communiquées à l’autorité de contrôle. Cette obligation tombe dans le cas où le responsable a adopté des mesures de sécurité validées par la CNIL, telles que le chiffrement des données ou si ces mesures ont éradiqué le risque d’atteinte aux droits et libertés. Une notification générale à destination des personnes concernées (communication publique) peut également être envisagée quand la notification individuelle demanderait un effort disproportionné. Enfin, le RGPD reconnaît à la CNIL le pouvoir d’obliger le responsable de traitement à notifier aux personnes concernées. 267. Art. 4-12) RGPD : « violation de données à caractère personnel », une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données ».
la
protection des données à caractère personnel
| 107
192. La sanction administrative encourue en cas de manquement avéré à cette obligation est posée par l’article 83-4 du RGPD (jusqu’à 10 000 000 euros ou 2 % du CA mondial pour les entreprises). c.
L’évolution du statut du sous-traitant
193. La directive n° 95/46/CE comme la loi « Informatique et Libertés » ne prévoient pas d’engager la responsabilité du sous-traitant, ni de le sanctionner. Comme en attestent plusieurs sanctions de la CNIL, seul le responsable de traitement est passible de sanctions268. Le RGPD organise un nouveau statut du sous-traitant, ce dernier étant défini comme traitant des données à caractère personnel pour le compte du responsable du traitement et sous les instructions documentées de ce dernier. Le RGPD introduit un principe de responsabilité pour le sous-traitant à l’article 28 et l’astreint à de nouvelles exigences qui sont obligatoirement inscrites dans le contrat le liant au responsable de traitement. Outre l’information et l’autorisation préalable du responsable de traitement pour les sous-traitances ultérieures, il est tenu de coopérer avec l’autorité de contrôle (par exemple sur la production des documents sur ses procédures et mesures relatives aux traitements), de garantir la sécurité des traitements conformément aux prescriptions de l’article 32, et de notifier les violations de données au responsable de traitement. 194. En cas de manquement grave et avéré à ses obligations, des sanctions administratives peuvent s’élever à un maximum de 20 millions d’euros et dans le cas d’une entreprise à 4 % du CA mondial. § 4 – Le renforcement des droits des personnes
195. À titre liminaire et pour rappel, la protection des données personnelles repose également (si ce n’est à titre principal) sur le respect des droits qui sont reconnus aux personnes dont les données font l’objet d’un traitement. En cas de contestation, la charge de la preuve des réponses aux demandes incombe toujours au responsable de traitement. 196. Les sanctions prévues par le RGPD en cas de violation des dispositions relatives aux droits des personnes peuvent s’élever jusqu’à 20 000 000 d’euros ou 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu269.
268. V. délibérations supra sous partie I, chapitre II, section I - § 3. C. 269. RGPD, art. 83 5. b).
108 | B anque
et
a ssurance
digitales
Par rapport aux services de banque et d’assurance classiques, l’ensemble des principes relatif aux droits des personnes trouve une intensité d’application renforcée dans le cadre du déploiement des prestations numériques. 197. Le renforcement des droits des personnes opéré par le RGPD se fonde sur l’introduction de nouveaux droits (A), étant noté que ce texte vise également à consolider les droits existants tels que consacrés par la réglementation européenne et par la loi « Informatique et Libertés » (B). Le délai de réponse prévu par le règlement est ramené à un mois270, au lieu des deux mois prescrits par l’article 94 du décret du 20 octobre 2005271. A.
Les nouveaux droits
198. Parmi les développements les plus pertinents correspondant aux spécificités de la banque et l’assurance numériques, il convient de relever que le RGPD crée de nouveaux droits destinés à protéger la personne dans le cadre du traitement de ses données à caractère personnel, l’idée étant « de renforcer et de préciser les droits des personnes concernées et les obligations de ceux qui effectuent et déterminent le traitement des données à caractère personnel, ainsi que de prévoir, dans les États membres, des pouvoirs équivalents de surveillance et de contrôle du respect des règles relatives à la protection des données à caractère personnel et des sanctions équivalentes pour les violations » (considérant 11 du règlement). Ces renforcements et précisions se déclineront donc sur le droit à l’information (1), le droit à la limitation des traitements (2), le droit à la portabilité des données (3) et les droits liés à la prise de décision automatisée (4). 1.
Droit à l’information
199. Alors qu’il s’agit d’une obligation dans la loi « Informatique et Libertés », le règlement européen reconnaît à l’information préalable de toute personne concernée par un traitement le statut de droit reconnu à cette personne, avec pour conséquence le fait d’être plus lourdement sanctionné. Pour rappel, dans le cadre de la loi « Informatique et Libertés », l’obligation d’information de la personne concernée par un traitement de données à caractère personnel est intrinsèquement liée au principe de collecte loyale et licite des données. L’article 32 en définit le contenu272.
270. RGPD, art. 12-3. 271. Décret n° 2005-1309 du 20 octobre 2005 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés,JO 22 oct. 2005, p. 16769. I. Cantero, « Décret du 20 octobre 2005 pris en application de la loi Informatique et Libertés ! » : Com. com. électr. 2006, étude 6. 272. V. supra partie I, chapitre II, section I - § 2. A.
la
protection des données à caractère personnel
| 109
200. À l’instar de la loi, le RGPD prévoit une information, que la collecte soit directement réalisée auprès des personnes concernées (article 12 sur la collecte directe) ou non (article 13 sur la collecte indirecte des données). Ce principe de transparence est un des bastions de la protection et est imposé quelles que soient les modalités de collecte des données. Il s’agit pour le responsable de traitement de communiquer un ensemble d’informations de façon « concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples ». La liste des informations est très précise et comprend les informations de type général dont : les données d’identification (identité et coordonnées du responsable du traitement, coordonnées du délégué à la protection des données), les finalités du traitement et si le traitement est fondé sur le consentement de la personne, les intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, les destinataires des données et, le cas échéant, le transfert de données vers un pays tiers et la référence aux garanties appropriées ou adaptées et les moyens d’en obtenir une copie ou l’endroit où elles ont été mises à disposition. Des informations complémentaires doivent être communiquées sur la durée de conservation des données ou les critères utilisés pour la déterminer, sur l’existence d’un droit d’accès, de rectification, d’effacement et de portabilité des données ainsi que sur le droit de s’opposer au traitement de ses données ou de demander sa limitation. L’information doit également porter sur le droit d’introduire une réclamation auprès d’une autorité de contrôle (la CNIL ou toute autorité chef de file). D’autres informations devront être délivrées en fonction du traitement (pour les traitements reposant sur le consentement préalable de la personne, ou sur l’existence d’une prise de décision automatisée ou encore sur la finalité du traitement ultérieur des données envisagé). 201. L’obligation d’information admet plusieurs exceptions (informations déjà connues, efforts disproportionnés pour leurs communications, communication prévue par le droit local ou, au contraire, interdite). 202. Le détail des informations à fournir s’applique quel que soit le support de communication. Or, un des objectifs de la contractualisation en ligne tient quand même au fait d’en accélérer les processus (recueil du consentement, signature…). L’ensemble des informations à fournir ne doit pas être négligé au profit de la vélocité attendue, et toutes les informations requises devront donc être communiquées à la personne concernée. Pour autant, cet ensemble détaillé d’informations pourrait aussi s’avérer contre-productif dans la mesure où, à l’instar de conditions générales d’utilisations trop étoffées, le risque est de générer un réel désintérêt des personnes concernées. 2.
Droit à la limitation du traitement
203. Selon l’article 4-3) du RGPD, la limitation du traitement s’entend du « marquage de données à caractère personnel conservées, en vue de limiter leur traitement futur ». En application de l’article 18 du RGPD, la personne concernée peut exiger une limitation temporaire du traitement de ses données dans certains cas et notamment pour une durée liée aux vérifications nécessaires
110 | B anque
et
a ssurance
digitales
ou à la régularisation de la situation par le responsable de traitement. Ce droit s’applique dans les cas où la personne concernée conteste l’exactitude de ses données ou s’oppose à leur effacement (dans le cadre d’un traitement illégitime). Le droit à la limitation est également prévu pour contester l’intérêt légitime poursuivi par le responsable de traitement. Enfin, il peut être sollicité lorsque les données ne doivent plus être traitées eu égard à la finalité poursuivie mais qu’elles « sont encore nécessaires à la personne concernée pour la constatation, l’exercice ou la défense de droits en justice ». Cette limitation impose au responsable de ne traiter les données qu’avec le consentement de la personne, ou pour l’exercice de droits en justice, ou pour des motifs d’intérêt public important. 3.
Droit à la portabilité des données
204. Les dispositions relatives au droit à la portabilité des données sont certainement celles qui auront, par nature, une incidence remarquable et spécifique sur les prestations de banque et d’assurance en ligne. Selon l’article 20 du RGPD, les personnes concernées par un traitement ont le droit de recevoir leurs données dans un format structuré et lisible, et de les transmettre à un autre responsable. Toutefois, la portabilité des données est prévue dans certains cas seulement : lorsque le traitement est fondé sur le consentement ou sur les besoins du contrat, mais également si le traitement est automatisé. Les exceptions visent en particulier les traitements d’intérêt public. À noter que la nouvelle rédaction prévoit que la personne a le droit d’obtenir que les données soient transmises directement par le responsable de traitement quand cela est faisable. 205. Il convient de mettre en parallèle cette disposition du RGPD avec l’article 48 de la loi pour la République numérique273, repris par les articles L. 224-42-1 et suivants du Code de la consommation soumettant au droit à la portabilité et à la récupération « tous les fichiers mis en ligne par le consommateur ; (...) toutes les données résultant de l’utilisation du compte d’utilisateur du consommateur et consultables en ligne par celui-ci, à l’exception de celles ayant fait l’objet d’un enrichissement significatif par le fournisseur en cause (...). D’autres données associées au compte utilisateur du consommateur et répondant aux conditions suivantes : « a) Ces données facilitent le changement de fournisseur de service ou permettent d’accéder à d’autres services ; « b) L’identification des données prend en compte l’importance économique des services concernés, l’intensité de la concurrence entre les
273. Loi n° 2016-1321, 7 oct. 2016, « Pour une République numérique », JO 8 oct. 2016. V. N. Martial-Braz, « République numérique », RDBF 2016, comm. 204.
la
protection des données à caractère personnel
| 111
fournisseurs, l’utilité pour le consommateur, la fréquence et les enjeux financiers de l’usage de ces services ». 206. Il convient de souligner que seules les données significativement « enrichies » seront exclues du droit à la portabilité et à la récupération des données. Ceci étant, le critère de l’enrichissement significatif est encore peu explicite, en l’absence du décret d’application. L’entrée en application de la loi sur la République numérique différée au 25 mai 2018 devrait permettre de faciliter son adéquation avec le RGPD, pas forcément évidente en l’état des incertitudes sur le texte. 4.
Droit lié à une décision automatisée274
207. L’article 22 du RGPD encadre le droit de ne pas être soumis « à une décision basée uniquement sur un traitement automatisé, que le profilage, qui produit des effets juridiques la concernant ou qui l’affecte », sauf exceptions (la conclusion ou l’exécution d’un contrat, le respect d’une obligation légale, le consentement de la personne). La personne doit pouvoir solliciter une intervention humaine, exprimer son point de vue et contester la décision. Les décisions ne peuvent être basées sur le traitement de données sensibles, sauf consentement exprès de la personne ou la poursuite d’un motif d’intérêt général « et que des mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée ne soient en place ». B.
Le renforcement des droits existants
208. Le RGPD renforce donc le droit d’opposition au traitement (1), le droit d’accès aux données personnelles (2) et le droit de rectification des données (3), lesquels ont déjà été éprouvés dans le cadre de la banque et l’assurance traditionnelles. Leur pertinence est rehaussée par le caractère numérique des nouvelles prestations de ces secteurs d’activité. 1.
Le droit d’opposition
a.
Le droit d’opposition dans la loi « Informatique et Libertés »
209. Le droit d’opposition tel que posé par l’article 18 de la loi « Informatique et Libertés » impose à la personne concernée de se prévaloir de « motifs légitimes » (préjudice, données obsolètes, erronées…), sauf en cas de prospection commerciale où le droit d’opposition est automatique car non conditionné par un quelconque motif275. À titre dérogatoire, l’opposition à un traitement de données n’est pas recevable pour les traitements qui répondent à une obligation 274. V. infra partie I, chapitre II, section II « Prospection commerciale » et section III « Profilage ». 275. V. infra partie I, chapitre II, section II « Prospection commerciale » et section III « Profilage ».
112 | B anque
et
a ssurance
digitales
légale ou lorsque l’acte qui fonde le traitement l’exclut expressément (contrat par exemple). 210. Les sanctions en cas de manquement à cette obligation sont prévues par l’article 226-18-1 du Code pénal (jusqu’à 5 ans d’emprisonnement, 300 000 euros d’amende). Des sanctions administratives sont également encourues. À titre d’illustration, et entre autres, on peut citer la décision du Conseil d’État en 2015276 venant confirmer celle de la CNIL qui avait fermement rappelé en 2011 l’importance du respect de l’exercice du droit d’opposition des individus dans le cadre d’une affaire relative à un site Internet qui n’avait pas anonymisé des décisions judiciaires, alors que les personnes concernées exerçaient, à bon droit, leur droit d’opposition. La sanction pécuniaire à hauteur de 10 000 euros ainsi que l’injonction de cesser le traitement de données infligées par la CNIL ont été confirmées277. b.
Le droit d’opposition dans le RGPD
211. Nonobstant le fait qu’il emporte des incidences également pour les services de banque et d’assurance traditionnels, le renforcement du droit d’opposition tel que consacré par le RGPD, comporte un écho particulier pour les prestations en ligne, en particulier dans le cadre de la prospection commerciale. Comme pour réaffirmer le caractère impérieux du principe, le considérant 70 rappelle que : « les données à caractère personnel sont traitées à des fins de prospection, la personne concernée devrait avoir le droit, à tout moment et sans frais, de s’opposer à ce traitement, y compris le profilage dans la mesure où il est lié à une telle prospection, qu’il s’agisse d’un traitement initial ou ultérieur. Ce droit devrait être explicitement porté à l’attention de la personne concernée et présenté clairement et séparément de toute autre information ». 212. C’est ainsi que l’article 21-2 du règlement dispose que « lorsque les données à caractère personnel sont traitées à des fins de prospection, la personne concernée a le droit de s’opposer à tout moment au traitement des données à caractère personnel la concernant à de telles fins de prospection, y compris au profilage dans la mesure où il est lié à une telle prospection ». Le périmètre du droit d’opposition en matière de prospection est donc particulièrement large. Il prend en considération les nouvelles techniques de démarchage et d’approche auprès des prospects, y compris le profilage dont le caractère possiblement intrusif est évident. 276. CE, 10e/9e SSR, 23 mars 2015, n° 353.717. Pour un commentaire de l’arrêt, v. « Droit à l’oubli : le Conseil d’État confirme les sanctions de la CNIL visant un site Internet ne respectant pas le droit d’opposition », Revue Lamy Droit de l’immatériel, n° 116, 1er juin 2015. 277. V. également Cass. crim., 29 juin 1999 : Bull. crim. n° 158 ; Cass. crim., 28 sept. 2004 : Bull. crim. n° 224 ; AJ pénal 2004, p. 447 ; Dr. pénal 2005, p. 18, obs. Véron ; Gaz. Pal. 2005, 1, 1376, note A. C.
la
protection des données à caractère personnel
| 113
213. Afin de garantir l’effectivité du droit d’opposition, l’article 13-2 b) impose que le responsable de traitement fournisse à la personne concernée, au moment où les données à caractère personnel sont obtenues, entre autres, l’information de l’existence du droit de s’opposer au traitement auprès au responsable du traitement, l’objectif étant de « garantir un traitement équitable et transparent »278. 214. Dans le même sens, l’article 21-4 indique que c’est « au plus tard au moment de la première communication avec la personne concernée », que le droit d’opposition en matière de prospections commerciales « est explicitement porté à l’attention de la personne concernée et est présenté clairement et séparément de toute autre information », étant entendu que l’exercice de ce droit d’opposition peut se faire « à l’aide de procédés automatisés utilisant des spécifications techniques ». Dans le cadre d’un traitement « nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique » ou « nécessaire aux fins des intérêts légitimes poursuivis » par le responsable de traitement, ce dernier devra cesser le traitement lorsque le droit d’opposition est justement exercé, sauf s’il démontre l’existence « des motifs légitimes et impérieux pour le traitement qui prévalent sur les intérêts et les droits et libertés de la personne concernée, ou pour la constatation, l’exercice ou la défense de droits en justice »279. 2.
Le droit d’accès aux données
a.
Le droit d’accès dans la loi « Informatique et Libertés »
215. La loi « Informatique et Libertés » reconnaît à toute personne concernée par un traitement de données à caractère personnel, un droit d’accès direct à ses données et un droit d’accès indirect (prévu aux articles 41 et 42 et dont l’exercice est confié à la CNIL pour des fichiers spécifiques280). La CNIL a permis de compléter le dispositif légal en publiant un Guide sur le droit d’accès en 2010, des fiches pratiques accessibles sur son site et, plus anciennement, une recommandation relative à la mise en œuvre du droit individuel d’accès aux fichiers automatisés281. 278. V. l’article 14 du RGPD, lorsque les données à caractère personnel n’ont pas été collectées auprès de la personne concernée. 279. RGDP, art. 21-1. 280. Il s’agit des « fichiers intéressant la sûreté de l’État, la défense ou la sécurité publique (Traitement des antécédents judiciaires – TAJ – fichiers des services de renseignement des ministères de l’Intérieur – Direction générale du renseignement intérieur, services de renseignement territorial – ou de la Défense – Direction générale de la sécurité extérieure – Système d’information Schengen…), mais aussi certains fichiers du ministère de la justice (fichier de gestion informatisée des détenus en établissement pénitentiaire – GIDE) ou des finances et des comptes publics (fichier des comptes bancaires dénommé FICOBA, fichier du service TRACFIN) ». 281. Délibération n° 80-010 du 1er avril 1980 portant adoption d’une recommandation relative à la mise en œuvre du droit individuel d’accès aux fichiers automatisés.
114 | B anque
et
a ssurance
digitales
216. Seul le droit d’accès direct concerne les établissements bancaires et les compagnies d’assurance et les oblige à mettre en œuvre des procédures et des mesures adaptées afin de répondre aux exigences de l’article 39 de la loi « Informatique et Libertés » ainsi qu’à celles posées par les articles 92 à 98 du décret du 20 octobre 2005 pour les modalités d’exercice. 217. L’article 39 de la loi « Informatique et Libertés » prévoit que « toute personne physique justifiant de son identité a le droit d’interroger le responsable d’un traitement » et d’accéder aux informations suivantes : la finalité du traitement, les catégories de données traitées, les destinataires ou catégories de destinataires de ces données, le cas échéant, l’existence d’un transfert de données vers un État tiers et les informations qui permettent de connaître et de contester la logique du traitement ayant servi de fondement à une décision produisant des effets juridiques à son égard (comme, par exemple, le score attribué et ayant conduit au rejet d’une demande de crédit282). Le droit d’accès peut être exercé par un représentant de la personne concernée (représentant légal pour les mineurs, ou tout représentant dûment mandaté, tel un avocat) et par ses héritiers, pour les données contenues dans le Fichier national des comptes bancaires et assimilés (FICOBA)283, mais également en fonction des directives laissées par le défunt quant à la conservation, l’effacement et la communication de ses données à caractère personnel en application de l’article 40-1 de la loi « Informatique et Libertés »284. En ce qui concerne l’étendue du droit d’accès, la CNIL a précisé son périmètre plutôt très largement dans le cadre de plusieurs décisions. Ainsi, à titre d’exemple, la CNIL avait enjoint à un fournisseur d’accès à Internet de répondre à la demande de l’une de ses clientes réclamant d’accéder à ses données. N’ayant pas obtempéré, la CNIL a adopté une sanction pécuniaire à l’encontre de cette société et l’a obligée à communiquer « la copie de l’intégralité des documents contenant des données à caractère personnel la concernant figurant dans le ou les fichiers de la société » ainsi que l’intégralité des procédures mises en œuvre au sein de la société pour le respect des droits des personnes concernées (information, opposition, accès, rectification)285. 218. Les juridictions vont dans le même sens. Ainsi en a-t-il été dans le cadre de l’ordonnance du 17 juillet 2014286 par laquelle le Tribunal de grande instance de Paris a eu l’occasion de se prononcer sur l’existence du droit d’accès à ces données de connexion. Dans cette affaire, une cliente titulaire de deux comptes bancaires avait reçu un courrier électronique l’informant de la situation débitrice 282. 283. 284. 285.
Fiche CNIL sur le droit d’accès. Décision du Conseil d’État du 29 juin 2011. V. supra, section I - § 2. 4. : « Les données des personnes décédées ». Délibération n° 2008-163 du 12 juin 2008 prononçant une sanction pécuniaire à l’encontre de la société Neuf Cegetel. 286. TGI Paris, ord. réf., 7 juill. 2014, M. c/ Crédit Lyonnais : http://www.legalis.net. V. le commentaire d’É. A. Caprioli, « L’adresse IP est une donnée à caractère personnel », Com. com. électr. 2014, comm. 81.
la
protection des données à caractère personnel
| 115
de son compte. Il s’avérait que cette cliente n’était qu’en copie du mail et que le destinataire principal était un collègue de son mari. À la suite de ces événements, elle mettait en demeure la banque de lui communiquer l’historique des logs de connexion de ses comptes. Face au refus de la banque, elle saisissait le Tribunal de grande instance en référé sollicitant la communication de l’historique des logs de connexion de ses deux comptes depuis leur création, et ce sous astreinte. Pour cela, elle se fondait notamment sur son droit d’accès à ces données à caractère personnel prévu à l’article 39 de la loi n° 78-17 du 6 janvier 1978. L’établissement bancaire considérait, quant à lui, que ces données n’étaient pas des données à caractère personnel de sa cliente mais celles d’une tierce personne de sorte que la loi « Informatique et Libertés » et donc le droit d’accès ne s’appliquait pas. Le Tribunal de grande instance de Paris rejette cet argument et fait droit à la demande considérant « qu’il est constant que dans ses échanges en ligne avec ses clients, la société (…) est soumise aux dispositions de la loi n° 78-17 du 6 janvier 1978 modifiée », que la demanderesse sollicitait un accès aux logs de connexion de ses propres comptes et donc à « des données qui lui sont personnelles » et que « l’éventualité que cette communication révélerait une utilisation frauduleuse » ne saurait la priver de ce droit d’accès. Le tribunal conclut que l’absence de contestation sérieuse et l’existence d’une urgence « résultant de la conservation légale des données pendant une durée limitée à un an » justifient que la banque communique « dans un délai de huit jours à compter de la signification de cette décision, l’historique, à compter du 17 juillet 2013, de ses logs de connexion, incluant les adresses IP, de ses deux comptes en ligne ». Le Tribunal de grande instance, sans s’embarrasser de la question de savoir si l’adresse IP constitue une donnée à caractère personnel, prend le soin de spécifier de façon explicite dans son dispositif que le droit d’accès aux logs de connexion inclut l’adresse IP. 219. Le responsable de traitement peut s’opposer à une demande d’accès si cette dernière ne respecte pas des droits d’auteur287, ou s’il s’agit d’une demande manifestement abusive (critère quantitatif ou de fréquence, par exemple) ou encore si les données sont conservées sous une forme qui exclut manifestement tout risque d’atteinte à la vie privée288.
287. Art. 39-I-5° : « (…) Toutefois, les informations communiquées à la personne concernée ne doivent pas porter atteinte au droit d’auteur au sens des dispositions du livre Ier et du titre IV du livre III du Code de la propriété intellectuelle ». 288. Art. 39-II, al. 2 : « les dispositions du présent article ne s’appliquent pas lorsque les données à caractère personnel sont conservées sous une forme excluant manifestement tout risque d’atteinte à la vie privée des personnes concernées et pendant une durée n’excédant pas celle nécessaire aux seules finalités d’établissement de statistiques ou de recherche scientifique ou historique. Hormis les cas mentionnés au deuxième alinéa de l’article 36, les dérogations envisagées par le responsable du traitement sont mentionnées dans la demande d’autorisation ou dans la déclaration adressée à la Commission nationale de l’informatique et des libertés ».
116 | B anque
et
a ssurance
digitales
Le non-respect du droit d’accès est sanctionné par l’article R. 625-11 du Code pénal (amende prévue pour les contraventions de cinquième classe289). b.
Le droit d’accès dans le RGPD
220. L’article 15 du RGPD reconnaît aux personnes concernées par un traitement un droit d’accès plus étendu que celui qui est posé par l’article 39 de la loi « Informatique et Libertés » et tel que précisé par le décret de 2005. Le droit d’accès doit permettre à la personne concernée d’obtenir de la part du responsable de traitement, la confirmation que ses données personnelles font l’objet d’un traitement (ou non) et corrélativement, la communication de diverses informations. L’article 15 ajoute aux informations relatives au traitement déjà inscrites dans les exigences de l’article 39 de la loi « Informatique et Libertés » des informations sur « la durée de conservation des données à caractère personnel envisagée ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée », « lorsque les données à caractère personnel ne sont pas collectées auprès de la personne concernée, toute information disponible quant à leur source », la logique sous-jacente à toute prise de décision automatisée « ainsi que l’importance et les conséquences prévues de ce traitement pour la personne concernée ». Enfin, en cas de transfert des données vers un État tiers, la personne concernée doit pouvoir accéder aux garanties appropriées (« Clauses contractuelles » types ou « Binding Corporate Rules ») qui permettent d’encadrer ce transfert. Force est de constater que le niveau de précision que pourra atteindre une demande d’accès repose d’abord sur une parfaite maîtrise du cycle des données (collecte, utilisation et transmission, le cas échéant). L’ouverture du droit d’accès impose d’organiser en amont les procédures et mesures permettant de répondre aux demandes. 221. Le droit d’accès comprend l’obligation faite au responsable de fournir une copie des données, sous réserve que cela ne porte pas atteinte aux droits et libertés de tiers. Pour toute autre copie, il peut demander « le paiement de frais raisonnables basés sur les coûts administratifs pour toute copie supplémentaire demandée par la personne concernée ». Lorsque la personne concernée présente sa demande par voie électronique, sauf si elle s’y oppose, les informations demandées doivent lui être communiquées également par voie électronique.
289. C. pén. art. 131-13 : « 5°) 1 500 euros au plus pour les contraventions de la 5e classe, montant qui peut être porté à 3 000 euros en cas de récidive lorsque le règlement le prévoit, hors les cas où la loi prévoit que la récidive de la contravention constitue un délit ».
la 3.
protection des données à caractère personnel
| 117
Le droit de rectification
222. Aux termes de l’article 40 de la loi « Informatique et Libertés », toute personne justifiant de son identité « peut exiger du responsable d’un traitement que soient, selon les cas, rectifiées, complétées, mises à jour, verrouillées ou effacées les données à caractère personnel la concernant, qui sont inexactes, incomplètes, équivoques, périmées, ou dont la collecte, l’utilisation, la communication ou la conservation est interdite ». Sans grands changements, le droit de rectification qui est prévu par l’article 16 du RGPD vise à permettre aux personnes concernées d’obtenir la correction de leurs données inexactes ou incomplètes. Corrélativement, le RGPD exige du responsable de traitement d’informer les destinataires des données des rectifications auxquelles il a procédé. 4.
Le droit à l’effacement des données
223. Ainsi que le rappelle le Considérant 66290, ce droit vise à « renforcer le « droit à l’oubli » numérique », dont la consécration est intervenue suite à l’arrêt de la CJUE en date du 13 mai 2014291. Le droit à l’effacement (ou également intitulé « droit à l’oubli »), qui est posé par l’article 17 du RGPD, s’applique dans différentes situations. Ainsi, les données doivent être effacées lorsqu’elles ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées et traitées, lorsque la personne retire son consentement ou qu’elle exerce son droit d’opposition. Le droit à l’effacement des données s’applique aussi lorsque le traitement est illicite ou qu’il s’agit d’une obligation légale, sous réserve des exceptions prévues (obligations légales, intérêt public, statistique…). Le RGPD impose au responsable de traitement d’informer les destinataires des données des rectifications auxquelles il a procédé.
290. Le considérant 66 indique : « Le droit à l’effacement devrait également être étendu de façon à ce que le responsable du traitement qui a rendu les données à caractère personnel publiques soit tenu d’informer les responsables du traitement qui traitent ces données à caractère personnel qu’il convient d’effacer tout lien vers ces données, ou toute copie ou reproduction de celles-ci. Ce faisant, ce responsable du traitement devrait prendre des mesures raisonnables, compte tenu des technologies disponibles et des moyens dont il dispose, y compris des mesures techniques afin d’informer les responsables du traitement qui traitent les données à caractère personnel de la demande formulée par la personne concernée ». V. également les considérants 39, 59, 68 et 73. 291. CJUE, gde ch., 13 mai 2014, aff. C-131/12, Google Spain SL et Google Inc. c/ Agencia Española de Protección de Datos (AEPD) et a. : Juris-Data n° 2014-009597 ; v. note sous arrêt de L. Marino, « Un “droit à l’oubli” numérique consacré par la CJUE », JCP éd. G n° 26, 30 juin 2014, 768.
118 | B anque
et
a ssurance
digitales
SECTION II LA PROSPECTION COMMERCIALE DES DONNÉES292 224. L’objectif de cette section est de présenter les principales règles applicables à la prospection commerciale dans un environnement digital qui repose sur la collecte et le traitement automatisés des données, à l’exclusion des autres formes de prospection (par voie postale ou appel téléphonique avec intervention humaine)293. 225. L’écosystème de la prospection commerciale est en pleine mutation, conséquence naturelle de la digitalisation des entreprises, tendance à laquelle n’échappent pas le secteur bancaire et celui des assurances. Toutefois, cette évolution est surtout due au développement du marketing digital qui ajoute aux applications marketing attachées à l’Internet « traditionnel », celles liées aux téléphones mobiles, tablettes, GPS et aux objets connectés (IOT) ou encore à la banque en ligne294. En effet, alors que le marketing « traditionnel » n’utilisait pas a priori de données personnelles, la publicité digitale les utilise beaucoup, spécialement par le biais du ciblage comportemental qui peut être réalisé à l’aide de cookies (et autres traceurs) collectés sur les sites des banques et des entreprises d’assurance mais également sur d’autres sites. Dès lors, la prospection commerciale directe va pouvoir être réalisée à partir de la base CRM (Customer Relationship Management ou Gestion de la Relation Client) de la banque ou de l’entreprise d’assurances et à partir de données issues de partenaires (données tierces ou externes). 226. Dans ce contexte, la qualité de responsable de traitement doit être définie en amont et distinguée de celle du responsable de la collecte des données personnelles relatives aux prospects. Les banques et entreprises d’assurance ont la qualité de responsable de traitement pour ce qui concerne leur base CRM. Mais la prospection commerciale ne se limite pas à ses propres fichiers. De fait, afin d’optimiser la prospection, le recours à l’achat de fichiers auprès de partenaires (agence de communication, régie publicitaire, prestataire de campagne d’e-mailing), s’est généralisé, ce qui implique en amont un encadrement strict des relations contractuelles et de la conformité légale des fichiers concernés. 227. Par ailleurs, confrontée au développement des fichiers de prospection commerciale, la CNIL a adopté de nombreuses décisions afin d’encadrer la 292. É. A. Caprioli, « Loi du 6 août 2004. Commerce à distance sur l’Internet et protection des données à caractère personnel », Com. com. électr. 2005, étude 7 et le numéro spécial de la Revue Com. com. électr. de février 2005 consacré à la loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel et modifiant la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés. 293. V. les fiches de la CNIL sur la prospection postale et téléphonique avec intervention humaine, disponible sur le site : www.cnil.fr. 294. É. A. Caprioli (ss. La dir.), I. Cantero, I. Choukri, P. Agosti ; F. Coupez, La banque en ligne et le droit, RB Édition 2014, p. 19 et s.
la
protection des données à caractère personnel
| 119
pratique et d’accompagner les professionnels du secteur dans le cadre de l’élaboration des codes de déontologie295 auxquels il peut être utilement fait référence. 228. Le régime juridique défini pour la prospection directe, c’est-à-dire réalisée en ayant recours à des techniques électroniques, relève à la fois de la loi pour la confiance dans l’économie numérique296 du 21 juin 2004, ci-après « LCEN » (§ 1), et de la loi « Informatique et Libertés » (§ 2)297. § 1 – Les obligations posées par la loi pour la confiance dans l’économie numérique (LCEN)
229. La réglementation applicable aux sollicitations commerciales tient compte de différents objectifs dont celui de lutter contre le phénomène du « spamming » (ou encore « pollupostage » ou « pourriel »). Le « spamming » a été défini par la CNIL « comme l’envoi massif – et parfois répété – de courriers électroniques non sollicités, le plus souvent à caractère commercial, à des personnes avec lesquelles l’expéditeur n’a jamais eu de contacts et dont il a capté l’adresse électronique dans les espaces publics de l’Internet : forums de discussion, listes de diffusion, annuaires, sites Web, etc. »298. Il est question de « communications commerciales non sollicitées » dans la directive n° 2000/31/CE du 8 juin 2000 sur le commerce électronique299 dont l’article 7 laisse aux États membres la liberté d’en organiser la réglementation sous réserve que ces communications puissent être « identifiées de manière claire et non équivoque dès leur réception par leur destinataire ». Enfin, la protection du consommateur est prévue par la directive n° 2002/65/CE sur la commercialisation à distance de services financiers auprès des consommateurs300 (incluant les services d’assurance), 295. Code déontologique de la Fédération e-commerce et vente à distance : « Code de déontologie des professionnels du marketing direct vis-à-vis de la protection des données à caractère personnel » de 2003, complété par le « Code déontologique du e-commerce et de la vente à distance » de juin 2012 ; Charte de l’e-mailing élaborée en 2002 par le Syndicat national de la communication directe, déclaré en 2005 conforme à la loi « Informatique et Libertés » – CNIL, Délibération n° 2005-047 portant avis sur un projet de code de déontologie présenté par le Syndicat national de la communication directe (NCD) relatif à la communication électronique ; Code de conduite sur l’utilisation des coordonnées électroniques à des fins de prospection directe – Charte de l’e-mailing de l’Union française du marketing direct. 296. Loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique, JO 22 juin 2004, p. 11168. 297. É. A. Caprioli et I. Cantero, « La protection des données à caractère personnel dans le cadre de la banque en ligne », in Banque & Droit, Quel droit pour le développement de la banque en ligne ?, hors-série, juin 2013, p. 64. 298. CNIL, 20e Rapport d’activité 1999, La Documentation française, 2000, p. 108. 299. Directive n° 2000/31/CE du Parlement européen et du Conseil du 8 juin 2000 relative à certains aspects juridiques des services de la société de l’information, et notamment du commerce électronique, dans le marché intérieur (« directive sur le commerce électronique », JOCE n° L. 178, 17 janv. 2000, p. 1. 300. Directive n° 2002/65/CE du Parlement européen et du Conseil du 23 septembre 2002 concernant la commercialisation à distance de services financiers auprès des consommateurs et modifiant les directives n° 90/619/CEE du Conseil, n° 97/7/CE et n° 98/27/CE, JOUE n° L. 271, 9 déc. 2002, p. 16.
120 | B anque
et
a ssurance
digitales
transposée en droit français par l’ordonnance n° 2005-648 du 6 juin 2005301, qui interdit le démarchage réalisé par automate d’appel ou par télécopieur sans le consentement préalable du consommateur. 230. En transposant l’article 13 de la directive n° 2002/58/CE du 12 juillet 2002 (dite directive « vie privée et communications électroniques »302, l’article 22 de la LCEN a créé un régime unifié pour la prospection commerciale par des techniques de communication à distance. Ce cadre a initialement été inséré dans le Code de la consommation à l’article L. 121-20-5 (abrogé en 2014)303 et dans le Code des Postes et des communications électroniques à l’article L. 33-4-1 rapidement transféré à l’article L. 34-5304 du même code. 231. Suite à l’adoption en 2009 du « Paquet Télécom », constitué d’un ensemble de directives instituant le nouveau cadre européen applicable aux communications électroniques, l’article L. 34-5 du CPCE a été modifié de façon substantielle en 2011305 et en 2014306 afin de prendre en compte les évolutions technologiques. Il fonde, dans sa version actuelle307, le régime applicable à la prospection directe quelle que soit l’activité dans laquelle cette opération s’inscrit, le secteur bancaire comme celui des assurances étant ainsi tenus de se conformer aux exigences prescrites. Le cadre de la protection est strictement défini (A) et repose sur la consécration du principe du consentement préalable de la personne concernée, la solution de l’opt-in ayant été préférée à celle de l’opt-out en France (B). A.
Le cadre juridique de la protection
1.
Définition de la prospection directe
232. L’article L.34-5 du CPCE définit la prospection directe comme étant « l’envoi de tout message destiné à promouvoir, directement ou indirectement, des biens, des services ou l’image d’une personne vendant des biens ou fournissant 301. Ordonnance n° 2005-648 du 6 juin 2005 relative à la commercialisation à distance de services financiers auprès des consommateurs, JO 7 juin 2005, p. 10002. 302. Directive n° 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive « vie privée et communications électroniques »), JOUE n° L. 201, 31 juill. 2002, p. 37 et s. 303. Abrogé par l’article 9 de la loi n° 2014-344 du 17 mars 2014 relative à la consommation, JO 18 mars 2014, p. 5400. 304. Article 10 de la loi n° 2004-669 du 9 juillet 2004 relative aux communications électroniques et aux services de communication audiovisuelle, JO 10 juill. 2004, p. 12483. 305. Ordonnance n° 2011-1012 du 24 août 2011 relative aux communications électroniques, JO 26 août 2011, p. 14473. 306. Article 115 de la loi n° 2014-344 du 17 mars 2014 relative à la consommation, JO 18 mars 2014, p. 5400. 307. Article 13 de l’ordonnance n° 2016-301 du 14 mars 2016 relative à la partie législative du Code de la consommation, JO 16 mars 2016.
la
protection des données à caractère personnel
| 121
des services » et y inclut depuis 2014 « les appels et messages ayant pour objet d’inciter l’utilisateur ou l’abonné à appeler un numéro surtaxé ou à envoyer un message textuel surtaxé ». Si la CNIL évoque dans son Guide sur la publicité308 la notion de « messages à caractère publicitaire », l’article L. 34-5 du Code des Postes et des communications électroniques renvoie à la dimension commerciale de ces messages, cette acception étant plus large. Dans ce contexte, il est recommandé d’être vigilant quant à la promotion indirecte attachée à un envoi. En effet, les lettres de contact ou newsletters, les magazines d’information (hors abonnement) peuvent constituer des supports de promotion indirecte dès lors que des informations à caractère commercial ou publicitaire y sont insérées (comme, par exemple, l’annonce d’une formation ou d’un salon professionnel payants). C’est notamment sur ce type de communication que la CNIL a prononcé, courant 2015, une sanction pécuniaire publique de 15 000 euros à l’encontre d’un grand groupe de presse. La Commission a ainsi estimé que même si la lettre d’information disponible sur le site de la société avait bien pour objet de fournir un contenu informationnel, elle servait aussi à « promouvoir d’autres titres de la société ainsi que des biens et services proposés par des tiers » et elle avait « également vocation à titre accessoire à assurer une opération de prospection commerciale »309. 233. A contrario, les échanges contractualisés (abonnement magazine) et les messages exclusivement informatifs (mise à disposition de chéquier, mini-relevé de compte ou d’alerte bancaire sur portable) échappent à cette qualification. 2.
Critères de la prospection directe
234. L’article L. 34-5 du Code des Postes et des communications électroniques pose un principe d’interdiction de la prospection directe « au moyen de système automatisé de communications électroniques au sens du 6° de l’article L. 32, d’un télécopieur ou de courriers électroniques utilisant les coordonnées d’une personne physique, abonné ou utilisateur, qui n’a pas exprimé préalablement son consentement à recevoir des prospections directes par ce moyen »310. a.
Les moyens visés
235. Le texte a été modifié par l’ordonnance du 24 août 2011311 afin de prendre en compte les évolutions technologiques, « l’automate d’appel » visé dans la version initiale de l’article ayant été remplacé par le libellé plus générique de « système 308. Guide « La pub, Si je veux ! », éd. 2011. Disponible sur le site de la CNIL : www.cnil.fr 309. Délibération de la formation restreinte n° 2015-155 du 1er juin 2015 prononçant une sanction pécuniaire à l’encontre de la société Prisma Media. 310. CPCE, art. L. 32-6° : « On entend par services de communications électroniques les prestations consistant entièrement ou principalement en la fourniture de communications électroniques. Ne sont pas visés les services consistant à éditer ou à distribuer des services de communication au public par voie électronique ». 311. Préc.
122 | B anque
et
a ssurance
digitales
automatisé de communications électroniques ». Selon l’article L. 32 du Code des Postes et des communications électroniques, « on entend par communications électroniques les émissions, transmissions ou réceptions de signes, de signaux, d’écrits, d’images ou de sons, par voie électromagnétique ». Les moyens de prospection qui sont visés renvoient donc à des techniques automatisées, ce qui, pour rappel, exclut les envois postaux et les appels téléphoniques avec intervention humaine. Cette rédaction large permet d’intégrer la prospection réalisée par la technologie Bluetooth312 conformément à la position de la CNIL en la matière. Dès 2008, la Commission s’est, en effet, intéressée à l’envoi de publicité sur les mobiles par Bluetooth « en exigeant le recueil du consentement préalablement à l’envoi de messages publicitaires sur des téléphones portables à partir de panneaux publicitaires intégrant des bornes Bluetooth »313, étant noté que cette exigence figure à l’article 6-a) de la norme simplifiée NS-48 sur le « recueil du consentement exprès et spécifique de la personne concernée ». 236. Plus spécifiquement, l’article L. 34-5 du Code des Postes et des communications électroniques fait également référence au télécopieur (moyen qui n’appelle pas de remarque particulière) et au courrier électronique qui est défini par l’article 1er de la LCEN comme « tout message, sous forme de texte, de voix, de son ou d’image, envoyé par un réseau public de communication, stocké sur un serveur du réseau ou dans l’équipement terminal du destinataire, jusqu’à ce que ce dernier le récupère ». Pour le G29314, le courrier électronique est constitué par « tout message transmis par communication électronique où la participation simultanée de l’expéditeur et du destinataire n’est pas requise est compris dans la notion de courrier électronique ». Concrètement, et sans que cette liste soit exhaustive, la définition, volontairement vaste et neutre d’un point de vue technologique, couvre outre le courrier SMTP (« Simple Mail Transport Protocol »), les SMS, les MMS, les systèmes de messagerie vocale, les communications « Net Send » adressées directement à une adresse IP et de façon plus globale, l’ensemble des messages électroniques pouvant être reçus sur un terminal fixe ou mobile. b.
Les personnes concernées
237. L’article L. 34-5 du Code des Postes et des communications électroniques indique « les coordonnées d’une personne physique, abonnée ou utilisateur ». Au-delà de la précision relative à la qualité d’abonné ou d’utilisateur, destinée à étendre le champ d’application de la définition, ce sont les personnes physiques qui sont visées, c’est-à-dire les particuliers ou les professionnels. Les personnes 312. Définition Larousse – « Technologie de connexion sans fil à courte portée, permettant de relier des appareils numériques (équipements informatiques, téléphoniques, audiovisuels, etc.) ». 313. 29e Rapport d’activité 2008, p. 50. 314. Avis n° 5/2004 portant sur les communications de prospection directe non sollicitées selon l’article 13 de la directive n° 2002/58/CE adoptée le 27 février 2004, p. 3.
la
protection des données à caractère personnel
| 123
morales sont exclues du champ d’application de l’article L. 34-5 du Code des Postes et des communications électroniques. Elles peuvent être prospectées directement et disposent d’un droit d’opposition (« Opt-out »). Ce principe est valable pour les adresses impersonnelles telles sav@sociétéX.com, contact@ sociétéY.fr. La CNIL a considéré que les coordonnées de type prénom.nom@ société.fr (ou.com ou autres) pouvaient également être librement prospectées sous réserve que le message commercial envoyé ait un lien avec les fonctions professionnelles exercées par le destinataire dans la société ayant attribué cette adresse. B.
Le principe de la protection
1.
Le consentement préalable (« Opt-in »)
238. Pour être licite, la prospection directe par voie électronique est subordonnée à l’obtention du consentement préalable du destinataire qui doit être entendu selon l’article L. 34-5, alinéa 2, du Code des Postes et des communications électroniques comme « toute manifestation de volonté libre, spécifique et informée par laquelle une personne accepte que des données à caractère personnel la concernant soient utilisées à des fins de prospection directe ». La licéité de ce type de prospection repose sur l’« Opt-in » (consentement préalable) qui doit être distingué de l’« Opt-out » (opposition), étant rappelé qu’il s’agit d’un choix opéré par la France pour la transposition de la directive de 2002 dite « vie privée et communications électroniques ». Concrètement, pour l’« Opt-in », les coordonnées du destinataire de la prospection doivent avoir été recueillies directement auprès de la personne (client/prospect), à l’occasion d’une vente ou d’une prestation de services. Le G29 a recommandé que les services gratuits soient inclus dans la notion d’offres de biens et de services315, et, en tout état de cause, la collecte vise également les hypothèses de jeux-concours. 239. En ce qui concerne l’« Opt-out », il s’agit d’une option par défaut, notamment lorsque la prospection concerne des produits ou services analogues et que le destinataire des messages a la possibilité de s’opposer, de manière expresse et sans ambiguïté, sans frais (hormis ceux liés à la transmission du refus) à l’utilisation de ses coordonnées (téléphone, mail et télécopie). 240. Les formes du consentement dans un environnement digital sont identiques à celles qui sont définies par la directive n° 95/46/CE, et le consentement pourra être donné « selon toute modalité appropriée permettant à l’utilisateur d’indiquer ses souhaits librement, de manière spécifique et informée, y compris en cochant une case lorsqu’il visite un site Internet »316.
315. Avis n° 01/2012 sur les propositions de réforme de la protection des données, 23 mars 2012, p. 10. 316. Considérant 17 de la directive n° 2002/58/CE.
124 | B anque
et
a ssurance
digitales
241. Les modalités du recueil du consentement ainsi que sa validité ont été précisées par le G29 et par la CNIL dans le cadre des obligations prescrites au titre de la protection des données à caractère personnel. La jurisprudence aussi a permis de compléter les conditions du recueil du consentement. En particulier, dans un arrêt de 2015317, le Conseil d’État a validé la mise en demeure de la CNIL adressée à une société de ventes de logiciels considérant que « le consentement spécifique exigé par les dispositions de l’article L. 34-5 du Code des postes et communications électroniques ne peut résulter que du consentement exprès de l’utilisateur, donné en toute connaissance de cause et après une information adéquate sur l’usage qui sera fait de ses données personnelles ». Il rappelle que le consentement ne saurait résulter de l’acceptation des conditions générales de vente, fussent-elles explicites. Le consentement doit être explicite et informé et porter spécifiquement sur le traitement de données à caractère personnel, nonobstant le consentement sur les conditions générales qui est nécessairement distinct. 242. Une seule exception est prévue au principe d’interdiction, étant noté qu’elle repose sur plusieurs conditions cumulatives. L’article L. 34-5, alinéa 4, du CPCE autorise la prospection commerciale directe si : • les coordonnées du destinataire ont été collectées directement auprès de l’intéressé et conformément aux principes posés par la loi « Informatique et Libertés » ; • la prospection porte sur « des produits ou services analogues » à ceux déjà fournis lors d’opérations commerciales antérieures par la même personne physique ou morale, le G29 a estimé qu’il s’agit de produits ou services qui répondent aux « attentes raisonnables » et a recommandé d’apprécier la situation du point de vue de la personne destinataire du message318 ; • la personne concernée doit être informée de l’existence d’un droit d’opposition à l’utilisation des données collectées pour de nouvelles sollicitations. Cette possibilité doit pouvoir être exercée de manière simple et sans frais, hormis ceux liés à la transmission du refus. 2.
L’obligation d’information
243. Le consentement repose sur un principe de transparence vis-à-vis de la personne concernée (client/prospect). L’article L. 34-5, alinéa 5, du CPCE qui fonde cette exigence impose d’indiquer des « coordonnées valables auxquelles le destinataire puisse utilement transmettre une demande tendant à obtenir que ces communications cessent sans frais autres que ceux liés à la transmission de celle-ci », « l’identité de la personne pour le compte de laquelle la communication est émise » et de mentionner qu’il s’agit de prospection commerciale. L’obligation 317. CE, 11 mars 2015, n° 368624 ; Com. com. électr. 2015, comm. 46, obs. A. Debet, Gaz. Pal. 2015, n° 85, p. 31. 318. Avis n° 5/2004 du 27 février 2004, op. cit., http://www.cnpd.public.lu/fr/publications/groupeart29/wp090_fr.pdf et avis 15/2011 du 13 juillet 2011 sur la définition du consentement : http://www.cnpd.public.lu/fr/publications/groupe-art29/wp187_fr.pdf
la
protection des données à caractère personnel
| 125
d’information préalable du destinataire du message de prospection est reprise et précisée par la loi « Informatique et Libertés ». Les manquements à l’article L. 34-5 du Code des Postes et des communications électroniques font l’objet de sanctions pénales et/ou administratives et sont souvent appréciés à l’aune des obligations prescrites par la loi « Informatique et Libertés ». § 2 – Les contraintes liées à protection des données personnelles319
244. La loi « Informatique et Libertés » appréhende la question de la prospection commerciale bien en amont de l’opération. De fait, toute opération de prospection requiert au préalable la constitution de fichiers des personnes qui vont être destinataires des messages, soit à partir de bases internes de données ou via l’acquisition (gratuite ou payante) de données d’origine tierce. Concrètement, plusieurs traitements de données au sens de la loi « Informatique et Libertés » sont concernés, dont à titre principal, la collecte des données réalisée directement auprès des prospects ou non ainsi que leur exploitation qui peut comprendre, outre l’envoi de messages commerciaux, l’acquisition ou la location de fichiers, l’enrichissement ou le croisement des données figurant dans les fichiers de prospection, la conservation de ces données, leur transmission (voire d’autres opérations encore). Ainsi, la loi « Informatique et Libertés » impose d’accorder une attention particulière à certaines catégories de données personnelles, pour la sélection des futurs prospects (A) et de veiller à ce que les traitements réalisés à des fins de prospection soient conformes aux obligations prescrites au titre de la protection des données à caractère personnel (B). A.
La constitution des fichiers de prospects
245. La recherche d’une meilleure performance des actions de prospection va de pair avec le développement des opérations ciblées et passe nécessairement par la réalisation de traitements de données personnelles dont la finalité sera de sélectionner les futurs prospects (clients ou purs prospects). Dans ce contexte, il est indispensable de veiller à garantir la collecte licite des données qui impose au préalable d’exclure les catégories de données qui ne peuvent pas faire l’objet d’opérations de prospection (1) et celles qui sont strictement encadrées (2).
319. E. Jouffin et X. Lemarteleur, « Un nouvel état de l’art pour les banques en matière de gestion de la relation clients/prospects ? », Banque & Droit, n° 146, nov.-déc. 2012, p. 16 et s.
126 | B anque
1.
et
a ssurance
digitales
Les données interdites de prospection
246. Les opérations de prospection commerciale ne peuvent pas être réalisées sur les données relatives à la santé, le NIR (ou NIRPP, Numéro d’inscription au répertoire des personnes physiques), certaines des données couvertes par le secret bancaire et les données relatives aux condamnations et infractions. Cela signifie que le consentement préalable de la personne ne permet pas de surseoir au principe d’interdiction. 247. En premier lieu, les données relatives à la santé320 sont couvertes par le secret professionnel prévu par l’article 226-13 du Code pénal qui en interdit la libre circulation ou divulgation. Pour la loi « Informatique et Libertés », les données de santé sont des données dites « sensibles » et l’article 8 pose un principe d’interdiction de traitement de cette catégorie de données à caractère personnel. La levée de l’interdiction repose sur le consentement exprès de la personne concernée sauf dans le cas où la loi l’interdit. Tel est le cas, par exemple, de l’article L. 1111-8 du Code de la santé publique (CSP), applicable aux hébergeurs de données de santé, qui exclut « tout acte de cession à titre onéreux de données de santé identifiantes, directement ou indirectement, y compris avec l’accord de la personne concernée », sous peine des sanctions prévues à l’article 226-21 du Code pénal (jusqu’à 3 ans d’emprisonnement) et dans le même sens, l’article L. 411-3 du Code de la santé publique interdit aux professionnels de santé « la constitution et l’utilisation à des fins de prospection ou de promotion commerciales de fichiers composés à partir de données issues directement ou indirectement des prescriptions médicales ou des informations médicales mentionnées à l’article L. 161-29 du Code de la sécurité sociale, dès lors que ces fichiers permettent d’identifier directement ou indirectement le professionnel prescripteur. La constitution et l’utilisation à des fins de prospection ou de promotion commerciales de fichiers composés à partir de données issues directement ou indirectement des prescriptions médicales ou des informations médicales mentionnées à l’article L. 161-29 du Code de la sécurité sociale, dès lors que ces fichiers permettent d’identifier directement ou indirectement le professionnel prescripteur ». 248. Dans sa recommandation de 1997 sur le traitement des données relatives à la santé321, la CNIL indique que « ces données, même rendues anonymes à l’égard des patients, ne peuvent être utilisées à des fins de promotion ou de prospection commerciale, dès lors qu’elles sont associées à l’identification du professionnel de santé ». Partant, les données de santé susceptibles d’être collectées dans le cadre de l’assurance, au moment de la souscription d’un contrat, ne pourront pas être utilisées à des fins de prospection par le responsable de traitement à l’origine de 320. V. supra partie I, chapitre II, section I - § 2 - A. 1. 321. Délibération n° 97-008 du 4 février 1997 portant adoption d’une recommandation sur le traitement des données de santé à caractère personnel, JO 12 avr. 1997, p. 5606.
la
protection des données à caractère personnel
| 127
la collecte (organismes d’assurance, de capitalisation, de réassurance, d’assistance et par les intermédiaires d’assurance). Ces données ne pourront pas non plus être transmises à des partenaires pour ces mêmes finalités de prospection/marketing direct. Tout manquement à cette interdiction est passible des sanctions prévues par l’article L. 226-21 du Code pénal qui réprime le détournement de finalité. 249. Cette limite est très clairement inscrite dans la norme simplifiée 56 de la CNIL qui vise les traitements automatisés de données à caractère personnel relatifs à la gestion commerciale de clients et de prospects. En effet, la NS-56 exclut expressément l’utilisation des données de santé par exemple pour les finalités spécifiques de « gestion d’opérations techniques de prospection (ce qui inclut notamment les opérations techniques comme la normalisation, l’enrichissement et la déduplication) », de sélection de personnes pour réaliser des actions de prospection ainsi que pour la réalisation d’opérations de sollicitations. 250. Pour le secteur bancaire, en principe, les responsables de traitement n’ont pas à traiter de données de santé du fait des finalités poursuivies par les traitements liés à l’activité bancaire. Ils ne peuvent pas être destinataires de ce type de données, ni les utiliser à des fins de prospection commerciale. 251. En ce qui concerne le secteur bancaire comme celui des assurances, les données relatives aux infractions et aux condamnations couvertes par l’article 9 de la loi « Informatique et Libertés » ne peuvent pas être collectées ni traitées dans le cadre de fichiers constitués à des fins de prospection, les finalités imparties pour leur traitement étant très strictement autorisées comme, par exemple, dans le cadre de l’AU-046 portant sur les traitements mis en œuvre pour la préparation, l’exercice et le suivi de leurs contentieux ainsi que l’exécution des décisions rendues322. 252. Enfin, le NIR, qui n’est pas susceptible d’être traité par les banques, ne peut pas être utilisé à des fins de prospection directe (par exemple dans le cadre de la constitution d’un fichier) par les entreprises d’assurance. 2.
Les données strictement encadrées
253. Le traitement de certaines données à des fins de prospection commerciale peut être autorisé sous réserve du consentement préalable de la personne concernée. Attention toutefois, car la frontière entre « interdiction de traiter » et « consentement préalable requis » peut être très mouvante et doit de toute façon être interprétée au vu des circonstances du traitement, étant entendu que le consentement préalable de la personne n’est pas un sésame absolu.
322. Délibération n° 2016-005 du 14 janvier 2016 portant autorisation unique de traitements de données à caractère personnel mis en œuvre par les organismes publics et privés pour la préparation, l’exercice et le suivi de leurs contentieux ainsi que l’exécution des décisions rendues (AU-046), JO 12 févr. 2016.
128 | B anque
et
a ssurance
digitales
254. Il ressort des dispositions légales et de la position de la CNIL que les données bancaires sont particulièrement protégées323. Partant, il n’est pas possible de raisonner à partir des données elles-mêmes (ce qui est le cas pour les données de santé) mais il faut tenir compte de la finalité poursuivie. Ainsi, la Cour de cassation a pu juger que n’était pas abusive une clause détenue dans une convention de compte autorisant la banque à transmettre des données personnelles vers des partenaires à des fins de gestion ou de prospection commerciale, « le client qui a donné son autorisation préalable ayant la faculté de la retirer à tout moment »324. 255. En tout état de cause, les traitements des données bancaires doivent répondre à des finalités strictement encadrées et dans de nombreuses situations les données collectées ne pourront pas être réutilisées pour sélectionner les personnes concernées à des fins de prospection. Sont donc interdites de prospection : – les données des listes d’initiés qui ne peuvent pas être utilisées, consultées ou transmises à d’autres fins que l’application de la législation sur la prévention des délits d’initiés325 ; – les données des cartes de paiement326 dont la collecte et l’utilisation répondent à des finalités strictement énumérées ; – les informations collectées dans le cadre de la gestion des risques liés aux crédits souscrits par les clients, l’utilisation à d’autres fins de ces données étant proscrite conformément à l’arrêté du 26 octobre 2010 relatif au fichier national des incidents de remboursement des crédits interdit la collecte de données à d’autres fins que celles mentionnées au présent arrêté. 256. Concrètement, les projets de prospection directe reposant sur des données bancaires pour la sélection des prospects doivent tenir compte en amont des destinataires des données, afin d’être conformes aux exigences liées au partage des informations couvertes par le secret. En outre, ces projets doivent également veiller au respect du principe de finalité, ce qui signifie que la prospection commerciale ne doit pas être interdite. Enfin, ils sont également tenus de considérer avec attention les obligations inhérentes au consentement préalable des personnes concernées (recueil et traçabilité). 323. V. supra partie I, chapitre II, section I - § 2 - A. 2. 324. Cass. civ. 1re, 23 janv. 2013, n° 10-28.397 et n° 11-11 421, A. Debet, « Absence de caractère abusif d’une clause de partage de données figurant dans une convention de compte », Com. com. électr. 2013, comm. 89. 325. Art. 2 § 2 [sur les finalités] de la délibération n° 2006-186 du 6 juillet 2006 décidant la dispense de déclaration de certains traitements automatisés de données personnelles ayant pour finalité la tenue, l’utilisation et la communication des listes d’initiés. 326. Article 1 de la délibération n° 2013-358 du 14 novembre 2013 portant adoption d’une recommandation concernant le traitement des données relatives à la carte de paiement en matière de vente de biens ou de fourniture de services à distance et abrogeant la délibération n° 03034 du 19 juin 2003.
la
protection des données à caractère personnel
| 129
257. Pour les données personnelles relatives à une personne mineure, sous sa nouvelle rédaction issue de la loi du 7 octobre 2016 pour une République numérique, la loi « Informatique et Libertés » ne comprend toujours pas de disposition spécifique pour la prospection directe de ce type de données. Cette opération est censée être placée sous la responsabilité des représentants légaux des mineurs (ex. : en ce qui concerne l’obtention du consentement préalable). A contrario, pour le RGPD, « les enfants méritent une protection spécifique en ce qui concerne leurs données à caractère personnel (...). Cette protection spécifique devrait, notamment, s’appliquer à l’utilisation de données à caractère personnel relatives aux enfants à des fins de marketing, ou de création de profils de personnalité ou d’utilisateur »327. 258. Les cookies (et autres traceurs) requièrent également une attention particulière dès lors qu’ils sont installés à des fins de prospection commerciale. En effet, ils tombent également sous l’exigence du consentement préalable de l’internaute lorsqu’ils sont collectés et utilisés pour cette finalité. 259. Les principes de transparence et de consentement préalable qui sont posés par l’article L. 34-5 du Code des Postes et des communications électroniques sont repris par la loi « Informatique et Libertés » pour y être précisé, étant noté que la CNIL veille au respect de l’ensemble des prescriptions légales applicables en la matière et qu’elle se montre plus stricte quant à l’interprétation de ces principes. B.
Le respect des principes « Informatique et Libertés »
1.
L’information préalable de la personne concernée
260. L’information des personnes qui vont être prospectées (clients/prospects) est une obligation prescrite par l’article L. 34-5 du Code des Postes et des communications électroniques mais largement complétée par l’article 32 de la loi « Informatique et Libertés ». Quelles que soient les modalités de la collecte (directement auprès de la personne ou non), l’obligation d’information admet une exception d’interprétation stricte qui se fonde sur le fait que la communication est impossible ou qu’elle exigerait des efforts disproportionnés. On rappellera que cette dérogation n’est pas cautionnée par la CNIL328. 261. Selon l’article 32 de la loi « Informatique et Libertés », le responsable de traitement est tenu d’indiquer : – l’identité du responsable du traitement (le cas échéant, celle de son représentant329), ce qui renvoie exclusivement à la « personne pour le compte de laquelle la communication est émise » telle que visée par l’article L. 34-5 du Code des Postes et des communications électroniques 327. Considérant 38 du RGPD. 328. V. supra partie I, chapitre II, section I. 329. Conformément aux prescriptions de l’article 5 de la loi « Informatique et Libertés ».
130 | B anque
et
a ssurance
digitales
et non au responsable de la collecte (dans le cas d’acquisition de fichiers externes par exemple) ; – « la finalité poursuivie par le traitement auquel les données sont destinées », c’est-à-dire de mentionner clairement qu’il s’agit de prospection commerciale ; – les champs obligatoires ou non sur le formulaire de collecte (et les conséquences éventuelles du défaut de réponse), ce qui s’applique dans le cas de formulaire en ligne ; – les destinataires ou catégories de destinataires des données, selon que les données seront exclusivement à usage interne ou communiquées à des partenaires à des fins de réutilisation ; – les droits « Informatique et Libertés » (droit d’accès aux données, droit de rectification/effacement des données, droit de « définir des directives relatives au sort de ses données à caractère personnel après sa mort », ce qui inclut le droit d’opposition au traitement de prospection) ; – « la durée de conservation des catégories de données traitées ou, en cas d’impossibilité, des critères utilisés permettant de déterminer cette durée ». 262. En outre, si des transferts de données à caractère personnel sont envisagés à destination d’un État tiers (ne présentant pas un niveau de protection suffisant), les personnes concernées doivent en être informées. Tel pourrait être le cas, dans un contexte de recours à des prestataires situés à l’étranger (routage des mails par exemple) ou en cas de transfert des fichiers de clients/prospects à des fins de marketing direct à des filiales de la banque ou de l’entreprise d’assurance situées dans un État tiers. 263. Les modalités de l’information sont précisées par l’article 90 du décret du 20 octobre 2005. Comme indiqué supra330, ces modalités sont liées à la réalisation de la collecte directement auprès des personnes concernées (formulaire en ligne ou demande formulée par téléphone) ou en cas de collecte indirecte (acquisition de fichiers ou DMP, par exemple). Spécifiquement pour les cookies (ou autres traceurs), pour rappel331, l’article 32-II de la loi « Informatique et Libertés » prévoit que « tout abonné ou utilisateur d’un service de communications électroniques doit être informé de manière claire et complète, sauf s’il l’a été au préalable, par le responsable du traitement ou son représentant : – de la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement
330. V. supra partie I, chapitre II, section I. 331. V. supra partie I, chapitre II, section I.
la
protection des données à caractère personnel
| 131
terminal de communications électroniques, ou à inscrire des informations dans cet équipement ; – des moyens dont il dispose pour s’y opposer ». 264. La CNIL a par ailleurs précisé les contours de l’obligation d’information notamment dans sa recommandation sur les cookies332 dans laquelle elle indique que « la validité du consentement est liée à la qualité de l’information reçue. Celle-ci doit être visible, mise en évidence et complète ». 2.
Le respect du principe de finalité
265. La prospection commerciale peut répondre à la poursuite d’intérêts légitimes de la part du responsable de traitement. Toutefois, en application de la LCEN (et de sa codification à l’article L. 34-5 du Code des Postes et des communications électroniques), la prospection directe, c’est-à-dire réalisée par voie électronique, est subordonnée à l’obtention du consentement préalable de la personne concernée (client/prospect), sous réserve de l’exception prévue au titre de la prospection portant sur des produits et services analogues à ceux déjà fournis lors d’opérations antérieures333. 266. Pour rappel, le consentement de la personne concernée doit être libre, spécifique et informé, ces trois caractéristiques étant cumulatives. Le caractère libre du consentement impose, d’une part, que la personne puisse choisir de recevoir de la prospection sans être exposée à quelque conséquence que ce soit, en cas de refus de sa part d’être prospectée (ne plus accéder à un service, par exemple). D’autre part, et d’un point de vue pratique, elle doit pouvoir exprimer elle-même son accord, ce qui exclut de facto toute case précochée. La CNIL recommande que le consentement soit recueilli au moyen d’une case à cocher334. Le caractère spécifique du consentement renvoie au fait qu’il doit nécessairement être rattaché à la finalité de prospection commerciale ou de marketing direct. Il ne peut pas être fondé sur la seule acceptation des conditions générales d’utilisation ou de vente même si elles sont claires et explicites. Le recueil du consentement pour l’ensemble des finalités de traitement couvertes par les CGU ne permet pas de le considérer comme spécifique. Le consentement ne saurait être global ou implicite. Ce critère est intrinsèquement lié aux informations qui doivent être communiquées au prospect. Le consentement informé exige, en effet, de mentionner au prospect de façon claire et précise la nature et les conséquences du traitement des données.
332. Délibération n° 2013-378 du 5 décembre 2013 portant adoption d’une recommandation relative aux cookies et aux autres traceurs visés par l’article 32-II de la loi du 6 janvier 1978, JO 26 déc. 2013. 333. V. supra partie I, chapitre II, section II - § 1. 334. CNIL : « La publicité ciblée en ligne » – Communication présentée en séance plénière le 5 février 2009 ; Fiches prospection de la CNIL.
132 | B anque
et
a ssurance
digitales
Cela étant, les modalités du recueil ont aussi leur importance sur la validité du consentement à des opérations de prospection directe. Conformément à l’article 32 de la loi « Informatique et Libertés », le consentement doit en effet être recueilli préalablement à l’opération de prospection, au moment de la collecte des données ou au moment de leur enregistrement (collecte indirecte). 267. Dans un arrêt du 11 mars 2015, le Conseil d’État335 a apporté des précisions sur la notion de consentement à la prospection commerciale par voie électronique et en particulier sur le caractère nécessairement spécifique de ce dernier. En l’espèce, une société proposait aux internautes l’installation de logiciels gratuits sur leur terminal, via l’acceptation de conditions générales d’utilisation du service (CGU). Or, la validation des CGU emportait également l’installation d’un moteur de recherche sur l’équipement de l’utilisateur, l’envoi de messages publicitaires adaptés en fonction du suivi de ses connexions ainsi que la cession de données personnelles (courriers électroniques) à des partenaires tiers aux fins de réaliser des opérations de prospection. À l’issue de son contrôle, la CNIL avait mis en demeure la société de recueillir le consentement spécifique des personnes physiques concernées avant de réaliser les opérations de prospection directe et de cession de coordonnées. Le Conseil d’État a validé la décision de la CNIL en indiquant que le consentement donné pour « l’ensemble des finalités d’un traitement, dont l’usage des données personnelles de l’utilisateur, ne saurait être regardé comme valant consentement spécifique, au sens et pour l’application de l’article L. 34-5 ». S’agissant de l’information, le Conseil d’État a rappelé que la validité du consentement repose sur le fait qu’il soit « donné en toute connaissance de cause et après une information adéquate sur l’usage qui sera fait de ses données personnelles ». 268. Spécifiquement pour les cookies et autres traceurs336 utilisés à des fins publicitaires, la validité du consentement repose sur l’information de l’internaute dont la CNIL recommande qu’elle « soit rédigée en des termes simples et compréhensibles pour tout utilisateur, et permette aux internautes d’être parfaitement informés des différentes finalités des cookies déposés et lus »337. L’internaute qui se rend sur le site d’un éditeur doit donc être informé via l’apparition d’un bandeau, sur la page d’accueil du site ou sur la page secondaire : – des finalités de publicitaires des cookies et autres traceurs utilisés ; – de la possibilité de s’opposer à leur installation via un lien figurant dans le bandeau ;
335. CE, 10e et 9e sous-sections, 11 mars 2015 (n° 368624), préc. 336. V. supra partie I, chapitre II, section I. 337. Délibération n° 2013-378 du 5 décembre 2013 portant adoption d’une recommandation relative aux cookies et aux autres traceurs visés par l’article 32-II de la loi du 6 janvier 1978 (préc.).
la
protection des données à caractère personnel
| 133
– et du fait que « la poursuite de sa navigation vaut accord au dépôt de cookies sur son terminal ». En conséquence, concrètement en ce qui concerne les cookies, l’action positive du prospect, nécessaire à l’expression de son consentement, sera réalisée dès lors que ce dernier se rend sur une autre page du site ou qu’il aura cliqué sur un autre élément du site (lien, image, bouton « rechercher »). Il n’est pas nécessaire de prévoir de case à cocher. En l’absence de toute action, aucun cookie (ou traceur) ne pourra être déposé sur le terminal de l’internaute et le bandeau d’information ne doit pas disparaître. 269. Enfin, l’article 32-II de la loi « Informatique et Libertés » prévoit que le consentement des internautes peut résulter du paramétrage du navigateur ou de tout autre dispositif placé sous leur contrôle. La validité du consentement résultant du paramétrage du navigateur est liée à la qualité de l’information préalable des internautes et requiert que les cookies soient effectivement gérés par le navigateur (ce qui concrètement reste parfois techniquement compliqué en cas d’utilisation d’autres technologies que les cookies http, tels que les pixels invisibles, les cookies flash ou les techniques de « fingerprinting »). Les internautes peuvent également choisir d’activer l’option « do not track » afin qu’aucune information ne soit collectée. 270. Comme indiqué supra338, les conditions de validité du consentement ont été renforcées par le RGPD. D’une part, l’article 7 du RGPD impose au responsable de traitement la charge de la preuve du recueil du consentement donné par la personne concernée et de son retrait, cette exigence étant applicable également pour la prospection directe. En outre, le retrait peut être exercé à tout moment (sans effet rétroactif) et facilement. Concrètement, des procédures idoines de gestion des consentements devront être mises en œuvre et documentées. 271. Pour les mineurs, l’article 8 du RGPD pose un âge de référence pour définir les modalités applicables au consentement des mineurs dans le cadre de l’utilisation des services de la société de l’information (ex. : création de compte sur Internet pour des jeux en ligne ou pour participer aux réseaux sociaux). Ainsi, en deçà de 16 ans, le consentement préalable à un traitement doit être obtenu auprès du titulaire de l’autorité parentale. Aucune disposition spécifique sur la prospection n’est indiquée, sauf en ce qui concerne le profilage, c’est-à-dire la sélection préalable des prospects.
338. V. supra partie I, chap. II, section I.
134 | B anque
3.
et
a ssurance
digitales
L’accomplissement des formalités auprès de la CNIL
272. Pour le secteur des assurances, les opérations de prospection commerciale par voie électronique relèvent du « Pack de conformité Assurance » de la CNIL finalisé en 2014339. Plus spécifiquement, ces opérations sont couvertes par la Norme Simplifiée 56 (« NS-56 ») qui concerne les traitements automatisés de données à caractère personnel ayant pour finalité la gestion commerciale de clients et de prospects mis en œuvre par les organismes d’assurance, de capitalisation, de réassurance, d’assistance et par les intermédiaires d’assurance. Pour les traitements de données concernés qui répondent strictement aux standards énoncés dans la NS-56, la formalité auprès de la CNIL est un simple engagement de conformité à la norme. Si le responsable de traitement a désigné un CIL, les traitements doivent être consignés dans son registre. Le régime déclaratif lié à la prospection commerciale bénéficie d’un formalisme simplifié. Pour autant, force est de constater que la NS-56 est très complète et veille à régler dans le détail les différentes situations de prospection. Sur les finalités, la NS-56 vise : – les opérations de fidélisation des clients (au sein d’une ou plusieurs entités) et de suivi de la relation (dont l’agrégation des contrats pour un même client au sein de l’entreprise ou du groupe) ; – les opérations relatives aux prospects, ce qui comprend la gestion d’opérations techniques de prospection (telles la normalisation, l’enrichissement et la déduplication), la sélection de personnes (cibles pour les actions de fidélisation, de prospection, de sondage, de test produit ou services et de promotion) et la réalisation d’opérations de sollicitations (campagne de e-mailing, par exemple) ; – l’élaboration de statistiques commerciales ; – la cession, la location ou l’échange des données relatives à l’identification des clients ou prospects pour améliorer le service au client en proposant des produits ou services permettant de réduire la sinistralité ou d’offrir un contrat ou une prestation complémentaire ; – l’organisation de jeux-concours, de loteries ou de toute opération promotionnelle ; – la gestion des avis des personnes sur des produits, services ou contenus. Et de façon à couvrir l’ensemble du périmètre client/prospect, la NS-56 concerne également la gestion des demandes de droit d’accès, de rectification et d’opposition, ce qui comprend la collecte d’un titre d’identité conformément aux prescriptions applicables pour la recevabilité de la demande. 339. V. supra partie I, chapitre II, section I.
la
protection des données à caractère personnel
| 135
En ce qui concerne les catégories de données, à côté des informations d’identification et celles relatives à la situation des personnes concernées (dont le suivi de la relation commerciale), les données de connexion (date, heure, adresse Internet, protocole de l’ordinateur de l’internaute, URL visitée) et les données relatives à la sélection des personnes sont spécifiquement indiquées. S’agissant des destinataires des données, la NS-56 vise expressément les soustraitants qui peuvent donc recevoir des données relatives aux clients ou aux prospects afin de les traiter, sous les instructions du responsable de traitement pour une ou plusieurs des finalités visées dans le cadre de la norme, « dès lors que le contrat signé entre les sous-traitants et le responsable du traitement fait mention des obligations incombant aux sous-traitants en matière de protection de la sécurité et de la confidentialité des données ». Les données personnelles relatives aux clients ou aux prospects peuvent également être transmises aux partenaires du responsable de traitement, à des sociétés extérieures ou entre entités d’un groupe sous réserve du respect des conditions d’information et/ou de consentement préalable de la personne concernée. Le transfert de données vers l’étranger est prévu dès lors que le responsable de traitement respecte les conditions prévues pour cette opération (décision d’adéquation, garanties appropriées telles des clauses contractuelles types ou des « Binding Corporate Rules » ou une des exceptions de l’article 69 de la loi « Informatique et Libertés ») (v. infra chapitre II, section IV). 273. Si le traitement ne correspond pas aux standards de la NS-56, une déclaration normale devra être réalisée auprès de la CNIL (ou consignation du traitement de prospection dans le registre du Correspondant). Les banques, qui ne disposent pas de « Pack de conformité » devront pour leur part adresser à la CNIL une déclaration normale pour leurs traitements mis en œuvre à des fins de prospection commerciale. 274. Par un arrêt du 25 juin 2013, la Cour de cassation a jugé : « un tel fichier non déclaré constitue un objet illicite, hors commerce, insusceptible d’être vendu ; qu’au cas présent, il est constant et non contesté que le fichier de clientèle tenu par la société Bout-Chard aurait dû être déclaré à la CNIL et qu’il ne l’a pas été ; que néanmoins, pour écarter la nullité de la vente du fichier de clientèle en cause, la cour d’appel a relevé que « la loi n’a pas prévu que la sanction de l’absence de déclaration du traitement du fichier clients soit la nullité du fichier » (arrêt attaqué, § 4) ; qu’en statuant ainsi, par un motif inopérant, cependant que le défaut de déclaration rendait le dossier illicite et, par suite, la vente de ce dossier nulle pour objet illicite, la cour d’appel a violé l’article 1128 du Code civil, ensemble l’article 22 de la loi n° 78-17 du 6 janvier 1978 »340.
340. Cass. com., 25 juin 2013, n° 12-17.037, Bull. civ. IV, n° 108.
136 | B anque
et
a ssurance
digitales
Lorsque la personne est un client, les données peuvent être conservées pendant 3 ans « à compter de la fin de la relation commerciale ». En revanche, lorsque la personne est un prospect non-client, les données peuvent être conservées pendant 3 ans « à compter de leur collecte par le responsable de traitement ou du dernier contact émanant du prospect »341. 4.
Le respect des droits des personnes
275. L’ensemble des droits « Informatique et Libertés » doit être garanti par le responsable de traitement, à l’instar de n’importe quel traitement de données à caractère personnel. 276. La personne concernée (client/prospect) doit être informée de l’existence de son droit d’accès, de rectification et d’effacement des données et d’opposition au traitement de prospection commerciale ainsi que des modalités d’exercice de ces droits (coordonnées valides de la personne ou du service concerné). 277. Spécifiquement pour le droit d’accès, elle a le droit d’interroger le responsable de traitement afin de connaître les données personnelles la concernant qui figurent dans les fichiers de prospection. Elle peut également demander à connaître l’identité de la personne qui a fourni le fichier (en cas de collecte indirecte des données), en application de l’article 39-4° de la loi « Informatique et Libertés » qui prévoit « la communication de toute information disponible quant à l’origine de celles-ci ». 278. Pour le droit de rectification, le responsable du traitement qui a procédé à la rectification de données doit en informer sans délai tout destinataire de ces données afin qu’il « procède également sans délai à la rectification ». 279. Les sanctions encourues en cas de manquement à cette obligation sont celles prévues en application de loi « Informatique et Libertés » pour tout type de traitement, sur le plan pénal (articles R. 625-10 et R. 625-11 du Code pénal) et/ou administratif (sanctions de la CNIL). 280. Concrètement, compte tenu de la pluralité d’acteurs possibles sur une opération de prospection directe (annonceur et ses partenaires, tels les prestataires en charge du routage des e-mailings), il appartient au responsable de traitement de vérifier ou de formaliser en amont les procédures pour la réception et le traitement des demandes d’accès, de rectification ou suppression des données et d’opposition au traitement. Une attention particulière doit être apportée au droit d’opposition (« Opt-out ») auquel est conféré un statut particulier en matière de prospection commerciale. 341. V. supra partie I, chapitre II, section I - § 3. B. 2. sur « Les formalités CNIL pour le secteur des Assurances ».
la a.
protection des données à caractère personnel
| 137
Le droit d’opposition
281. L’article 38 de la loi « Informatique et Libertés » impose un droit d’opposition automatique pour le client ou prospect dont les données ont été collectées et font l’objet d’un traitement à des fins de prospection commerciale, qu’elle qu’en soit la forme. La personne concernée (client/prospect) doit avoir la possibilité de s’opposer de manière simple et dénuée d’ambiguïté, au moment de la collecte de ses données. De fait, ce droit doit pouvoir être exercé « sans frais » non seulement pour le traitement en cours mais également pour tout traitement ultérieur, c’est-à-dire pour chaque message de prospection ultérieur342. 282. Conformément à l’article 97 du décret de 2005, le responsable de traitement doit avoir désinscrit de sa liste de prospection le demandeur dans un délai de deux mois et doit en informer « sans délai » les destinataires des données qui font l’objet de l’opposition. Concrètement, le traitement automatisé des demandes devrait pouvoir être réalisés sous les délais plus courts. Très spécifiquement, le droit d’opposition peut également être exercé préalablement à toute prospection. C’est l’objectif des listes d’opposition. b.
Le droit d’opposition avant toute prospection : les listes d’opposition
283. Le consommateur a la possibilité de s’inscrire sur des listes d’oppositions lorsqu’il ne souhaite pas que ses données à caractère personnel (numéro de téléphone fixe ou mobile, adresse mail) soient utilisées, notamment à des fins commerciales. Ces listes reposent pour la plupart sur une démarche volontaire dans la mesure où l’annonceur comme ses partenaires sont libres de les consulter ou non avant de lancer une opération de prospection. 284. En vertu de la directive n° 2009/136/CE et de l’article L. 34 du Code des Postes et des communications électroniques, tous les clients doivent être informés de leurs droits relatifs à l’utilisation de leurs données personnelles dans les annuaires d’abonnés, et de leur droit de figurer ou de ne pas figurer dans ces annuaires. Plusieurs listes ont été mises en œuvre dans le secteur de la téléphonie qui sont gérées par les opérateurs. Par exemple, l’inscription sur les listes rouge ou orange permet de ne pas figurer dans les annuaires publics. La liste « anti-annuaire » inversé permet, quant à elle, d’éviter de retrouver les noms et coordonnées d’une personne à partir du numéro de téléphone. Dans le même sens, la liste « anti-prospection » empêche l’utilisation à des fins de prospection commerciale des coordonnées figurant dans les annuaires. Des dispositifs pour
342. Considérant 41 de la directive n° 2002/58/CE : « Il conviendrait, lorsque des coordonnées électroniques sont recueillies, que le client soit informé clairement et distinctement sur leur utilisation ultérieure à des fins de prospection directe et qu’il lui soit donné la faculté de s’opposer à cet usage. Il convient de continuer d’offrir cette possibilité lors de chaque message de prospection directe ultérieur, et ce, sans frais, hormis les coûts liés à la transmission du refus ».
138 | B anque
et
a ssurance
digitales
ne pas recevoir de sollicitation sont aussi prévus pour les SMS (33700) et pour les courriers électroniques (« Signal SPAM »). 285. Or, ces listes trouvent une autre limite dans le fait que les démarcheurs n’utilisent pas uniquement les annuaires téléphoniques pour réaliser des prospections commerciales. Ainsi, donner son ou ses numéros dans le cadre de telle ou telle opération commerciale, peut conduire à la constitution de listes qui peuvent être réutilisées ou revendues pour de la prospection. La « loi Hamon » a créé la « liste Bloctel » pour remplacer la liste « PACITEL » ; cette nouvelle liste d’opposition au démarchage téléphonique ayant été précisée par décret343 courant 2015, plus contraignante, est entrée en vigueur depuis le 1er juin 2016. L’innovation majeure réside dans l’obligation faite aux responsables de traitement de consulter liste Bloctel avant toute campagne de prospection téléphonique et au moins une fois par mois lorsque la campagne dure plus de 30 jours, pour s’assurer de la conformité des fichiers de prospection commerciale avec la liste et avant toute mise à disposition de fichier (cession, location) pour s’assurer de la conformité des fichiers avec la liste. Les banques ainsi que les entreprises d’assurance vont devoir transmettre leurs listes de prospection, au moins une fois par mois, à l’organisme chargé de la liste Bloctel afin que ce dernier actualise les données enregistrées (concrètement, les oppositions). En conséquence, elles s’interdisent de démarcher téléphoniquement un consommateur inscrit sur cette liste, directement ou par l’intermédiaire d’un tiers agissant pour leur compte (agence de communication, régie publicitaire), « sauf en cas de relations contractuelles préexistantes ». Une des exceptions au principe est posée par l’article L. 223-1, alinéa 2, du Code de la consommation selon lequel un professionnel peut démarcher un consommateur sans avoir à vérifier au préalable son inscription sur la liste Bloctel en cas de « relations contractuelles préexistantes ». Ces relations sont définies sur le site officiel du service Bloctel comme étant « les contrats en cours à durée déterminée ou indéterminée qui n’ont pas fait l’objet d’une résiliation », étant donnés à titre d’exemple : – « les contrats de services à exécution successive ou étalé dans le temps ex : abonnements ; – les contrats de service à durée indéterminée qui ne s’éteignent qu’en cas de résiliation ; – les contrats à durée déterminée en cours ». En revanche, lorsque le contrat est totalement exécuté (remise du bien ou du service et paiement du prix, par exemple), le professionnel ne pourra plus 343. Décret n° 2015-556 du 19 mai 2015 relatif à la liste d’opposition au démarchage téléphonique, JO 21 mai 2015, p. 8581.
la
protection des données à caractère personnel
| 139
démarcher par téléphone le consommateur inscrit sur la liste d’opposition Bloctel. Cette interdiction commence dès que la relation contractuelle est terminée, c’est-à-dire à compter du paiement et de la fourniture complète du bien ou du service. 286. L’article L. 223-2 du Code de la consommation créé par l’ordonnance du 14 mars 2016 reprend les dispositions de l’article L. 121-34 du Code de la consommation imposant que : « Lorsqu’un professionnel est amené à recueillir auprès d’un consommateur des données téléphoniques, il l’informe de son droit à s’inscrire sur la liste d’opposition au démarchage téléphonique. Lorsque ce recueil d’information se fait à l’occasion de la conclusion d’un contrat, le contrat mentionne, de manière claire et compréhensible, l’existence de ce droit pour le consommateur ». Le décret du 19 mai 2015 ne précise pas la manière dont l’information au consommateur sur son droit de s’inscrire sur la liste d’opposition doit être formulée. La NS-56 ne comprend pas non plus de mention sur la liste Bloctel, étant noté qu’elle est postérieure à sa création. Concrètement, les banques et les entreprises d’assurance devront prévoir sur leur site, et sur tout support de communication électronique, une mention d’information adaptée indiquant que l’inscription sur la liste est gratuite. Le contrôle du respect de ces exigences est assuré par la DGCCRF344 (Direction générale de la concurrence, de la consommation et de la répression des fraudes), l’article L. 121-34-1 du Code de la consommation prévoit de 15 000 à 75 000 euros d’amende pour non-respect des obligations prescrites au titre de la liste Bloctel. c.
Le droit d’opposition dans le RGPD
287. Sans grands changements, l’article 21 du RGPD prévoit que le droit d’opposition est automatique pour les traitements de prospection commerciale et que, dans ce cas, « les données à caractère personnel ne sont plus traitées à ces fins ». Lors de la première communication avec la personne concernée, le droit d’opposition doit être explicitement porté à son attention, clairement et séparément de toute autre information. Le RGPD prend en compte l’environnement digital et prévoit donc dans ce contexte, la possibilité pour la personne concernée de s’opposer par des moyens automatisés. § 3 – Les sanctions
288. Les manquements aux obligations légales prescrites par la LCEN et la loi « Informatique et Libertés » en matière de prospection commerciale directe sont passibles de sanctions pénales et de sanctions administratives. 344. V. infra partie I, chapitre II, section II - § 3 pour les sanctions administratives.
140 | B anque
et
a ssurance
digitales
289. Sur le plan pénal, la prospection commerciale directe réalisée sans le consentement préalable des personnes concernées est constitutive d’un délit passible des sanctions prévues par l’article L. 226-18 du Code pénal qui réprime la collecte déloyale ou illicite de données. Spécifiquement, l’article L. 226-18-1 du Code pénal sanctionne le fait de procéder à un traitement de données à caractère personnel concernant une personne physique « à des fins de prospection, notamment commerciale », malgré l’opposition de cette personne. À ces sanctions peuvent s’ajouter celles prévues en cas de manquement aux autres principes légaux de protection (formalités préalables, durée de conservation limitée, mesures de sécurité adaptée, respect des droits d’accès, de rectification des données). Dans tous les cas, la peine prévue est de cinq ans d’emprisonnement et de 300 000 euros d’amende (amende pouvant être portée au quintuple pour une personne morale). La loi Hamon et son décret d’application n° 2014-1109 du 30 septembre 2014345 ont abrogé l’article R. 10-1 du Code des Postes et des communications électroniques346 qui prévoyait de sanctionner toute prospection réalisée au mépris de l’opposition des personnes concernées ou en l’absence de leur consentement préalable (amende de 750 euros pour les personnes physiques portée à 3 750 euros pour les personnes morales pour chaque message irrégulièrement expédié). Cette disposition a été remplacée au profit de nouvelles sanctions administratives. 290. Pour les sanctions administratives, trois autorités administratives sont compétentes : l’ARCEP, la DGCCRF et la CNIL. D’une part, selon l’article L. 34-5, alinéas 7 et 8, la DGCCRF est habilitée à constater les manquements et à prononcer une sanction pécuniaire jusqu’à 3 000 euros pour une personne physique et 15 000 euros pour une personne morale, sous réserve des compétences de l’ARCEP et de la sanction que cette dernière aurait déjà prononcée. La CNIL peut recevoir les plaintes des personnes concernées par la prospection et exercer son pouvoir de sanction conformément aux articles 45 à 47 de la loi « Informatique et Libertés », étant rappelé que la sanction pécuniaire de la CNIL peut atteindre 3 millions d’euros depuis l’entrée en application de la loi pour une République numérique du 7 octobre 2016.
345. JO 2 oct. 2014, p. 15999. 346. Le fait d’utiliser, dans des opérations de prospection directe, des données à caractère personnel relatives à des personnes ayant exprimé leur opposition, par application des dispositions du 4 de l’article R. 10, quel que soit le mode d’accès à ces données, est puni, pour chaque correspondance ou chaque appel, de l’amende prévue pour les contraventions de la quatrième classe, sans préjudice de l’application du premier alinéa de l’article 226-18 du Code pénal. La prospection directe des personnes physiques, abonnés ou utilisateurs, en violation des dispositions du premier alinéa de l’article L. 34-5 est punie, pour chaque communication, de l’amende prévue pour les contraventions de la quatrième classe, sans préjudice de l’application du premier alinéa de l’article 226-18 du Code pénal.
la
protection des données à caractère personnel
| 141
291. Un premier constat est que la CNIL a adopté de nombreuses sanctions pour réprimer les opérations de prospection commerciale directe illicite. Parmi les manquements constatés, la CNIL a notamment sanctionné la collecte déloyale des données. À titre d’exemple, c’est sur ce fondement que la CNIL a prononcé un avertissement public à l’encontre d’une société347 ayant constaté que « les personnes appelées pensent participer à une enquête sur la consommation des ménages français, alors que la finalité réelle est de constituer une base de données de séniors qui feront l’objet de prospection commerciale électronique par des tiers, partenaires de la société ». Par ailleurs, la méconnaissance du droit d’opposition ‒ concrètement l’impossibilité pour les personnes de se désinscrire de listes de prospection ‒ a également été sanctionnée par la CNIL348. 292. En outre, la CNIL a également adopté des sanctions349 pour le non-respect du consentement préalable requis au titre de l’article L. 34-5 du Code des Postes et des communications électroniques. Spécifiquement sur les cookies, de nombreuses décisions ont également été prises par la CNIL, étant noté que Google a été sanctionné en 2014350. Pour illustration, en 2016, une sanction pécuniaire de 30 000 euros351 a été prononcée à l’encontre d’une société, le contrôle réalisé par la CNIL ayant permis de constater que « le bandeau d’information relatif aux cookies était rédigé de telle sorte qu’il n’informait pas les utilisateurs de leur possibilité de paramétrer le dépôt de cookies » et que « plusieurs cookies ayant des finalités publicitaires étaient déposés dès l’arrivée des internautes sur la page d’accueil du site, sans recueil préalable de leur consentement ». 293. Enfin, la première décision judiciaire en matière de prospection commerciale revient à la Cour de cassation dans un arrêt rendu en 2006352 où la Cour, pour confirmer la condamnation de la société contrevenante, affirme que « constitue une collecte de données nominatives le fait d’identifier des adresses électroniques et de les utiliser, même sans les enregistrer dans un fichier, pour adresser à leurs titulaires des messages électroniques ». Elle considère également comme étant déloyal « le fait de recueillir, à leur insu, des adresses électroniques personnelles de personnes physiques sur l’espace public d’Internet, ce procédé faisant obstacle à leur droit d’opposition ».
347. Délibération de la formation restreinte n° 2015-454 du 21 décembre 2015 prononçant un avertissement public à l’encontre de la société Profils Seniors. 348. Délibération n° 2008-422 du 6 novembre 2008 portant décision de la formation restreinte à l’égard de la société C-Discount (sanction pécuniaire de 30 000 euros). 349. Délibération n° 2015-155 du 1er juin 2015 et délibération n° 2011-384 du 12 janvier 2012 précitées. 350. Délibération n° 2013-420 de la formation restreinte prononçant une sanction pécuniaire à l’encontre de la société Google Inc. (sanction de 150 000 euros). 351. Délibération de la formation restreinte n° 2016-204 du 7 juillet 2016 prononçant une sanction pécuniaire à l’encontre de la société Brandalley, disponible à : https://www.legifrance.gouv.fr/ affichCnil.do?id=CNILTEXT000032909770 352. Cass. crim., 14 mars 2006, n° 05-83.423. Com. com. électr. 2006, comm. 131, note A. Lepage ; Bull. crim. 2006, n° 69 ; D. 2006, p. 1066 ; JCP éd G, 2006, IV, 1819 ; RLDI mai 2006, n° 471, note Leclainche ; RLDI juin 2016, n° 498, note A. Belloir.
142 | B anque
et
a ssurance
digitales
SECTION III LE PROFILAGE ET LE BIG DATA 294. La profusion de données personnelles va de pair avec le développement du profilage, c’est-à-dire, concrètement, l’établissement du « profil » d’une personne à partir de la réalisation de traitements automatisés sur ses données. Pour le client de la banque comme pour celui de l’assurance, beaucoup de données le concernant figurent dans la base de l’entreprise (CRM), mais de nombreuses autres informations peuvent également être tirées de ses consultations des sites de la banque ou de l’assurance, de ses achats, de ses habitudes ou préférences, et plus globalement toutes ses traces laissées sur le Web. 295. Parallèlement, les « Wearables », smartphones, montres et bracelets connectés se multiplient et permettent d’accéder à de nouvelles données à caractère personnel très diverses, ce qui offre aux établissements bancaires et financiers ainsi qu’aux entreprises d’assurance d’autres opportunités de connaissance de leurs clients353. Ainsi, par exemple : – une voiture connectée pourra évaluer le style de conduite d’un assuré et les risques pris au volant ; – une maison connectée alertera en cas d’intrusion, de fuite, de court-circuit ; – un bracelet connecté mesurera en continu l’état de santé de son utilisateur, à travers différents paramètres (« Quantified self »)354. 296. La constitution de méga bases de données est désormais couplée avec les facultés croissantes d’analyse permises par l’intelligence artificielle, et c’est cette alliance qui renvoie au phénomène du Big Data355. Des « Fintech » en ont perçu les potentialités. Au Royaume-Uni, « Bought by Many » crée des communautés d’individus aux besoins d’assurances spécifiques (cyclistes, diabétiques, etc.) pour négocier – tel un grossiste – avec les assureurs, changeant ainsi de paradigme en passant de la gestion de la relation client (CRM) à l’ère du « Vendor Relationship Management » (VRM). Dans le même ordre d’idée, aux États-Unis, « The Climate Corporation » prédit le risque climatique en temps réel et offre des solutions d’assurance automatisées, notamment à destination de l’agriculture. 297. Les établissements bancaires et financiers comme les entreprises d’assurance se sont emparés de cette opportunité, entre autres, pour parfaire au 353. N. Weinbaum, « Les données personnelles confrontées aux objets connectés », Com. com. électr. déc. 2014 ; C. Laverdet, « Les enjeux juridiques de l’Internet des objets », JCP éd. G, La semaine du praticien, En questions, n° 23, 9 juin 2014, 670, p. 1154. 354. L. Marino, « To be or not to be connected : ces objets connectés qui nous espionnent », D. 2014 ; F. Meuris, « Les dangers du « soi quantifié » », Com. com. électr. juill. 2014. 355. M. Dupuis, E. Berthelé, Le Big Data dans l’assurance, Éditions L’Argus de l’assurance, 2014 ; P. Thourot et K. A. Folly, Big Data : opportunité ou menace pour l’assurance ?, RB Édition, 2016.
la
protection des données à caractère personnel
| 143
mieux la connaissance de leur clientèle, de leurs prospects, pour lutter contre la fraude. Pour autant, le profilage comme les traitements de Big Data ne sauraient être réalisés en méconnaissance des principes de protection des données à caractère personnel356. 298. Après avoir donné les définitions et les principales caractéristiques du profilage (§ 1) et du Big Data (§ 2), nous serons en mesure de dégager la difficulté d’application des principes de la protection des données à caractère personnel (§ 3). § 1 – Définitions et caractéristiques du profilage
299. À l’instar de la directive n° 95/46/CE, la loi « Informatique et Libertés » ne définit pas le profilage. De fait, une définition est proposée dans la Recommandation du Comité des ministres du Conseil de l’Europe du 23 octobre 2010357 à l’article 1-e) aux termes duquel il s’agit d’une « technique de traitement automatisé des données qui consiste à appliquer un “profil” à une personne physique, notamment afin de prendre des décisions à son sujet ou d’analyser ou de prévoir ses préférences ». 300. Dans le cadre de la loi « Informatique et Libertés », les opérations de profilage sont appréhendées sous l’article 10 qui interdit la prise de décision produisant des effets juridiques à l’égard d’une personne « sur le seul fondement d’un traitement automatisé de données destiné à définir le profil de l’intéressé ou à évaluer certains aspects de sa personnalité ». L’article 39 de la loi prévoit que la personne concernée a le droit d’interroger le responsable de traitement afin d’accéder « aux informations permettant de connaître et de contester la logique » qui sous-tend ce traitement, sous réserve du respect des droits des tiers (droits d’auteur, en particulier). L’interdiction de prise de décision automatisée qui est posée par l’article 10 est levée, dans le cadre de la conclusion ou de l’exécution d’un contrat, lorsque la personne concernée a pu présenter ses observations ou lorsque le responsable de traitement a répondu à ses demandes (ex. : l’accès à la logique du dispositif utilisé). Il résulte de la lecture combinée de ces différents articles que le profilage nécessite soit une intervention humaine dans la prise de décision, soit la possibilité pour la personne qui est concernée de communiquer ses observations. 301. Concrètement, l’article 10 de la loi de 1978 modifiée a servi de fondement aux traitements de « scoring », pour aider à l’évaluation et à la sélection des risques en matière d’octroi de crédit. Tel est le cas des traitements couverts par 356. L. Marino, « Le Big Data bouscule le droit », RLDI 2013, déc. 2013, v. p. 55 et s. ; P. Alix, « Le Big Data à l’épreuve du droit », AFCDP, « Correspondant informatique et libertés, bien plus qu’un métier », v. p. 281 et s. 357. Recommandation CM/Rec (2010) 13 et exposé des motifs du Comité des ministres des États membres sur la protection des personnes à l’égard du traitement automatisé de données à caractère personnel dans le cadre du profilage, adoptée le 23 octobre 2010.
144 | B anque
et
a ssurance
digitales
l’Autorisation unique AU-005358 qui soumet la licéité du dispositif de score à la possibilité pour le demandeur de solliciter un entretien avec un agent habileté à procéder à un réexamen du dossier dans le cadre duquel l’intéressé peut faire valoir ses observations sur sa situation financière personnelle. Les situations de profilage qui ont été autorisées par la CNIL pour la prévention ou l’évaluation de risques ont toujours amené la Commission à imposer la possibilité de réexamen des dossiers359 ou celle de présenter ses observations360. Les traitements de lutte contre la fraude ont également été mis en œuvre sur la base de l’article 10 de la loi « Informatique et Libertés »361. L’application de l’article 10 n’est toutefois pas totalement adaptée au profilage à des fins de prospection ou de marketing car la décision automatisée n’a pas vocation à produire des effets juridiques, comme le requiert l’article 10. 302. L’article 4-4) du RGPD définit le profilage comme « toute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données à caractère personnel pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique »362. 303. Le périmètre de l’article 22 du RGPD permet de prendre en considération tout type de décision individuelle automatisée, y compris le profilage, dès lors que le traitement automatisé produit des effets juridiques à l’égard de la personne concernée ou l’affecte de façon similaire. L’article 22-3 du RGPD précise que lorsque le traitement est nécessaire à la conclusion ou à l’exécution d’un contrat entre la personne concernée et un responsable de traitement, ou lorsqu’il est fondé sur le consentement préalable, parmi les garanties qui doivent être mises en œuvre par le responsable de traitement, figure le droit de la personne concernée d’obtenir une intervention humaine, d’exprimer son point de vue et de contester la décision.
358. Délibération n° 2008-198 du 9 juillet 2008 modifiant l’autorisation unique n° AU-005 relative à certains traitements de données à caractère personnel mis en œuvre par les établissements de crédit pour aider à l’évaluation et à la sélection des risques en matière d’octroi de crédit. 359. Délibération n° 2012-297 du 13 septembre 2012 autorisant Laser Cofinoga à mettre en œuvre un traitement automatisé de données à caractère personnel ayant pour finalité l’aide à la sélection et à l’évaluation des risques en matière d’octroi de crédit. 360. Délibération n° 2009-363 du 25 juin 2009 autorisant la mise en place par le Banque de France d’un dispositif de détection des « chèques présumés flambants » à l’occasion de la consultation du Fichier national des chèques irréguliers (FNCI). 361. Délibération n° 2012-435 du 6 décembre 2012 autorisant la mise en œuvre par la société Mondial Assistance d’un traitement de données à caractère personnel ayant pour finalité la lutte contre la fraude en matière de contrat d’assurance et d’assistance. 362. E. Jouffin et X. Lemarteleur, « Du psautier de Mayence au zetaoctets – quel environnement juridique pour le big data ? », Banque & Droit n° 166, mars-avr. 2016, p. 12.
la
protection des données à caractère personnel
| 145
§ 2 – Définitions et caractéristiques du Big Data
304. Le Big Data peut se définir comme « l’ensemble des résultats de chaque recherche effectuée, de chaque liste de résultats affichée et de chaque parcours en résultant. Comme ensemble, cette information incarne les intentions de l’humanité : une base de données gigantesque de désirs, d’attentes, d’envies […]. Un tel monstre n’a jamais existé dans l’histoire de la culture, mais il est quasiment certain qu’il va grandir de façon exponentielle à partir d’aujourd’hui. Cet artefact peut nous raconter des choses extraordinaires sur notre identité et nos aspirations en tant que culture. Et être une source d’abus tout aussi extraordinaires »363. L’expression de Big Data a été utilisée en 2008, pour la première fois semble-t-il, par le Gartner Group. En France, on parle de « Mégadonnées »364. Ce phénomène se caractériserait par trois « V » : Volume, Vélocité, Variété365. Certains ajoutent deux autres V : Véracité (l’exactitude ou la qualité des données) et Valeur (ce qu’il est possible de tirer comme sens de ces données afin de créer de la valeur). Ce dont on est sûr, c’est qu’en termes de volume, ce sont 122 milliards de milliards de données qui ont été créées en France pour 2014, dès lors on a du mal à imaginer ce que cela représente au niveau mondial. L’arrivée des logiciels capables de traiter ces gigantesques volumes de données structurées et non structurés se situe en 2009366. 305. La variété des données couvre une multitude de formats (textes, audio, vidéos, etc.), une multitude de provenances (sites, réseaux sociaux, smartphones, RFID, etc.), différentes origines (interne aux organisations ou externe) et différentes catégories, c’est-à-dire les données structurées (données métier, données clients, données administratives, etc.) ou non structurées (données du Web, données des réseaux sociaux, etc.). 363. J. Batelle, « The Search: How Google and its Rivals Rewrote the Rule of Business and Transformed our Culture », Penguin, 2005. 364. La Commission générale de terminologie et de néologie, après le Québec en 2013, a intégré dans son « Vocabulaire de l’informatique » le terme de « mégadonnées » qui est désormais le terme officiel pour désigner le « Big Data » (JO 22 août 2014). Sa définition est la suivante : « Données structurées ou non dont le très grand volume requiert des outils d’analyse adaptés. Note : On trouve aussi l’expression « données massives ». Équivalent étranger : big data ». 365. Gartner – IT Glossary : « Big data is high-volume, high-velocity and high-variety information assets that demand cost-effective, innovative forms of information processing for enhanced insight and decision making ». 366. V. par exemple : Hadoop, le NoSQL, Mapreduce… Selon le Commissariat général à la stratégie et à la prospective – Premier ministre – 2013 – Analyse des big data : quels usages, quel défi ? : « Ces logiciels, souvent open source comme Hadoop, peuvent distribuer des données simultanément sur plusieurs serveurs. D’autres logiciels, à l’image de MapReduce¸ servent à effectuer des calculs en parallèle avec ces données distribuées. On bénéficie ainsi de la puissance de calcul concomitante de multiples serveurs banalisés en cluster (secteurs). Pour améliorer le traitement des données, les logiciels doivent être capables de détecter l’information intéressante : on parle alors de datamining. De plus, l’analyste utilise une méthode inductive et non plus déductive : il cherche à établir des corrélations entre plusieurs informations sans hypothèses prédéfinies ».
146 | B anque
et
a ssurance
digitales
La vélocité fait référence aux capacités et aux délais de traitement des données, désormais en quasi en temps réel (analyse, actualisation des données), tout en permettant l’analyse en flux (streaming). Ces quelques éléments témoignent de l’impact des analyses issues du Big Data incorporant les données provenant des objets connectés sur la vie privée des individus367. Dans la banque, comme dans l’assurance, les applications sont multiples et permettent de mieux maîtriser les risques, par exemple en matière de crédit368. § 3 – La difficile application des principes de protection
306. Le G29 fait la distinction entre un traitement Big data qui permettrait de détecter des tendances et mettre en relation des informations et un profilage en tant que tel qui permettrait la prise de décisions par rapport aux individus369. Cela étant, quelle que soit l’origine des données personnelles, les opérations de profilage comme le Big data doivent se conformer aux principes de protection ayant trait au respect de la finalité des traitements, à la proportionnalité des données par rapport aux finalités poursuivies et à leur sécurité. Pour rappel, selon l’article 6 de la loi « Informatique et Libertés », les données à caractère personnel sont collectées pour des « finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités ». Pour les traitements les plus intrusifs tels que le marketing direct, la publicité comportementale, le courtage des données ou la publicité impliquant des techniques de profilage et de partage des données, le critère de l’intérêt légitime du responsable de traitement ne saurait légitimer le traitement370. 307. Spécifiquement sur le profilage de la clientèle, dans un avis du 9 avril 2014, le G29 a reconnu que « les responsables de traitement peuvent avoir un intérêt 367. G29 [WP 221] Statement of the WP29 on the impact of the development of big data on the protection of individuals with regard to the processing of their personal data in the European Union (2014): « “Big data” is a broad term that covers a great number of data processing operations, some of which are already well - identified, while others are still unclear and many more are expected to be developed in the near future” ». V. égal. Opinion n° 03/2013 on purpose limitation (2013): « Big data refers to the exponential growth both in the availability and in the automated use of information: it refers to gigantic digital datasets held by corporations, governments and other large organisations, which are then extensively analysed (hence the name: analytics) using computer algorithms. Big data can be used to identify more general trends and correlations but it can also be processed in order to directly affect individuals ». 368. C. Claudios, R. Hagège, « L’impact du Big data sur les modèles de crédit : révolution ou évolution ? », Rev. Banque, n° 777, nov. 2014, p. 74 et s. 369. G29 Opinion n° 03/2013 [WP 203] on purpose limitation, 2 avr. 2013. 370. Direct marketing at the initiative of the retailer/controller will also not be possible on this ground. In some cases, Article 7 (f) could provide an appropriate legal ground instead of Article 7 (b), subject to adequate safeguards and measures, and meeting the balancing test. In other cases including those involving extensive profiling, data-sharing, online direct marketing or behavioural advertisement, consent under Article 7 (a) should be considered, as follows from the analysis below.
la
protection des données à caractère personnel
| 147
légitime à connaître les préférences de leurs clients pour être en mesure de mieux personnaliser leurs offres, et en fin de compte, proposer des produits et des services qui correspondent mieux aux besoins et aux désirs des clients (…) pour autant qu’il existe des garanties appropriées »371. Pour autant, il conviendra de noter que le G29 précise également qu’« une telle activité de profilage [notamment via la création de profils complexes concernant la personnalité et les préférences des clients] risque de constituer une violation grave de la vie privée du client et, dans ce cas, l’intérêt et les droits de la personne concernée prévaudraient sur l’intérêt poursuivi par le responsable de traitement ». 308. Le G29 précise que, lorsque les responsables de traitement souhaitent surveiller leurs clients en ligne ou hors ligne, combiner une grande masse de données personnelles provenant de différentes sources et qui ont été initialement collectées dans d’autres contextes et pour des finalités différentes, si cette surveillance aboutit à la création de profils complexes de personnalité et de préférence des clients, un tel profilage impose que ces derniers donnent leur consentement. 309. L’exécution d’un contrat n’est pas un motif juridique légitime approprié pour construire un profil en fonction des goûts des utilisateurs et de leurs modes de vie d’après leur navigation et achats sur Internet. Par conséquent, pour les traitements intrusifs précités, seul le critère du consentement doit être considéré372. 310. Dans le contexte du Big data, le principe de finalité est mis à mal373. En effet, l’agrégation des données en masse peut aboutir à la création de nouvelles finalités. On assiste à un changement de paradigme selon lequel la finalité ne serait pas exclusivement prédéterminée, mais pourrait être le résultat de la manipulation des données. Dans son avis du 9 avril 2014, le G29 a précisé que « si une organisation souhaite spécifiquement analyser ou prédire les préférences personnelles, le comportement et les attitudes de clients individuels, qui serviront ensuite à guider des « mesures ou décisions » prises à l’égard de ces clients (...) un consentement préalable, libre, spécifique, informé et indubitable devrait presque toujours être requis, faute de quoi l’utilisation ultérieure ne pourra pas être jugée compatible. Ce consentement devrait surtout être requis, par exemple, pour le traçage et le profilage à des fins de prospection directe, de publicité comportementale, de courtage en informations, de publicités fondées sur la localisation ou d’étude de marché numérique fondé sur le traçage »374. 371. G29, Avis n° 06/2014 sur la notion d’intérêt légitime poursuivi par le responsable du traitement des données au sens de l’article 7 de la directive n° 95/46/CE, 844/14/FR, WP 217, 9 avr. 2014 qui est disponible à l’adresse : http://ec.europa.eu/justice/data-protection/article-29/ documentation/opinion-recommendation/files/2014/wp217_fr.pdf 372. Avis G29 n° 06/2014 [WP 217] on the notion of legitimate interests of the data controller under article 7 of directive n° 95/46/EC. 373. E. Jouffin et X. Lemarteleur, « Du psautier de Mayence au zetaoctets – quel environnement juridique pour le big data ? », Banque & Droit, n° 166, mars-avr. 2016, p. 14 et s. 374. V. supra.
148 | B anque
et
a ssurance
digitales
311. Il convient de noter qu’un consentement unique pourrait suffire à la réutilisation de ses données (y compris pour les données en provenance de partenaires), si la personne concernée a été correctement informée et s’il n’y a pas de changement de finalité pour les nouveaux traitements liés à cette réutilisation. Concrètement, la nécessité du consentement doit être appréciée au cas par cas, en fonction des objectifs poursuivis par les nouvelles utilisations de données qui sont envisagées. 312. On précisera à ce propos, que le recueil du consentement n’exonère en aucun cas les responsables de traitements concernés par le projet d’effectuer les formalités déclaratives auprès de la CNIL. 313. En ce qui concerne la réutilisation des données à des fins statistiques, d’après le Conseil d’État, les principes de la loi « Informatique et Libertés » « ne sont pas une entrave au développement du Big Data. En effet, nombre des usages du Big Data ne visent pas les personnes en tant que telles, mais l’exploitation statistique des données le concernant. Or, le principe de finalités déterminées n’exclut pas la liberté de réutilisation statistique : dans le cadre juridique actuel, la finalité statistique est toujours présumée compatible avec la finalité initiale du traitement. Lorsque les usages du Big Data visent les personnes en tant que telles, par exemple pour établir un profil prédictif de leurs caractéristiques (solvabilité, dangerosité…), la pleine application des principes fondamentaux de la protection des données est en revanche requise375 ». 314. Pour le traitement statistique des données, le RGPD reconnaît expressément que « les données à caractère personnel peuvent être conservées pour des durées plus longues dans la mesure où elles seront traitées exclusivement à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques ». Dans cette perspective, l’article 89 du RGPD impose au responsable de traitement de prendre des mesures techniques et organisationnelles (comme le recours à la pseudonymisation) et des garanties telles le « principe de minimisation des données ». 315. S’agissant du principe de proportionnalité, l’accumulation de données déjà présente dans le profilage et intrinsèquement liée au Big Data n’est pas conforme au principe de proportionnalité des données. En effet, aux termes de l’article 6-3 de la loi « Informatique et Libertés », les données doivent être « adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs ». Le principe de minimisation des données semble, quant à lui, ne pas pouvoir être facilement conciliable avec la logique du Big Data.
375. Étude annuelle 2014 du Conseil d’État, « Le numérique et les droits fondamentaux », sept. 2014, Études et documents, Conseil d’État, p. 18, disponible à l’adresse : http://www. ladocumentationfrancaise.fr/var/storage/rapports-publics/144000541.pdf
la
protection des données à caractère personnel
| 149
316. Sur la sécurité des données, il est possible que la sécurisation des bases données impose au responsable de traitement de déployer des moyens ou de recourir à des mesures techniques et organisationnelles extrêmement performantes afin de préserver la disponibilité, l’authenticité, l’intégrité et la confidentialité des données. L’article 35 du RGPD prévoit de réaliser obligatoirement une analyse d’impact « en cas d’analyse systématique et approfondie d’aspects personnels concernant les personnes physiques, qui est fondée sur un traitement automatisé, y compris le profilage ». 317. En ce qui concerne l’obligation d’information des personnes concernées par des opérations de profilage ou de Big data, pour rappel, alors que la loi « Informatique et Libertés » ne le prévoit pas, en cas de collecte (indirecte), le RGPD impose d’informer la personne concernée de « la source d’où proviennent les données à caractère personnel et, le cas échéant, une mention indiquant qu’elles sont issues ou non de sources accessibles au public »376.
SECTION IV TRANSFERT DES DONNÉES À CARACTÈRE PERSONNEL 318. Les réseaux de communications électroniques (télécoms et Internet) et les moyens informatiques, entraînent depuis de nombreuses années des flux transfrontières de données. Cela se vérifie dans les grands groupes internationaux de banque et d’assurance où les outils sont souvent partagés ainsi que les données. 319. À l’époque de la globalisation, du fait des activités et des implantations des banques et des assurances, leurs traitements informatisés de données circulent à l’échelle planétaire ; la localisation physique de l’hébergement et de l’exploitation de ces données dans le cadre du « Cloud computing » peut être dissociée du lieu de leur collecte et de leur utilisation (accès…) ; de même, le cas du « Big data » dans les grands groupes internationaux de banques ou d’assurances représente des enjeux importants en termes d’analyse des données, particulièrement sur la question de l’anonymisation (irréversible ?) et de la pseudonymisation. Les réseaux numériques ouverts (l’Internet) ou fermés (intranet, extranet) se multiplient et l’abolition des frontières étatiques pourrait remettre en cause la souveraineté des États, voire des approches régionales comme dans l’Union européenne ou internationale (Conseil de l’Europe). 320. L’article 24 de la loi « Informatique et Libertés » mentionnait dès son origine : « Sur proposition ou après avis de la Commission, la transmission entre le territoire et l’étranger, sous quelque forme que ce soit d’informations
376. É. A. Caprioli, « Profilage et algorithmes dans la banque. Brèves réflexions juridiques », horssérie Banque & Droit, mars-avr. 2017, p. 23 et s.
150 | B anque
et
a ssurance
digitales
nominatives faisant l’objet de traitements automatisés régis par l’article 16 (…) peut être soumise à autorisation préalable ou réglementée (…)»377. De même, la Convention du Conseil de l’Europe n° 108 du 28 janvier 1981378, dispose d’un chapitre III, intitulé « flux transfrontières de données ». 321. La directive n° 95/46/CE du 24 octobre 1995 reprendra certains des principes, en les affinant, en procédant à la distinction essentielle entre ceux qui s’opèrent dans les États de l’Union et ceux qui s’effectuent en dehors de l’Union européenne, en transformant la notion de protection équivalente en protection adéquate. La directive reprend à son chapitre IV le transfert des données personnelles en dehors de l’Union européenne et pour lesquels le principe fondateur de libre circulation des données dans les États membres ne peut s’appliquer379. Il fallait éviter que certains acteurs délocalisent leurs traitements dans des « paradis des données » pour échapper aux lois des États membres. Selon d’éminents auteurs, « faute de conventions internationales, protectrices de grande portée et contraignante (…), ce texte a entendu cependant atténuer – et non supprimer – les disparités pour assurer une protection minimale des droits et libertés des ressortissants de l’Union même lorsque leurs données seraient traitées à l’extérieur de celle-ci »380. Les articles 25 et 26 composent ce chapitre et constituent les fondements juridiques de l’harmonisation des législations des États membres (voir infra). La loi « Informatique, fichiers et libertés » a été modifiée le 4 août 2004 pour assurer la transposition de la directive381. Les transferts n’étaient pas ignorés par la directive et par la loi française, mais les praticiens ont pu constater les limites des articles 25 et 26 de la directive. 322. De plus, c’est le 27 avril 2016 que le RGPD382 a été adopté après plus de quatre années de discussions et avec un chapitre dédié aux transferts. Pour ce faire, nous envisagerons dans un premier temps le droit applicable en matière de transfert de données en dehors de l’Union européenne tel qu’il est applicable jusqu’à l’entrée en vigueur du règlement européen (§ 1) et nous
377. JO 7 janv. 1978 et rectificatif au JO 25 janv. 1978. 378. Convention n° 108 du Conseil de l’Europe, consultable sur le site : www.coe.org 379. G. Braibant, Données personnelles et société de l’information, La Documentation française, Rapport au Premier ministre, 1998. L’article 1er de la directive n° 95/46/CE dispose : « 1. Les États membres assurent, conformément à la présente directive, la protection des libertés et droits fondamentaux des personnes physiques, notamment de leur vie privée, à l’égard du traitement des données à caractère personnel. 2. Les États membres ne peuvent restreindre ni interdire la libre circulation des données à caractère personnel entre États membres pour des raisons relatives à la protection assurée en vertu du paragraphe 1 ». 380. A. Lucas, J. Devèze, J. Frayssinet, Droit de l’informatique et de l’internet, PUF, 2001, v. n° 339, p. 194. 381. G. Desgens-Pasanau, La protection des données à caractère personnel, LexisNexis, 2012, p. 83 et s. ; A. Debet, J. Massot, N. Metallinos, Informatique et Libertés, Lextenso, 2015, v. p. 1595 et s. 382. Règlement n° 2016/679/UE du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données et abrogeant la directive n° 95/46/CE (règlement général sur la protection des données), JOUE n° L. 119, 4 mai 2016, p. 1.
la
protection des données à caractère personnel
| 151
présenterons, dans un second temps, les nouvelles règles dont l’application est fixée au 25 mai 2018 (§ 2). § 1 – Cadre juridique applicable jusqu’en mai 2018
323. Il n’existe pas de définition légale ou réglementaire du transfert dans les textes européens ou français. Mais la CNIL a donné une définition « fonctionnelle » du transfert : « toute communication, copie ou déplacement de données par l’intermédiaire d’un réseau ou toute communication, copie, ou déplacement de ces données d’un support à un autre, quel que soit le type de ce support, dans la mesure où ces données ont vocation à faire l’objet d’un traitement dans le pays destinataire »383. Ainsi, pour qu’il y ait transfert, il faut la communication d’un traitement de données vers un pays destinataire situé en dehors de l’Union européenne. Aussi, peut-on en déduire que les opérations de transfert et de traitement sont étroitement imbriquées. 324. Seront par conséquent qualifiés de transfert la mise à disposition d’un intranet groupe qui peut centraliser un annuaire délocalisé des employés, la base des ressources humaines ou de celles pour la gestion des commandes ou de la comptabilité clients, l’hébergement technique des services et données associées, la saisie informatique de données inscrites dans des dossiers manuels par un prestataire… Un grand nombre de ces traitements numériques sont concernés dans le cadre des activités des banques ou d’assurances internationales. Inversement, ne seront pas constitutifs de transferts : la simple consultation d’une page Web par un internaute situé dans un pays tiers à l’UE384 ou la saisie des données par un internaute dans un formulaire en ligne. A.
Transfert et directive n° 95/46/CE du 24 octobre 1995
325. Les dispositions des articles 25 et 26 de la directive sont consacrées aux transferts de données à caractère personnel. 1.
Le principe d’interdiction des transferts ne présentant pas un niveau de protection adéquat
326. Le principe d’interdiction de transfert des données vers des États ne présentant pas un niveau de protection adéquat est posé à l’article 25 de la directive n° 95/46/CE. Dans la convention du Conseil de l’Europe, le niveau devait être « équivalent » en 1981 ; il a été remplacé par le terme « adéquat » en 2001385. De son côté, la loi française mentionne un niveau « suffisant »386.
383. Guide CNIL, « Transfert de données à caractère personnel vers les pays non-membres de l’Union européenne », juin 2008, p. 5. 384. CJCE, 6 nov. 2003, aff. C-101-/01 Lindqvist, D. 2004, p. 1062. 385. Protocole additionnel de la Convention n° 108 du 8 novembre 2001. 386. V. l’article 68, alinéa 2, de la loi « Informatique, fichiers et libertés ».
152 | B anque
et
a ssurance
digitales
L’utilisation de ces termes n’est pas neutre et les conséquences juridiques peuvent être différentes387. 327. L’appréciation du niveau de protection adéquat est précisée, à tout le moins pour partie, à l’article 25-2 de la directive. Ainsi, « le caractère adéquat du niveau de protection offert par un pays tiers s’apprécie au regard de toutes les circonstances relatives à un transfert ou à une catégorie de transferts de données ; en particulier, sont prises en considération la nature des données, la finalité et la durée du ou des traitements envisagés, les pays d’origine et de destination finale, les règles de droit, générales ou sectorielles, en vigueur dans le pays tiers en cause, ainsi que les règles professionnelles et les mesures de sécurité qui y sont respectées ». Pour déterminer le caractère « adéquat », on peut constater que le concept est à la fois complexe et flou, dans la mesure où l’approche européenne est à la fois souple (« au regard de toutes les circonstances du transfert »), qu’elle s’apprécie au cas par cas (« pour chaque catégorie de données ») et qu’elle effectue en termes de « similarité fonctionnelles »388, en ce sens que l’objectif poursuivi par la directive n’est pas d’assurer une « transposition » des règles de protection du système européen mais plutôt de rechercher tous les éléments et les mesures permettant de constater une protection « adéquate ». 2.
Les dérogations au principe
328. Les exceptions définies par l’article 26 de la directive389 sont énumérées de façon limitative et doivent être interprétées strictement comme l’indique un 387. Y. Poullet, « Pour une justification des articles 25 et 26 de la directive européenne n° 95/46/CE en matière de flux transfrontières et de protection des données », Com. com. électr. 2003, p. 9. 388. Y. Poullet, « Flux transfrontières de données, vie privée et groupe d’entreprises : à propos d’une opinion récente du Groupe de travail “Article 29” sur la protection des données et d’une décision de la Commission belge de protection des données », RLDI n° 8, sept. 2005, p. 236 et s. 389. L’article 26 fixe les dérogations : « 1. Par dérogation à l’article 25 et sous réserve de dispositions contraires de leur droit national régissant des cas particuliers, les États membres prévoient qu’un transfert de données à caractère personnel vers un pays tiers n’assurant pas un niveau de protection adéquat au sens de l’article 25, paragraphe 2, peut être effectué, à condition que : a) la personne concernée ait indubitablement donné son consentement au transfert envisagé, ou b) le transfert soit nécessaire à l’exécution d’un contrat entre la personne concernée et le responsable du traitement ou à l’exécution de mesures précontractuelles prises à la demande de la personne concernée, ou c) le transfert soit nécessaire à la conclusion ou à l’exécution d’un contrat conclu ou à conclure, dans l’intérêt de la personne concernée, entre le responsable du traitement et un tiers, ou d) le transfert soit nécessaire ou rendu juridiquement obligatoire pour la sauvegarde d’un intérêt public important, ou pour la constatation, l’exercice ou la défense d’un droit en justice, ou e) le transfert soit nécessaire à la sauvegarde de l’intérêt vital de la personne concernée, ou f) le transfert intervient au départ d’un registre public qui, en vertu de dispositions législatives ou réglementaires, est destiné à l’information du public et est ouvert à la consultation du public ou de toute personne justifiant d’un intérêt légitime, dans la mesure où les conditions légales pour la consultation sont remplies dans le cas particulier (…) ».
la
protection des données à caractère personnel
| 153
document du Groupe de travail de l’Article 29 : « ces dérogations, formulées de manière restrictive, ne doivent concerner que des cas dans lesquels les risques pour la personne concernée sont relativement faibles, ou des cas dans lesquels d’autres intérêts (qu’ils soient publics ou propres à la personne concernée ellemême) priment le droit de la personne concernée au respect de sa vie privée »390. 329. S’agissant des exceptions, on peut distinguer celles qui relèvent du consentement de la personne et celles qui sont liées à une nécessité. D’après l’article 26-1, a) « la personne concernée ait indubitablement donné son consentement au transfert envisagé ». L’article 2.h) de la directive, définit ce que l’on entend par « consentement de la personne concernée » : « toute manifestation de volonté, libre, spécifique et informée par laquelle la personne concernée accepte que des données à caractère personnel la concernant fassent l’objet d’un traitement ». Cette définition exclut le consentement implicite ou tacite. Puisque le consentement doit être spécifique, ne sera pas valable le fait d’obtenir un consentement a priori des personnes sur un transfert dont les contours et les finalités ne pourraient être exposés avec précision aux personnes concernées au moment du recueil de leur consentement. De plus, l’information de la personne doit porter également sur l’absence ou la faiblesse de la protection dans le pays destinataire. Cependant, le terme indubitablement employé à l’article 26-1-a) laisse perplexe391. Afin de préciser ce qualificatif, on retiendra que le consentement doit être certain et qu’aucun doute quant à son existence n’est possible. Cette formulation comme toute dérogation est d’interprétation stricte. Ainsi, elle nous semble apporter une limite quant à la portée de la dérogation devant s’appliquer à des transferts précis, ponctuels, pour lesquels le consentement aura été donné, au cas par cas, et non de façon générale. La notion d’État tiers renvoie au niveau de protection en vigueur localement et l’encadrement du transfert des données vers les États dépend de ce niveau de protection. On distingue trois niveaux de protection. a.
La libre circulation des données dans les États membres
330. Le principe de libre circulation s’applique entre les États membres de l’Union européenne, ainsi qu’aux trois pays de l’Espace économique européen (Islande, Liechtenstein, Norvège). En conséquence, il n’y a pas d’encadrement des transferts de données car la protection de la vie privée et des droits et libertés fondamentaux est assurée. En effet, selon l’article premier de la directive :
390. Avis du 24 juillet 1998, Groupe de travail « Article 29 », réf. D C MARKTD /5025/98-W P 12. 391. CNIL, « Les transferts de données à caractère personnel hors de l’Union européenne : Guide pratique », 2012, p. 37.
154 | B anque
et
a ssurance
digitales
« 1. Les États membres assurent, conformément à la présente directive, la protection des libertés et droits fondamentaux des personnes physiques, notamment de leur vie privée, à l’égard du traitement des données à caractère personnel. 2. Les États membres ne peuvent restreindre ni interdire la libre circulation des données à caractère personnel entre États membres pour des raisons relatives à la protection assurée en vertu du paragraphe 1 ». b.
Les pays bénéficiant d’un niveau de protection adéquat
i.
Les fondements
331. En vertu de l’article 26-1 de la directive, les transferts de données vers les pays qui présentent un niveau de protection reconnu comme étant adéquat par la Commission européenne ne requièrent pas d’encadrement spécifique. Les décisions de la Commission européenne constatant qu’un pays tiers assure un niveau de protection suffisant ont pour effet de permettre la libre circulation des données entre le pays visé et les États membres de l’Union européenne ainsi qu’avec les trois États membres de l’Espace économique européen. Dans le cadre de la mise en œuvre des décisions de la Commission européenne, il ne sera requis aucune garantie supplémentaire, par exemple pour les États suivants : Suisse392, Canada393, Argentine394, les territoires britanniques de Guernesey395 et l’île de Man396. ii.
Le Safe Harbor
332. Pour les États-Unis d’Amérique, le transfert de données en provenance de l’Union européenne était autorisé à l’égard des entreprises américaines ayant adhéré aux principes de la « sphère de sécurité » (« Safe Harbor »)397, mécanisme par lequel la Commission européenne reconnaît que ces principes assurent une protection adéquate398. Toutefois, le « Safe Harbor » ne concernait que les 392. Décision de la Commission européenne n° 2000/518/CE du 26 juillet 2000, JOUE n° L. 218, 25 août 2000. 393. Décision de la Commission européenne n° 2002/2/CE du 20 décembre 2001, JOUE n° L. 2, 4 janv. 2002. 394. Décision de la Commission européenne n° 2003/490/CE du 30 juin 2003, JOUE n° L. 168, 5 juill. 2003. 395. Décision de la Commission européenne n° 2003/821/CE du 21 novembre 2003, JOUE n° L. 308, 25 nov. 2003. 396. Décision de la Commission européenne n° 2004/411/CE du 28 avril 2004, JOUE n° L. 151, 30 avr. 2004. 397. Les listes des entreprises ayant adhéré au principe du « Safe Harbor » établies par le Gouvernement américain sont disponibles à l’adresse : www.export.gov/safeharbor 398. Décision de la Commission européenne n° 2000/520/CE du 26 juillet 2000, JOUE n° L. 218, 25 août 2000, p. 7. J. Frayssinet, « Le transfert et la protection. Des données personnelles en provenance de l’Union européenne vers les États-Unis : l’accord dit sphère de sécurité (ou safe harbor) » : Com. com. électr. 2001, chron. 7, p. 10.
la
protection des données à caractère personnel
| 155
entreprises relevant de la compétence de la « Federal Trade Commission » ou du « Department of Transportation ». Cette sphère de sécurité repose sur une démarche volontaire des entreprises qui déclarent s’engager à respecter une série de principes de protections des données à caractère personnel, de l’autocertification. Les détails des engagements pris par la société figurant sur une liste publiée (« Safe Harbor List »)399. De facto, les banques, les établissements financiers, d’épargne et de prêt et les coopératives de crédit ainsi que les sociétés de télécommunications en sont exclus. La réglementation dans le domaine de l’assurance est laissée aux différents États ; toutefois les dispositions du « Federal Trade Commission Act » s’appliquent dans la mesure où cette activité n’est pas réglementée par la loi d’un État. Considérant que le droit aux États-Unis n’offrait pas un niveau de protection adéquate, la Suisse a également conclu un accord avec les États-Unis, le « US Swiss Safe Harbor Framework », en 2009. Cependant, après les critiques formulées par la Commission européenne en 2013 dans deux communications400, le « Safe Harbor » a été invalidé par la CJUE dans l’affaire Schrems401. Il y avait entre 4 000 et 5 000 entreprises américaines adhérentes au « Safe Harbor ». C’est dire l’impact juridique et économique de cette décision, spécialement sur les services de « Cloud computing » offerts par des entreprises américaines à des sociétés européennes. Le dispositif de l’arrêt Schrems est le suivant : « L’article 25, paragraphe 6, de la directive n° 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, telle que modifiée par le règlement n° 1882/2003/CE du Parlement européen et du Conseil, du 29 septembre 2003, lu à la lumière des articles 7, 8 et 47 de la charte des droits fondamentaux de l’Union européenne, doit être interprété en ce sens qu’une décision adoptée au titre de cette disposition, telle que la décision n° 2000/520/ CE de la Commission, du 26 juillet 2000, conformément à la directive n° 95/46/CE relative à la pertinence de la protection assurée par les principes de la « sphère de sécurité » et par les questions souvent posées y afférentes, publiés par le ministère du Commerce des États-Unis d’Amérique, par laquelle la Commission européenne constate qu’un pays tiers assure un niveau de protection adéquat, ne fait pas obstacle à ce qu’une autorité de contrôle d’un État membre, au sens de l’article 28 de cette directive, telle que modifiée, examine la demande d’une 399. E. Derieux, « Encadrement du transfert de données personnelles de l’Union européenne vers les États-Unis », RLDI, nov. 2015, p. 25 et s. 400. Communication de la Commission au Parlement européen et au Conseil, intitulée « Rétablir la confiance dans les flux des données entre l’Union européenne et les États-Unis d’Amérique » (COM (2013) 846 final, 27 novembre 2013) et communication de la Commission au Parlement et au Conseil relative au fonctionnement de la sphère de sécurité du point de vue des citoyens de l’Union et des entreprises établies sur son territoire (COM (2013) 847 final, 27 novembre 2013). 401. CJUE, 6 oct. 2015, aff. C-362/14, Schrems c./ Data Protection Commissionner, disponible sous le lien : http://curia.europa.eu/juris/document/document.jsf?docid=169195&mode=req&pageI ndex=1&dir=&occ=first&part=1&text=&doclang=FR&cid=552803. V. A. Debet, « L’invalidation du Safe Harbor par la CJUE : tempête sur les transferts de données vers les États-Unis », JCP éd. G 2015, n° 46-47, 1258 ; D. 2016, p. 88 note C. Castets-Renard ; AJ Pénal 2015, p. 601, obs. E. Daoud ; RTD eur. 2015, p. 786, obs. M. Benlolo Carabot.
156 | B anque
et
a ssurance
digitales
personne relative à la protection de ses droits et libertés à l’égard du traitement de données à caractère personnel la concernant qui ont été transférées depuis un État membre vers ce pays tiers, lorsque cette personne fait valoir que le droit et les pratiques en vigueur dans celui-ci n’assurent pas un niveau de protection adéquat. La décision n° 2000/520 est invalide ». Depuis lors, la Commission a adopté quelques neuf mois plus tard une nouvelle décision d’adéquation, baptisée bouclier de protection des données ou « Privacy Shield ». iii.
Le bouclier de protection des données ou « Privacy Shield »
333. Le 8 juillet 2016402 et le 12 juillet 2016, la Commission européenne a rendu deux décisions d’adéquation relatives au « Privacy Shield »403. Ce nouvel accord remplace le « Safe Harbor » qui présentait d’importantes failles et qui n’avait en rien gêné la collecte massive de données personnelles de citoyens européens par la « National Security Agency » (NSA), dénoncée par Edward Snowden en 2013. Ainsi est né le cadre juridique de sécurité destiné à protéger les données personnelles des citoyens européens exportées vers les États-Unis, spécialement l’obligation d’information des individus, les finalités, l’existence d’un droit d’accès et d’un organisme indépendant pour résoudre les litiges en la matière. Plus concrètement, les entreprises européennes vont pouvoir recourir aux services des entreprises américaines (ex. : fournisseurs de prestation de Cloud computing) sans avoir besoin de recourir à des garanties appropriées (« Binding Corporate Rules » ou à des « Clauses contractuelles types ») et ce qui en découle sans autorisation préalable de l’autorité de contrôle (CNIL). Mais la décision d’adéquation ne s’applique pas aux transferts entre les maisons mères des banques et des assurances avec leurs filiales et succursales. Le texte de la décision d’adéquation est dense et complexe ; il est constitué de la décision d’adéquation permettant de reconnaître un niveau de protection « essentiellement équivalent » aux exigences européennes (36 pages) et ses 7 annexes (76 pages)404. Son adoption finale n’a pas tenu compte de la recommandation et de la position 405 du Commissaire européen à la protection des données406. Ces réserves portent notamment sur le manque de clarté de 402. Sur les conceptions différentes en matière de données à caractère personnel entre l’Union européenne et les États-Unis, v. W. Gregory Voss, « Le concept de données à caractère personnel : divergences transatlantiques Safe Harbor et Privacy Shield », D. IP/IT 2016. p. 119 et s. 403. Décision d’exécution n° 2016/1250/UE de la Commission du 12 juillet 2016, JOUE n° L. 20, 1er août 2016. V. http://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:32016D125 0&from=EN 404. European Commission, « Guide to the EU-US privacy shield », disponible à l’adresse : http:// ec.europa.eu/justice/data-protection/files/eu-us_privacy_shield_guide_en.pdf 405. Avis du G29, WP 238 du 13 avril 2016. Le G29 a émis de nouvelles réserves le 25 juillet 2016. 406. Opinion n° 4/2016 du 30 mai 2016.
la
protection des données à caractère personnel
| 157
l’ensemble, voire les incohérences terminologiques (ex. : absence de glossaire) ou encore l’absence de définition des « personal data » et de leurs traitements, voire la non prise en compte de l’effacement des données à la fin de la prestation, comme le prescrit le règlement européen. Il est vrai que le « privacy shield » « impose des obligations plus strictes aux entreprises qui traitent des données et fait en sorte que ces règles soient appliquées et que leur respect soit assuré dans la pratique ». Or, si des obligations sont prescrites afin d’apporter différentes garanties, le bouclier de protection repose toujours, à l’instar du « Safe Harbor », sur les principes d’adhésion volontaire et d’auto-certification des entreprises américaines depuis le 1er août 2016. Elles gèrent elles-mêmes la conformité à l’accord et elles sont placées sous le contrôle (quasi exclusif) du Département du commerce américain et de la « Federal Trade Commission » (en charge de la protection des consommateurs et de la libre concurrence). Concernant les voies de recours, il est prévu l’instauration d’un médiateur (« Ombudsperson »), chargé de traiter les plaintes des citoyens européens, dont l’indépendance et les moyens sont intégralement garantis par les États-Unis407. D’après la Commission européenne, « pour la première fois, les États-Unis ont donné par écrit à l’UE l’assurance que l’accès des pouvoirs publics aux données à des fins répressives et de sécurité nationale serait subordonné à des limitations, des conditions et des mécanismes de surveillance bien définis et ont exclu toute surveillance de masse non ciblée des données des citoyens européens ». Il est fait ici référence aux lettres d’engagement de responsables de l’administration de Barack Obama en fin de mandat. On retrouve ces lettres en annexe de la décision ; elles auraient la valeur d’un engagement ferme à l’instar d’une loi ou d’une convention internationale. Pourtant, en dépit des mesures de protection envisagées par le texte, il reste une question de fond essentielle : celle des conceptions antagonistes qui existent sur la notion de données à caractère personnel de part et d’autre de l’Atlantique ; c’est-à-dire un droit fondamental attaché à la personne pour les Européens (imprescriptible, inaliénable et incessible) alors que pour les Américains, la donnée personnelle est potentiellement un bien comme un autre…, une marchandise pouvant faire l’objet de transactions commerciales. Lorsque l’on se situe en dehors de ces hypothèses de décisions d’adéquation, les transferts doivent être encadrés par des clauses contractuelles.
407. S’il est indépendant des services de sécurité nationale, le médiateur rend compte au Secrétaire d’État. C. Castets-Renard, « L’adoption du Privacy Shield sur le transfert de données personnelles », D. 2016, p. 1696, et du même auteur « Adoption du Privacy Shield : des raisons de douter de la solidité de cet accord », D. IP/IT 2016, p. 444.
158 | B anque c.
et
a ssurance
digitales
Les clauses contractuelles
334. Selon l’article 26 de la directive n° 95/46/CE : « 2. Sans préjudice du paragraphe 1, un État membre peut autoriser un transfert, ou un ensemble de transferts, de données à caractère personnel vers un pays tiers n’assurant pas un niveau de protection adéquat au sens de l’article 25, paragraphe 2, lorsque le responsable du traitement offre des garanties suffisantes au regard de la protection de la vie privée et des libertés et droits fondamentaux des personnes, ainsi qu’à l’égard de l’exercice des droits correspondants ; ces garanties peuvent notamment résulter de clauses contractuelles appropriées. « 3. L’État membre informe la Commission et les autres États membres des autorisations qu’il accorde en application du paragraphe 2. « (…) « Les États membres prennent les mesures nécessaires pour se conformer à la décision de la Commission. « Lorsque la Commission décide, conformément à la procédure prévue à l’article 31, paragraphe 2, que certaines clauses contractuelles types présentent les garanties suffisantes visées au paragraphe 2, les États membres prennent les mesures nécessaires pour se conformer à la décision de la Commission ». Ces clauses contractuelles peuvent émaner de la Commission européenne (les clauses contractuelles types) (i) et des entreprises elles-mêmes (les règles internes contraignantes) (ii). i.
Les clauses contractuelles types 408
La Commission européenne a adopté plusieurs décisions en dates des 15 juin 2001409, du 27 décembre 2004410 et du 5 février 2010411. Les deux premières concernent des conventions types sur les transferts de données entre
408. Sur les clauses contractuelles issues du Conseil de l’Europe et de la Chambre de commerce internationale de 1992 (doc. T-PD (92) 7 révisé), v. J. Huet, « Les contrats encadrant le transfert des données personnelles », Com. com. électr. mai 2001, p. 8 et s. 409. Décision n° 2001/1539/CE du 15 juin 2001 relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers en vertu de la directive n° 95/46/ CE, JOCE n° L. 181, 4 juill. 2001, p. 19 : http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2001:181:0019:0031:FR:PDF 410. Décision de la Commission n° 2004/5271/CE du 27 décembre 2004 modifiant la décision n° 2001/497/CE en ce qui concerne l’introduction d’un ensemble alternatif de clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers, JOUE n° L. 385, 29 déc. 2004, p. 74 : https://www.cnil.fr/sites/default/files/typo/document/ CCT-2004FR.pdf 411. Décision de la Commission n° 2010/593/CE du 5 février 2010 relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers en vertu de la directive n° 95/46/CE du Parlement européen et du Conseil, JOUE n° L. 39, 12 févr. 2010, p. 5.
la
protection des données à caractère personnel
| 159
responsables de traitements, et la troisième est une convention type relative aux transferts entre le responsable de traitement et un sous-traitant. Mais les clauses contractuelles types ne peuvent pas être modifiées. Elles doivent être adoptées en l’état par le groupe. 335. Dans certains groupes bancaires ou d’assurances, des applications informatiques sont mises à la disposition des filiales ; cela permet, par exemple, de mettre en œuvre des traitements de données à caractère personnel de la base RH ou de donner l’accès à un annuaire des personnels du groupe. Dès lors que les filiales (ou les succursales) sont autonomes quant à la gestion et la mise en place des traitements de données, elles ont la qualité de responsable de traitement au sens de l’article 2 de la loi « Informatique et Libertés »412. Dans ce contexte, l’établissement bancaire ou l’assurance peut utiliser, au choix, les deux modèles de clauses contractuelles, de manière alternative. Toutefois, en application de l’article premier paragraphe 1 de la décision de la Commission du 27 décembre 2004 : « Les responsables du traitement des données peuvent choisir entre les ensembles I et II de l’annexe. Ils ne peuvent toutefois pas modifier les clauses ni combiner des clauses individuelles ou les ensembles ». Il convient de préciser que le paragraphe 4, alinéa 1er, du même article énonce que l’Annexe de la Décision de la Commission du 15 juin 2001 constitue l’ensemble I et l’annexe de la décision de la Commission du 27 décembre 2004 constitue l’ensemble II. 336. Concrètement, lorsqu’une banque ou une société d’assurance a recours à ces clauses contractuelles types, cela lui permet de limiter les risques de blocage d’une des autorités nationales de contrôle qui dispose de la possibilité de refuser le transfert. En effet, les autorités de contrôle doivent accepter le transfert des données qui est encadré par des clauses contractuelles types, dans la mesure où les garanties qui y sont consignées sont considérées comme adéquates (« suffisantes » dans la loi française) par la Commission européenne conformément à la directive. ii.
Les règles internes contraignantes
337. La CNIL définit les règles internes contraignantes ou « Binding Rules » (BR) – ou encore « Binding Corporate Rules » (BCR) comme « un ensemble de règles relatives à la protection des données personnelles élaborées par l’organisme du responsable de traitement, le plus souvent une société multinationale, dont le
412. L’article 2, d) de la directive n° 95/46/CE définit le « responsable du traitement » comme « la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement de données à caractère personnel ; lorsque les finalités et les moyens du traitement sont déterminés par des dispositions législatives ou réglementaires nationales ou communautaires, le responsable du traitement ou les critères spécifiques pour le désigner peuvent être fixés par le droit national ou communautaire (…) ».
160 | B anque
et
a ssurance
digitales
respect est obligatoire pour chacune des entités membres du groupe »413. Ces règles ont pour but d’encadrer juridiquement les transferts internationaux de données personnelles au sein des entités d’un même groupe international. Pour que les BCR soient applicables, il est essentiel que les entreprises appartiennent à un groupe d’entreprises. En vertu de la directive européenne, les transferts de données entre entreprises au sein d’un groupe doivent être encadrés par des clauses contractuelles de type BCR. Pour être conformes aux exigences de l’article 26, les modalités concrètes de mise en œuvre des principes applicables à la protection des données à caractère personnel doivent figurer dans les BCR. D’ailleurs, il convient de préciser que les BCR doivent être jointes aux demandes d’autorisation de transfert adressée à l’autorité de contrôle. Néanmoins, il appartient à la Commission européenne et aux autorités européennes de contrôle de valider tous les documents transmis au titre de la demande. Concernant le caractère contraignant des BCR, il convient de différencier deux niveaux : interne et externe. Sur le plan interne au groupe : 338. Il est très important que toutes les entités du groupe s’engagent à respecter les BCR et à en imposer leur application à leurs salariés. La maison mère dispose du choix des modalités et instruments, ou mécanismes pour les imposer. Tout va dépendre de la culture et des pratiques du groupe d’entreprises concerné414. Toutefois, dans la demande d’autorisation, l’entreprise devra détailler le mécanisme qui garantit le respect des BCR par les entités du groupe et leurs employés. En outre, un programme de formation adéquat doit être dispensé à tous les personnels qui ont accès de manière permanente ou régulière aux données à caractère personnel ou au développement d’outils de traitement de ces données. Sur le plan des personnes concernées : 339. Les BCR doivent garantir à ces personnes concernées par le transfert l’existence de droits qui garantissent l’application des BCR et en disposant d’un droit de recours en cas de violation des droits à la protection des données personnelles reconnus par les BCR, ainsi que d’un droit à réparation. Les BCR 413. Définition de la CNIL – « Guide transfert de données à caractère personnel vers des pays nonmembres de l’Union européenne », juin 2008, p. 13. Le Guide est disponible sur le site de la CNIL, à l’adresse : www.cnil.fr 414. Par rapport aux filiales, il peut s’agir par exemple : d’accord intragroupe, d’engagements unilatéraux, de mesures réglementaires internes, de politiques du groupe. Vis-à-vis des employés, il peut s’agir : de conventions ou d’engagements individuels qui prévoient des sanctions disciplinaires ; mais cela peut se traduire aussi par des clauses du contrat de travail, des politiques internes, de conventions collectives prévoyant des sanctions en cas de manquement.
la
protection des données à caractère personnel
| 161
doivent décrire la procédure introductive de la plainte. De plus, la gestion des plaintes individualisées doit être assurée au sein d’un service clairement identifié où les personnes en charge de cette mission bénéficient d’un degré approprié d’indépendance. Ces droits relatifs aux droits des personnes supposent qu’en pratique les filiales s’engagent à favoriser l’accès facile aux BCR en les publiant, par exemple, sur leur site Internet ou sur l’intranet de l’entreprise. Les BCR doivent faire l’objet d’un programme d’audit étant donné que la CNIL (l’autorité de contrôle) peut, le cas échéant, les contrôler. Comme pour les Délégués à la protection des données, dans le cadre des BCR, il est indispensable de créer un réseau de responsables de la protection des données personnelles. Ces personnes seront notamment chargées de gérer les plaintes, d’assurer la surveillance et le contrôler du respect des BCR avec l’appui de la direction. Finalement, il s’agira d’instaurer la gouvernance de la protection des données à caractère personnel et de la vie privée, ce qui suppose l’organisation et l’encadrement juridique des pratiques par le biais d’une politique du groupe en matière de protection de la vie privée et des données personnelles. Cette gouvernance imposera de définir des rôles et les obligations des responsables des données dans les pays et d’établir les relations qu’ils entretiennent avec les autres acteurs internes et externes. Envisagés sous cet angle, les BCR s’inscrivent dans le cadre d’une politique globale du groupe en matière de protection de la vie privée. Ainsi, lorsque le groupe adopte une norme de référence unique et qu’il l’impose dans le cadre des BCR et de sa politique, il uniformise ses pratiques et assure une protection identique dans chaque entité du groupe quel que soit le pays en cause. Cela permet de garantir une meilleure prévention des risques liés aux traitements des données à caractère personnel. Dans la pratique, on constate que les demandes d’autorisation de transfert sur la base de BCR sont plus complexes et la procédure d’agrément plus longue que lorsqu’elles le sont sur la base de clauses contractuelles type415. B.
Transfert et loi « Informatique, Fichiers et Libertés »
340. Lorsqu’une banque ou une société d’assurance réalise des opérations d’externalisation (hébergement, gestion des données), telle que les contrats de l’informatique dans les nuages (« Cloud computing »)416, elle se trouve dans 415. 11e rapport annuel sur l’état de la protection des personnes à l’égard du traitement des données à caractère personnel dans l’Union européenne et les pays tiers, portant sur l’année 2007. http://ec.europa.eu/justice_home/fsj/privacy/docs/wpdocs/2008/11th_annual_report_ fr.pdf 416. Pour des cas d’application dans la banque, v. É. A. Caprioli, « Les flux transfrontières des données à caractère personnel en matière bancaire », RDBF 2010, p. 78-79.
162 | B anque
et
a ssurance
digitales
le cas d’un transfert de données régi par les articles 68 et 69 de la loi. Or, la notion de transfert n’est définie ni dans la directive n° 95/46/CE du 24 octobre 1995, ni dans la loi de 1978 modifiée. Ceci a conduit la CNIL à préciser la notion de « transfert » : « On parle de transfert de données personnelles lorsque les données personnelles sont transférées depuis le territoire européen vers un ou des pays situés hors de l’Union européenne. Le transfert peut s’effectuer, par copie, par déplacement de données, par l’intermédiaire d’un réseau ou d’un support à un autre (ex. disque dur d’ordinateur à un serveur) »417. Dans les groupes internationaux, pour les relations entre la maison mère et ses filiales ou succursales implantées en dehors du territoire de l’Union européenne, ces diverses entités sont considérées, du point de vue du régulateur, comme des personnes distinctes (même si les succursales n’ont pas la personne morale). Dans un tel contexte, les transferts feront l’objet d’un encadrement par le biais des clauses contractuelles types de la Commission, voire par le biais de « Règles contractuelles contraignantes » (« Binding Corporate Rules »). 1.
Le principe
341. En droit français, le transfert des données à caractère personnel en dehors de l’Union européenne est établi à l’article 68 de la loi de 1978. Comme dans la directive, cet article pose le principe d’interdiction du transfert sauf si l’État destinataire des données « assure un niveau de protection suffisant » de la vie privée. Il appartient à la Commission européenne d’apprécier ce niveau en se fondant sur plusieurs critères : dispositions en vigueur dans le pays, mesures de sécurité qui y sont appliquées, caractéristiques propres au traitement « telles que ses fins et sa durée, ainsi que de la nature, de l’origine et de la destination des données traitées ». La liste des États ayant un tel niveau de protection suffisant est publiée sur le site de la CNIL et sur celui de la Commission européenne (v. partie I, chapitre II, section I). 342. Si le traitement principal a fait l’objet d’une dispense de déclaration, cette dispense ne vaut pas en cas de transfert des données hors Union européenne : il conviendra de procéder à une demande d’autorisation du transfert des données en cause auprès de la CNIL. À ce titre, la désignation d’un Correspondant à la protection des données à caractère personnel (« CPDCP » ou « CIL ») n’exonère pas le responsable de traitement à accomplir des formalités en cas de transfert des données418. 2.
Les dérogations
343. S’agissant des dérogations, l’article 69 de la loi reprend les mêmes que dans la directive n° 95/46/CE. Toutefois, il faut rappeler que toutes les règles prescrites 417. Document de juillet 2010 sur les « transferts de données à caractère personnel vers des pays tiers à l’Union européenne ». 418. É. A. Caprioli et I. Cantero, « Le choix d’un Correspondant à la protection des données à caractère personnel (CPDCP) », JCP éd. E 2006, 1976.
la
protection des données à caractère personnel
| 163
par la loi n° 78-17 du 6 janvier 1978 modifiée sont applicables aux transferts de données. Le transfert de données est constitutif d’un traitement de données et à ce titre est soumis aux prescriptions de la loi de 1978. En conséquence, l’ensemble des règles de la loi sont applicables nonobstant celles prescrites au titre du transfert de données lui-même. Les obligations prescrites peuvent se résumer à six grands principes que sont : la collecte loyale et licite des données, le respect de la finalité du traitement, les formalités déclaratives préalables à la mise en œuvre d’un traitement, les limitations de la durée de conservation des données, la sécurité et confidentialité des données protégées et enfin le respect des droits des personnes (accès, rectification, opposition). 344. Un transfert qui ne fournit pas les garanties requises est toutefois possible à condition que la personne concernée par le transfert ait expressément consenti au transfert ou si le transfert est nécessaire à l’une des six conditions définies à cet article 69 (sauvegarde de la vie de la personne, sauvegarde de l’intérêt public, respect d’obligations permettant d’assurer la constatation, l’exercice ou la défense d’un droit en justice, conclusion ou exécution d’un contrat ou à conclure dans l’intérêt de la personne concernée, entre le responsable du traitement et un tiers). En outre, une autre exception à l’interdiction de l’article 68 peut exister sur décision de la CNIL à condition que le transfert soit encadré par des clauses contractuelles types émanant de la Commission européenne ou des règles internes qui garantissent un niveau de protection suffisant de la vie privée et des libertés et droits fondamentaux. 3.
Les sanctions
345. Le non-respect de ces exigences est sanctionné pénalement aux articles 226-16 à 226-21 du Code pénal419, étant précisé que des sanctions pénales sont encourues en cas de manquement aux obligations prescrites et spécifiquement celles prévues pour les transferts illicites, par l’article 226-22-1 du Code pénal (ou pour ordonner l’effacement des données dans les cas prévus aux articles 226-16 et 226-22-1 du Code pénal en vertu de l’article 226-22-2 du Code pénal). Mais conformément à l’article 70, la CNIL peut interdire un transfert vers un pays tiers dès lors qu’elle a constaté un niveau de protection insuffisant. De même, elle peut également suspendre un transfert. Aux termes de l’article 65-I de la loi n° 2016-1321 du 7 octobre 2016 pour une République numérique420, la formation restreinte de la CNIL peut prononcer une sanction pécuniaire qui ne peut excéder 3 millions d’euros. Cette disposition devra également être revue pour appliquer les sanctions qui sont prévues par le RGPD lorsque celui-ci entrera en application. 419. Article 50 de la loi du 6 janvier 1978, modifiée. Ces délits sont punis de 5 ans d’emprisonnement et 300 000 euros d’amende. 420. JO 8 oct. 2016. Cet article modifie l’article 47 de la loi du 6 janvier 1978.
164 | B anque
et
a ssurance
digitales
§ 2 – Transfert des données et règlement général de protection des données
346. Il n’y a pas de commerce international sans flux transfrontières de données à caractère personnel. Et ces flux numériques ne font qu’augmenter de et vers tous les territoires de la planète. Nécessité fait loi ! Mais la nécessité ne doit pas s’opérer au détriment de la protection des données des personnes physiques. Les enjeux économiques ne doivent pas gommer les libertés et droits fondamentaux. Le RGPD contient un chapitre relatif aux « Transferts de données vers des pays tiers ou à des organisations internationales »421. L’objectif est d’assurer une meilleure prise en compte des transferts internationaux422. L’analyse des règles portera principalement sur celles qui s’appliquent au secteur privé, qui a trait directement aux activités de banque et d’assurance digitales. Ne seront par conséquent pas traitées celles relatives aux autorités et aux organismes publics. 347. Les transferts internationaux de données à caractère personnel sont régis par les articles 44 à 50 qui en constituent le cadre juridique423. Ceci nous conduira à examiner : – le principe général applicable aux transferts (A) ; – les fondements juridiques admis pour les transferts (B) ; – les dérogations prévues (C) ; – les aspects internationaux (D). Au préalable, il est important de souligner que les notions de transfert et de pays tiers ne sont toujours pas définies de façon explicite. Cependant, il ne semble pas que qu’il faille remettre en cause les acceptions antérieures que l’on trouve dans le nouveau règlement. Dès lors, la prise en compte du cadre légal applicable à la protection des données est toujours déterminante ; le principe de libre circulation des données est maintenu au sein de l’Union européenne (entre les 28 États membres) et dans l’Espace économique européen (Islande, Liechtenstein et Norvège).
421. L’article 4-23 définit « traitement transfrontalier », comme : « a) un traitement de données à caractère personnel qui a lieu dans l’Union dans le cadre des activités d’établissements dans plusieurs États membres d’un responsable du traitement ou d’un sous-traitant lorsque le responsable de traitement ou le sous-traitant est établi dans plusieurs États membres, ou b) un traitement de données à caractère personnel qui a lieu dans l’Union dans le cadre des activités d’un établissement unique d’un responsable du traitement ou d’un sous-traitant mais qui affecte sensiblement ou est susceptible d’affecter sensiblement des personnes concernées dans plusieurs États membres ». 422. B. Haftel, « Transferts transatlantiques de données à caractère personnel : la Cour de Justice invalide le Safe Harbour et consacre un principe de défiance mutuelle », D. 2016, p. 111. 423. C. Maubernard, « La protection des données à caractère personnel en droit européen », Rev. UE 2016, p. 406 et s. ; I. Gheorghe-Badescu, « Le nouveau règlement général sur la protection des données », Rev. UE 2016, p. 466 et s.
la A.
protection des données à caractère personnel
| 165
Le principe général applicable aux transferts
348. Le principe général applicable aux transferts est posé à l’article 44. Ce principe n’est pas celui de l’interdiction telle que posée par la directive n° 95/46/ CE mais plutôt la définition d’un ensemble de règles pour le transfert de données personnelles qui visent : – les flux de données sortant de l’Union européenne vers un pays tiers ou une organisation internationale424 ; – les responsables de traitement et les sous-traitants425, tenus de respecter l’ensemble des dispositions du RGPD ainsi que les règles spécifiquement prévues par le Chapitre V entièrement consacré aux transferts de données (articles 44 à 50) ; – les transferts de données personnelles opérés dans le cadre d’un traitement en cours, d’un traitement prévu chez le destinataire ; – les transferts ultérieurs de données personnelles depuis le pays tiers destinataire des données transférées (ou de l’organisation internationale) vers un autre pays tiers (ou à une autre organisation internationale). 349. En ce qui concerne, les transferts ultérieurs de données à caractère personnel, le RGPD prévoit une innovation très importante en étendant le champ d’application territorial des règles de protection aux destinataires des données transférées qui sont situés en dehors de l’UE. Toutefois, si sur le principe, cette disposition présente un intérêt sur le plan du suivi des données protégées, une telle disposition interroge quant à l’effectivité de son application dans les pratiques. De fait, si une meilleure maîtrise du suivi des données peut être attendue dans le cadre des relations de sous-traitance, ce « droit de suite » risque d’être compliqué à mettre en œuvre pour le destinataire ayant qualité de responsable de traitement. Seules des mesures de marquage des données ou de traçabilité seraient susceptibles de permettre la mise en œuvre concrète de cette disposition. 350. Dans toutes ces hypothèses de transferts visées, les transferts ne sont possibles que sous réserve du respect des autres dispositions du RGPD, d’une part, et des conditions fixées dans le cadre de ce chapitre V, d’autre part. Les droits garantis par le règlement ne peuvent pas être compromis. C’est sur les responsables de traitement, ainsi que les sous-traitants, que pèsent ces obligations de conformité au nouveau règlement. 424. Art. 4-26) : « Organisation internationale : une organisation internationale et les organismes de droit public international qui en relèvent, ou tout autre organisme qui est créé par un accord entre deux pays ou plus, ou en vertu d’un tel accord ». 425. Tels que visés par l’article 3 du RGPD « Champ d’application territorial », c’est-à-dire : les responsables de traitement et les sous-traitants établis sur le territoire de l’UE, ou les responsables de traitement et les sous-traitants situés hors de l’UE mais qui réalisent des traitements de données personnelles relatives à des citoyens de l’UE (pour les activités concernant l’offre de biens et de services dans l’UE ou le suivi du comportement de ces personnes).
166 | B anque
et
a ssurance
digitales
Conformément à l’article 83-5, c), en cas de violation des dispositions des articles 44 à 49, il est prévu des amendes administratives, prononcées par l’autorité de contrôle (en l’occurrence, la CNIL), pouvant s’élever jusqu’à un montant de 20 000 000 euros ou dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent, étant précisé que ce sera le montant le plus élevé qui sera retenu. B.
Les fondements juridiques admis pour les transferts
351. Le RGPD établit, aux articles 45 à 47, différents fondements juridiques pour l’admission des transferts426. 1.
Transferts fondés sur une décision d’adéquation
352. En vertu de l’article 45 § 1, la Commission peut, par voie de décision, constater qu’un pays tiers, un territoire ou un ou plusieurs secteurs déterminés dans ce pays tiers, ou une organisation internationale assure un niveau de protection adéquat. Ce transfert ne requiert pas d’autorisation spécifique. a.
Décisions d’adéquation
353. Selon l’article 45 § 3, il appartient à la Commission européenne et à elle seule de décider, au moyen d’un acte d’exécution, d’une décision d’adéquation. Au préalable, elle doit avoir constaté l’existence d’un niveau de protection adéquat ou non pour un pays tiers, un territoire ou un ou plusieurs secteurs déterminés dans ce pays tiers, ou une organisation internationale. La Commission publie au Journal officiel de l’Union européenne et sur son site Internet la liste de ses décisions d’adéquation ou d’inadéquation ; « le caractère adéquat fait l’objet d’un mécanisme d’examen périodique au moins tous les quatre ans »427. 354. Lors de l’évaluation du caractère adéquat du niveau de protection, l’article 45 § 2 précise une série de critères dont la Commission doit tenir compte. Si cette liste de critères n’est qu’indicative, elle vise en particulier certains éléments : • l’État de droit, le respect des droits et libertés fondamentaux, dont les droits
de l’homme (législation générale et sectorielle, règles professionnelles, jurisprudence…) ;
• l’existence et le fonctionnement effectif d’une autorité de contrôle disposant
des pouvoirs de faire appliquer les règles (exemple : pouvoirs de sanctions) ;
426. M. Abadie, « Les soubresauts législatifs et jurisprudentiels liés au transfert des données personnelles hors de l’Union européenne », hors-série Banque & Droit, mars-avr. 2017, p. 30 et s. 427. J.-L. Sauron, « Le règlement général sur la protection des données, règlement n° 2016/679/UE du 27 avril 2016 : de quoi est-il le signe ? », Com. com. élect. sept. 2016, p. 14.
la
protection des données à caractère personnel
| 167
• les engagements internationaux pris par le pays tiers destinataire des
données transférées, mais aussi la participation à des systèmes de protection des données personnelles.
355. La décision d’adéquation de la Commission doit indiquer son champ d’application (territorial et sectoriel), fixer une procédure de révision, incluant une périodicité tenant compte des « évolutions pertinentes » dans le pays tiers, le territoire ou le secteur concerné ou l’organisation internationale. Elle peut également nommer l’autorité de contrôle visée dans les critères d’évaluation (art. 45 § 2, b). « La Commission peut décider, avec effet dans l’ensemble de l’Union, qu’un pays tiers, un territoire ou un secteur déterminé dans un pays tiers, ou une organisation internationale offre un niveau adéquat de protection des données, assurant ainsi une sécurité juridique et une uniformité dans l’ensemble de l’Union en ce qui concerne le pays tiers ou l’organisation internationale qui est réputé offrir un tel niveau de protection. Dans ce cas, les transferts de données à caractère personnel vers ce pays tiers ou cette organisation internationale peuvent avoir lieu sans qu’il soit nécessaire d’obtenir une autre autorisation »428. 356. Les décisions d’adéquation qui ont été prises par la Commission dans le cadre de la directive n° 95/46/CE sur le fondement de l’article 25 § 6, demeurent en vigueur tant qu’aucune décision de la Commission ne vient les modifier, les remplacer ou les abroger. Tel serait par exemple le cas de la décision d’adéquation dite « Privacy Shield » avec les États-Unis d’Amérique429. b.
Décision d’inadéquation
357. Comme le prévoit l’article 45 § 5, la Commission peut également abroger, modifier ou suspendre une décision d’adéquation antérieure (en particulier à l’issue de la procédure de révision) quand le pays tiers, le territoire ou secteur concernés ou l’organisation internationale ne garantissent plus un niveau de protection adéquat, une procédure accélérée étant même prévue en cas d’urgence impérieuse dûment justifiée. La décision d’inadéquation n’a pas d’effet rétroactif. En cas de décision d’inadéquation, le transfert de données vers le pays tiers, le territoire ou le secteur concerné ou l’organisation internationale peut être réalisé
428. V. le Considérant n° 103. 429. C. Castets-Renard, « L’adoption du Privacy Shield sur le transfert de données personnelles », D. 2016, p. 1696, « Adoption du Privacy Shield : des raisons de douter de la solidité de cet accord », D. IP/IT 2016, p. 444. É. A. Caprioli et I. Cantero, « Safe Harbor : hier, aujourd’hui et demain ou chronique d’une chute annoncée », disponible p. 49 et s. de Défis, Revue numérique du département Intelligence et sécurité économiques de l’INHESJ, n° 6, 2016, disponible à l’adresse : http://www.inhesj.fr/mailling/defis/defis6.pdf
168 | B anque
et
a ssurance
digitales
exclusivement si le responsable de traitement ou le sous-traitant a adopté des garanties appropriées telles que prévues par les articles (art. 46 et 47). Les sanctions administratives sont celles prévues à l’article 83-5, c), vues supra. 2.
Transferts fondés sur des garanties appropriées
358. Conformément à l’article 46, en l’absence de décisions d’adéquation, le RGPD impose que les transferts de données vers un pays tiers ou une organisation internationale respectent les conditions suivantes : le responsable de traitement ou le sous-traitant a prévu des garanties appropriées et les personnes concernées disposent de droits opposables et de voies de droit effectives. 359. Les garanties appropriées peuvent être fournies sans qu’il soit nécessaire de bénéficier d’une autorisation préalable de l’autorité de contrôle de plusieurs façons, dont certaines étaient déjà prévues antérieurement dans le cadre de la directive n° 95/46/CE (règles d’entreprise contraignantes, clauses contractuelles types adoptées par la Commission) alors que d’autres sont des nouveautés (clauses contractuelles types adoptées conjointement par une autorité de contrôle et par la Commission, code de bonne conduite conforme à l’article 40 du RGPD430, mécanisme de certification approuvé conformément à l’article 42 du RGPD). 360. En revanche, l’autorité de contrôle doit donner son autorisation dès lors que l’entreprise utilise des clauses contractuelles élaborées par le responsable de traitement ou le sous-traitant et le destinataire des DCP dans le pays tiers ou l’organisme international. En ce cas, le mécanisme de cohérence défini à l’article 63 du RGPD s’applique, ce qui implique l’avis du Comité européen à la protection des données431. 361. Les autorisations accordées en application de l’article 26 de la directive n° 95/46/CE (sur le fondement de clauses contractuelles appropriées ou de clauses contractuelles types) sont valables tant qu’aucune décision de la Commission ne vient les modifier, les remplacer ou les abroger. Les sanctions administratives sont celles prévues à l’article 83-5, c), vues supra.
430. Le Code de bonne conduite doit inclure l’engagement contraignant et exécutoire du responsable de traitement ou du sous-traitant d’appliquer dans le pays tiers les garanties appropriées, y compris pour les droits de la personne concernée. 431. Art. 46-3.
la 3.
protection des données à caractère personnel
| 169
Transferts fondés sur des règles d’entreprise contraignantes
362. L’article 47 du RGPD traite des fameuses BCR (« Binding Corporate Rules »)432, utilisées dans les grands groupes internationaux dont les banques et les assurances pour leurs transferts de données. Il consacre ce système de règles dédié aux transferts de données personnelles réalisés intra-groupe en dehors de l’UE. Parmi les innovations apportées, on observera que le RGPD définit désormais les « règles d’entreprise contraignantes »433 et la notion de « groupe d’entreprise »434. 363. Les règles d’entreprise contraignantes doivent être approuvées par l’autorité de contrôle préalablement à leur mise en œuvre. De plus, il est à souligner que l’avis du Comité européen des données est requis pour le contrôle de cohérence (article 63). Ces règles d’entreprises contraignantes sont soumises à différentes conditions de validité : – elles doivent être juridiquement contraignantes et mises en application par toutes les entités concernées du groupe, y compris leurs employés ; – elles confèrent expressément des droits opposables aux personnes concernées, eu égard au traitement de leurs données personnelles ; – elles doivent répondre à d’autres exigences qui sont détaillées au § 2 de l’article 47. Ces exigences, au nombre de quatorze, s’avèrent plus complètes que les orientations fournies dans les documents de référence du Groupe de l’Article 29435 pour y inclure par exemple les missions du délégué à la protection des données. 364. On observera que le RGPD ne dit mot quant aux BCR qui ont déjà été validées. On peut supposer qu’elles devront faire l’objet de modifications dans la mesure où de nouvelles exigences ont été prescrites, par exemple en ce qui concerne les informations à fournir aux personnes concernées par le traitement et le transfert. Les sanctions administratives sont celles prévues à l’article 83-5, c), vues supra.
432. G. Desgens-Pasanau, La protection des données à caractère personnel, LexisNexis, 2012, p. 87 et s. ; A. Debet, J. Massot, N. Metallinos, Informatique et Libertés, Lextenso, 2015, p. 1810 et s. 433. L’article 4-20) donne la définition suivante : « les règles internes relatives à la protection des données à caractère personnel qu’applique un responsable du traitement ou un sous-traitant établi sur le territoire d’un État membre pour des transferts ou pour un ensemble de transferts de données à caractère personnel à un responsable du traitement ou à un sous-traitant établi dans un ou plusieurs pays tiers au sein d’un groupe d’entreprises, ou d’un groupe d’entreprises engagées dans une activité économique conjointe ». 434. Art. 4-19) : « une entreprise qui exerce le contrôle et les entreprises qu’elle contrôle ». 435. WP 154 – Document de travail établissant un cadre pour la structure des règles d’entreprise contraignantes du 24 juin 2008.
170 | B anque
C.
et
a ssurance
digitales
Les dérogations prévues pour des situations particulières
365. Lorsqu’il n’y a pas de décision d’adéquation, de garanties appropriées ou de règles d’entreprises contraignantes436, l’article 49 prévoit des dérogations pour des situations particulières. Cet article reprend des dérogations existant dans la directive n° 95/46/CE dont notamment le consentement explicite de la personne concernée, le transfert nécessaire à la conclusion d’un contrat ou pour des motifs importants d’intérêt public ou à la constatation, à l’exercice ou à la défense de droits en justice. 366. Le RGPD introduit une nouvelle dérogation avec un encadrement très strict. Dans le cas où aucun autre motif de transfert ne serait applicable, un transfert de données vers un pays tiers ou une organisation internationale ne peut avoir lieu que si « le transfert ne revêt pas de caractère répétitif, ne touche qu’un nombre limité de personnes concernées, est nécessaire aux fins des intérêts légitimes impérieux poursuivis par le responsable du traitement (…) et si le responsable de traitement a évalué toutes les circonstances entourant le transfert de données et a offert sur la base de cette évaluation, des garanties appropriées en ce qui concerne la protection des données ». De tels transferts ne peuvent avoir lieu que si le responsable de traitement informe l’autorité de contrôle du transfert et fournit les très nombreuses informations aux personnes concernées (ex-article 14), et plus spécifiquement que leurs données font l’objet d’un transfert et les intérêts légitimes impérieux qu’on poursuit. Les garanties appropriées devront être consignées dans le registre. D.
Les aspects internationaux des transferts
367. L’article 48 du RGPD introduit une nouvelle disposition qui impose que toute décision d’une juridiction ou d’une autorité étrangère requérant un transfert de données personnelles hors de l’UE soit fondée sur une convention internationale en vigueur entre l’État tiers et l’UE ou l’État membre de l’UE concerné. 368. On pense à ce sujet aux procédures judiciaires de certains pays anglosaxons comme les USA en matière de discovery, règles de procédure étendues aux documents sous forme électronique (« e-discovery »)437. Cela vise, entre autres, les échanges de courriers électroniques et les logs de connexions438. Devant les juridictions américaines, ces procédures peuvent concerner des filiales européennes. Mais elles sont également susceptibles d’intervenir dans le cadre d’une enquête diligentée par une autorité administrative [par exemple : « Securities and Exchange Commission » (SEC) ou la « Federal Trade Commission » (FTC)] que l’on peut avoir pour des banques ou des assurances. 436. V. supra art. 45, 46 et 47. 437. US Federal Rules of Civil Procedure, v. spéc. art. 16 et 26. 438. O. Proust et C. Burton, « Le conflit de droits entre les règles américaines de e-discovery et le droit européen de la protection des données à caractère personnel… entre le marteau et l’enclume », RLDI 2009, p. 79 et s.
la
protection des données à caractère personnel
| 171
Selon sa Recommandation n° 2009-474 en date du 23 juillet 2009, la CNIL estime que : « la loi du 6 janvier 1978 modifiée s’applique aux procédures de “Discovery” dès lors qu’elles impliquent des transferts de données personnelles ; cependant, il ne convient pas de procéder à des déclarations spécifiques “Discovery” dans la mesure où ces données ont dû précédemment faire l’objet de déclarations pour leurs finalités principales dans laquelle il est fait état d’une durée de conservation par types de données collectées et traitées. Enfin, les applications techniques visant à sélectionner les données dans le cadre des procédures de “Discovery” n’ont pas vocation à faire l’objet de déclarations. Néanmoins, les flux internationaux de données doivent, quant à eux, faire l’objet de déclarations à la CNIL, qui pourra les requalifier en demandes d’autorisation en fonction de l’encadrement juridique entourant ces transferts »439. 369. Cette interdiction risque également de poser de sérieux problèmes aux banques ou aux assurances dans des cas de figure comme l’application du « Sarbanes-Oxley Act ». 370. L’article 50 du RGPD traite de la coopération dans le domaine des données personnelles. Il impose à la Commission et aux autorités de contrôle de prendre les mesures appropriées en vue de faciliter l’application effective de la réglementation applicable à la protection des données personnelles, en matière de coopération, d’assistance mutuelle et d’échanges d’informations sur la législation et les pratiques.
439. Délibération n° 2009-474 du 23 juillet 2009 portant recommandation en matière de transfert de données à caractère personnel dans le cadre de procédures judiciaires américaines dite de « Discovery », JO 19 août 2009.
CHAPITRE III Conformité légale 371. La conformité est devenue une matière à part entière et sa gouvernance est assurée souvent au plus haut niveau dans des directions dédiées aussi bien dans la banque que dans l’assurance440. À la suite d’une grande banque internationale française, la conformité peut se définir de la façon suivante : « Agir en conformité consiste à inscrire son action dans le respect des dispositions propres aux activités bancaires et financières, qu’elles soient de nature législative ou réglementaire, ou qu’il s’agisse de normes professionnelles, déontologiques ou internes »441. Selon un éminent auteur, dans la « compliance », en revanche, « on peut y voir aussi bien un programme volontaire de comportement proposé par une entreprise qu’une réglementation à portée mondiale imposée par des sanctions sans précédent »442. Il reste que la conformité est une activité support, transversale à toutes les directions, dont les dispositifs sont souvent obligatoires et dont les conséquences sont économiquement très coûteuses en cas de carence443. Les sanctions atteignent des montants records lorsque le régulateur américain entre en jeu (ex. : les affaires BNP Paribas et Crédit Agricole CIB). 372. La politique de conformité des groupes bancaires ou d’assurances se fonde non seulement sur des principes éthiques (loyauté et intégrité) des pratiques suivies, mais aussi sur les obligations qu’ils doivent respecter. La politique traduit les engagements de l’entreprise dans une documentation qui prend la forme de codes de conduite, de chartes dans tous les domaines de la conformité : lutte contre le blanchiment des capitaux et financement du terrorisme, abus de marché, corruption, conflits d’intérêts ou fiscalité et rémunération des commerciaux. Dans le domaine de l’assurance, la conformité est également devenue incontournable avec l’entrée en vigueur de la Directive Solvabilité II444. Dans le cadre du pilier 2 de « Solvabilité II » relatif aux exigences qualitatives pour la Gouvernance et le contrôle des autorités de tutelle, les sociétés d’assurances doivent formaliser par
440. M. Leimbach, J.-M. Daunizeau (préf. J.-P. Mattout), Contrôle des risques : mieux comprendre les fonctions juridiques et de conformité, RB Édition, 2011 ; C. Collard, C. Delhaye, H.-B. Loosdregt, C. Roquilly, Risque juridique et conformité : Manager la compliance, Lamy, 2011 ; O. Audouin, « La fonction conformité dans l’assurance », L’Argus de l’assurance, 2013. 441. https://www.societegenerale.com/fr/connaitre-notre-entreprise/responsabilite/conformite 442. M.-A. Frison-Roche, « Le droit de la compliance », D. 2016, 1871. Cet auteur qualifie d’« étrange » la notion de « compliance ». 443. D. Pilczer, « La conformité dans les banques : une nécessité coûteuse », Rev. Banque, 26 mars 2016. 444. M.-L. Dreyfuss, Les grands principes de Solvabilité 2, L’Argus de l’assurance, 2012.
174 | B anque
et
a ssurance
digitales
écrit leurs politiques de conformité et de contrôle interne445. Cette directive a été transposée par l’ordonnance du 2 avril 2015 qui a entièrement refondu le livre III du Code des assurances en introduisant des règles prudentielles issues de la directive446. 373. Selon l’ACPR, la cyber-criminalité constitue un risque systémique pour l’ensemble du secteur financier447. 374. Que ce soit dans la banque ou dans l’assurance, l’importance des systèmes d’information et du digital permettent une automatisation des contrôles de conformité sur des données de plus en plus fiables, de mieux en mieux classifiées et avec des volumétries sans précédent. L’idée sous-jacente est de limiter au maximum les opérations non conformes, car le régulateur veille ! 375. Nous nous concentrerons uniquement dans le présent chapitre sur trois questions : la lutte anti-blanchiment (LAB-FT) (section I), le contrôle interne (section II) et le secret professionnel (section III) qui touche à la confidentialité de l’information – le thème de la protection des données à caractère personnel est abordé à la partie I (chapitre II).
SECTION I LUTTE CONTRE LE BLANCHIMENT DES CAPITAUX ET LE FINANCEMENT DU TERRORISME 376. La lutte contre le blanchiment des capitaux et le financement du terrorisme constitue l’une des préoccupations majeures dans le secteur de la banque et de l’assurance448. Ces secteurs économiques sont particulièrement exposés aux risques de blanchiment des capitaux et de financement du terrorisme (LABFT) et, à ce titre, ils sont assujettis à des obligations légales et réglementaires liées à ce type de problématique. Dans une décision de la Cour d’appel d’Aixen-Provence du 5 novembre 2015, rappelle « que le premier texte (art. L. 310-1 du Code des assurances) ne fait qu’indiquer que l’État exerce un contrôle sur les entreprises d’assurance “dans l’intérêt des assurés”, que s’il est exact que les articles L. 561-2 2° et L. 651-5 du Code monétaire et financier font peser sur les entreprises d’assurance des obligations déclaratives dans le cadre de la lutte contre le blanchiment des capitaux et le financement du terrorisme lorsqu’elles
445. ACPR, « Notice Solvabilité II », Système de gouvernance, 17 déc. 2015, https://acpr.banquefrance.fr/fileadmin/user_upload/acp/publications/registre-officiel/20151218-Noticesolvabilite2-systeme-gouvernance.pdf. V. égal. J. Speroni, « La fonction conformité sort de l’ombre », L’Argus de l’assurance, n° 7351, 7 mars 2014. 446. JO 3 avr. 2015. L’ordonnance est entrée en vigueur le 1er janvier 2016. 447. E. Fernandez-Bollo, « La cybercriminalité, risque systémique pour le secteur financier », Rev. Banque, n° 793, févr. 2016, p. 22-23. 448. CA Aix-en-Provence, 3e ch. B, 5 nov. 2015, RG n° 14/06123, disponible sur la base Lamyline.
c onformité
légale
| 175
savent, soupçonnent ou ont de bonnes raisons de soupçonner que des sommes inscrites dans leurs livres ou concernant des opérations portant sur des sommes, proviennent d’une infraction passible d’une peine privative de liberté supérieure à un an ou participent au financement du terrorisme, l’assureur n’invoque pas de tels soupçons à l’encontre des époux X… et ne saurait invoquer utilement ces textes pour échapper à ses obligations contractuelles »449. 377. Avec l’émergence, puis le développement et enfin la mutation digitale des organismes bancaires450, financiers et assurantiels, les relations à distance avec leurs clients génèrent un accroissement des risques numériques de toute sorte. Au gré des évolutions, ces règles s’adaptent et elles se sont peu à peu renforcées, étant donné que ces transformations augmentent considérablement les risques d’une dilution du rapport de la banque ou de l’assurance au client, favorisant ainsi, de facto, le risque de blanchiment et de financement du terrorisme. Pour lutter contre ces phénomènes, il était essentiel d’organiser la réglementation afin d’imposer des obligations à toutes les entreprises de ces secteurs d’activité. 378. L’organisation intergouvernementale, le Groupe d’action financière internationale (GAFI), est l’un des acteurs majeurs dans la lutte contre le blanchiment de capitaux « même si ses actes n’ont pas le caractère d’une convention internationale et sont dépourvus d’effets juridiques dans l’ordre juridique interne »451. Nonobstant la LAB-FT, son objectif est de lutter contre les autres menaces liées à l’intégrité du système financier international452. Il établit des recommandations, cadres de mesures que les pays ont la possibilité de transposer à leur convenance afin d’être adaptées à leurs contextes propres. Ses dernières recommandations, publiées en 2012, définissent les mesures essentielles pour notamment identifier les risques, mettre en œuvre des mesures préventives, renforcer la transparence et faciliter la coopération internationale. 379. La troisième directive anti-blanchiment n° 2005/60/CE du 26 octobre 2005453 œuvre à une harmonisation en suivant les recommandations du GAFI de
449. Sur ce point : https://acpr.banque-france.fr/controle-prudentiel/lutte-contre-le-blanchimentdes-capitaux-et-le-financement-du-terrorisme/lcb-ft-presentation.html 450. J.-P. Kovar et J. Lasserre-Capdeville, Droit de la régulation bancaire, RB Édition, préf. C. Noyer, 2012, v. n° 664 et s. 451. CE, 6e et 1re sous-sections réunies, 23 juill. 2010, n° 309993, disponible sur le site : www. legifrance.gouv.fr 452. Son champ d’action est régulièrement augmenté. Par exemple, on mentionnera la lutte contre le financement de la prolifération des armes de destruction massive qui a été ajoutée en 2008 : v. « Normes internationales sur la lutte contre le blanchiment de capitaux et le financement du terrorisme et de la prolifération – Les recommandations du GAFI », févr. 2012 p. 8, disponible à l’adresse : http://www.fatf-gafi.org/media/fatf/documents/recommendations/ Recommandations_GAFI.pdf 453. Directive n° 2005/60/CE du Parlement européen et du Conseil du 26 octobre 2005 relative à la prévention de l’utilisation du système financier aux fins du blanchiment de capitaux et du financement du terrorisme, JOUE n° L. 309, 25 nov. 2005, p. 15, disponible à l’adresse : http:// eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A32005L0060
176 | B anque
et
a ssurance
digitales
2003454. Elle a permis de privilégier une approche par les risques. Cette approche définissait alors trois niveaux de vigilance distincts entraînant des mesures spécifiques : simplifiée, normale et renforcée. Elle a, depuis lors, fait l’objet d’un processus de révision455 ayant abouti à la promulgation de la directive n° 2015/849/UE456. Ainsi « (…) l’action de l’Union devrait continuer à tenir tout particulièrement compte des recommandations du GAFI et des instruments d’autres organismes internationaux actifs dans la lutte contre le blanchiment de capitaux et le financement du terrorisme. En vue de renforcer l’efficacité de la lutte contre le blanchiment de capitaux et le financement du terrorisme, les actes juridiques pertinents de l’Union devraient, le cas échéant, être alignés sur les normes internationales sur la lutte contre le blanchiment de capitaux et le financement du terrorisme et de la prolifération adoptés par le GAFI en février 2012 (ci-après dénommées “recommandations révisées du GAFI”) »457. 380. Parmi les principales innovations de la 4e directive Tracfin458, on peut souligner les précisions sur l’identification du bénéficiaire effectif des personnes morales et des trusts et un accès élargi à l’information sur ces bénéficiaires effectifs mais également que l’approche par le risque a été renforcée. 381. Dès lors, ces normes européennes, compatibles avec celles d’origine internationales, imposent aux établissements de crédit et aux établissements de monnaie électronique, une adaptation permanente de leur niveau de vigilance.
454. Dir. n° 2005/60/CE, cons. n° 5 : « Le blanchiment de capitaux et le financement du terrorisme s’inscrivent souvent dans un contexte international. Des mesures adoptées au seul niveau national ou même communautaire, sans coordination ni coopération internationales, auraient donc des effets très limités. Par conséquent, les mesures arrêtées par la Communauté en la matière devraient être compatibles avec toute autre action engagée dans d’autres enceintes internationales. En particulier, la Communauté devrait continuer à tenir compte des recommandations du Groupe d’action financière internationale (dénommé ci-après “GAFI”), qui est le principal organisme international de lutte contre le blanchiment de capitaux et contre le financement du terrorisme. Les recommandations du GAFI ayant été largement modifiées et développées en 2003, la présente directive devrait être en harmonie avec les nouvelles normes internationales ». 455. Communication de la Commission au Parlement européen conformément à l’article 294, paragraphe 6, du Traité sur le fonctionnement de l’Union européenne concernant la position du Conseil sur l’adoption d’une directive du Parlement européen et du Conseil relative à la prévention de l’utilisation du système financier aux fins du blanchiment de capitaux et du financement du terrorisme disponible à l’adresse : http://eur-lex.europa.eu/legal-content/FR/ TXT/?uri=CELEX:52015DC0188 456. Directive n° 2015/849 du Parlement européen et du Conseil du 20 mai 2015 relative à la prévention de l’utilisation du système financier aux fins du blanchiment de capitaux ou du financement du terrorisme, modifiant le règlement n° 648/2012 du Parlement européen et du Conseil et abrogeant la directive n° 2005/60/CE du Parlement européen et du Conseil et la directive n° 2006/70/CE de la Commission (texte présentant de l’intérêt pour l’EEE), JOUE n° L. 141, 5 juin 2015, p. 73. 457. Dir. n° 2015/849, cons. n° 4. 458. Tracfin, Les principales innovations de la 4e directive anti-blanchiment et financement du terrorisme en 12 points, La lettre d’information de Tracfin, Numéro spécial, oct. 2015, disponible à l’adresse : http://www.economie.gouv.fr/files/nspecial_4edirective.pdf
c onformité
légale
| 177
382. Si la directive n° 2005/60/CE a été transposée en France par l’ordonnance n° 2009-104 du 30 janvier 2009459, la directive n° 2015/849460 devrait également rapidement faire l’objet d’une prochaine transposition (avant le 26 juin 2017, article 67). En effet, la loi n° 2016-731 du 3 juin 2016 renforçant la lutte contre le crime organisé, le terrorisme et leur financement, et améliorant l’efficacité et les garanties de la procédure pénale461 a autorisé le Gouvernement à prendre par ordonnance les mesures permettant de transposer la directive, cette ordonnance étant intervenue le 1er décembre 2016462. De fait, comme le soulignent certains auteurs, l’obligation de vigilance et l’obligation de déclaration, qui constituent le fer de lance de ces mesures « n’ont plus en 2016 le contenu qu’elles avaient il y a à peine dix ans. Leur renforcement a été considérable. L’obligation de vigilance est devenue modulable alors que l’obligation de déclaration tend petit à petit à se systématiser. Les banquiers sont indiscutablement devenus aujourd’hui des acteurs majeurs de la LCB/FT »463. 383. Il est loisible d’observer que la réglementation en vigueur s’affine par le biais de décrets, arrêtés, lignes directives de l’ACPR464 ou de l’AMF. La portée de ces apports varie considérablement, certains textes ayant vocation à s’appliquer à une seule activité ou à un seul secteur. À propos des principes d’application sectoriels de l’ACPR, la distinction entre les secteurs de la banque et de l’assurance en constitue l’illustration la plus emblématique465.
459. Ordonnance n° 2009-104 du 30 janvier 2009 relative à la prévention de l’utilisation du système financier aux fins de blanchiment de capitaux et de financement du terrorisme, JO 31 janv. 2009, p. 1819. V. Florent Bonnard, « Lutte contre le blanchiment de capitaux et le financement du terrorisme : ce qui change pour le secteur bancaire et financier », JCP éd. E & A, 19 mars 2009, 1273 : Hervé Robert, « Les établissements de crédit et le nouveau cadre de la lutte contre le blanchiment de capitaux et le financement du terrorisme », RDBF 2010, étude 6. 460. Elle devrait toutefois évoluer rapidement (cf. partie « Dématérialisation »). 461. JO 4 juin 2016. 462. Ordonnance n° 2016-1635 du 1er décembre 2016 renforçant le dispositif français de lutte contre le blanchiment et le financement du terrorisme, JO 2 déc. 2016. 463. J. Lasserre-Capdeville, « Le banquier et la lutte contre le blanchiment d’argent », AJ pénal 2016, p. 179. 464. Pour les plus récentes, nous citerons : – 19 novembre 2015 : Lignes directrices conjointes de l’Autorité de contrôle prudentiel et de résolution et de Tracfin sur les obligations de déclaration et d’information à Tracfin disponibles à l’adresse : https://acpr.banque-france.fr/fileadmin/user_upload/acp/publications/registreofficiel/201511-LD-obligation-declaration-information-Tracfin.pdf – 14 juin 2016 : Lignes directrices conjointes de la Direction générale du trésor et de l’Autorité de contrôle prudentiel et de résolution sur la mise en œuvre des mesures de gel des avoirs disponible à l’adresse : https://acpr.banque-france.fr/fileadmin/user_upload/acp/ publications/registre-officiel/2016-LD-ACPR-gel-des-avoirs.pdf – 3 octobre 2016 : Instruction n° 2016-I-22 du 3 octobre 2016 modifiant l’instruction n° 2012I-04 du 28 juin 2012 relative aux informations sur le dispositif de prévention du blanchiment de capitaux et du financement des activités terroristes, disponible à l’adresse : https://acpr. banque-france.fr/fileadmin/user_upload/acp/publications/registre-officiel/Instruction2016-I-22-de-l-acpr.pdf 465. Par ex. : Principes d’application sectoriels de l’Autorité de contrôle prudentiel et de résolution relatifs à la lutte contre le blanchiment de capitaux et le financement du terrorisme pour le secteur des assurances édités en février 2015 et disponibles à l’adresse : https://acpr.banque-
178 | B anque
et
a ssurance
digitales
384. Cela étant, ces apports permettent de fixer l’ensemble de la relation liant un établissement à sa clientèle. Au sein de cette relation, la notion de connaissance du client (KYC pour « Know Your Customer ») concentre toutes les attentions, de manière particulièrement aiguë en cas de relation à distance (téléphone, courrier) ou en ligne, mais également dans le cadre de relations plus génériques avec présence physique du client. Après avoir analysé les différents niveaux de vigilance imposés par les textes (§ 1), nous nous pencherons sur l’identification et la connaissance client qui sont au cœur du dispositif, avant de terminer par la présentation de quelques jurisprudences ayant appliqué les principes de LAB-FT (§ 3). § 1 – Les différents niveaux de vigilance
385. Présentement, la réglementation fixe trois niveaux de vigilance. La directive n° 2015/849 n’a pas modifié l’approche antérieure qui ne devrait pas être changée. 386. Ces trois niveaux de vigilance se répartissent autour d’un niveau standard, dit « normal », à partir duquel se déclinent : – d’une part, un niveau de vigilance « simplifiée » quand les circonstances font apparaître des risques faibles et permettent de réduire l’intensité des mesures ; – d’autre part, un niveau de vigilance « renforcée » imposant des mesures complémentaires lorsque certaines circonstances tendent à accroître les risques466. A.
Vigilance simplifiée
387. Aux termes de l’article L. 561-9 et des articles R. 561-15 à R. 561-17 du Code monétaire et financier, un niveau de vigilance simplifiée peut être appliqué en cas de faible risque de blanchiment de capitaux ou de financement du terrorisme. Ces articles, dont l’objet est essentiellement d’évoquer les hypothèses permettant de mettre en œuvre ce niveau de vigilance, mettent en évidence le fait que l’application de ce dernier est influencée par : – le client en lui-même467 ;
france.fr/fileadmin/user_upload/acp/publications/registre-officiel/20150218-Principes-dapplication-sectoriels-ACPR-LCB-FT.pdf 466. C. Cutajar, « La banque en ligne et la réalisation en ligne des obligations imposées en matière de lutte contre le blanchiment », Banque & Droit, hors-série, juin 2013, v. p. 60-61. 467. V. l’article R. 561-15 du Code monétaire et financier évoquant les personnes pouvant faire l’objet d’une vigilance simplifiée.
c onformité
légale
| 179
– le produit468 ; – ou encore son mode de distribution469. 388. De plus, le nouvel article R. 561-16-1 du Code monétaire et financier, introduit par le décret n° 2013-183 du 28 février 2013470 permet aux établissements de ne pas procéder à la vérification de l’identité du client, et le cas échéant du bénéficiaire, lors de la fourniture de certains services de paiement en ligne s’ils satisfont à plusieurs conditions cumulatives que sont : – la fourniture d’opérations de paiement (v. partie II, chapitre II, section I) par l’Internet de services spécifiques ; – les fonds reçus du client proviennent d’un compte à son nom au sein d’un établissement soumis aux obligations relatives à la LAB-FT ; – les fonds sont à destination d’un compte ouvert au nom du bénéficiaire au sein d’un établissement soumis aux obligations relatives à la LAB-FT ; – l’opération ne dépasse pas 250 euros ; – le montant total des opérations sur douze mois ne dépasse pas 2 500 euros. 389. À noter que, si la directive n° 2005/60/CE détaillait précisément dans le corps de son texte de nombreuses hypothèses de dérogations471 permettant de mettre en œuvre une démarche de vigilance simplifiée, la directive n° 2015/849/ CE s’en tient en apparence à des propos liminaires laissant aux États membres la capacité d’autoriser les entités assujetties à appliquer des mesures simplifiées de vigilance472. Cependant, en leur imposant dans le cadre de leur évaluation de tenir compte des facteurs évoqués au sein de l’annexe II, la directive maintient des lignes permettant de guider l’évaluation473. B.
Vigilance normale
390. En pratique, l’hypothèse que l’on rencontre le plus fréquemment est celle de la vigilance normale. Les obligations de vigilance normale sont précisées aux articles L. 561-5 et L. 561-6 du Code monétaire et financier. Ces obligations débutent par une identification initiale du client, identification qui devra être mise 468. V. l’article R. 561-16 du Code monétaire et financier évoquant les produits pouvant faire l’objet d’une vigilance simplifiée tel, par exemple, les contrats d’assurance-vie dont la prime annuelle ne dépasse pas 1 000 euros ou dont la prime unique ne dépasse pas 2 500 euros. 469. V. l’article R. 561-16-1 du Code monétaire et financier évoquant les opérations pouvant faire l’objet d’une vigilance simplifiée. 470. Décret n° 2013-183 du 28 février 2013 relatif aux obligations de vigilance en matière de services de paiement en ligne pour la prévention de l’utilisation du système financier aux fins de blanchiment de capitaux et de financement du terrorisme, JO 2 mars 2013, p. 3898. 471. Dir. n° 2005/60/CE, art. 11. 472. Dir. n° 2015/849/UE, art. 15. 473. Dir. n° 2015/849/UE, art. 16.
180 | B anque
et
a ssurance
digitales
à jour autant que de besoin spécialement si le professionnel a de bonnes raisons de penser que les informations enregistrées ne sont plus exactes ou pertinentes. Ainsi, « pendant toute la durée de la relation d’affaires et dans les conditions fixées par décret en Conseil d’État, ces personnes exercent, dans la limite de leurs droits et obligations, une vigilance constante et pratiquent un examen attentif des opérations effectuées en veillant à ce qu’elles soient cohérentes avec la connaissance actualisée qu’elles ont de leur relation d’affaires » (CMF, art. L. 561-6). 391. Cette obligation d’identification du client n’est pas réservée aux clients habituels, une obligation d’identification des clients occasionnels474 étant également mise en œuvre par le biais des articles R. 561-10 et suivants du Code monétaire et financier. Cette obligation d’identification du client est complétée par une obligation d’identification du bénéficiaire effectif. 392. De fait, cette obligation de vigilance est une obligation constante, l’article R. 561-12 du Code monétaire et financier édictant plusieurs tâches distinctes avant et pendant toute la durée de la relation d’affaires (recueil, analyse, mise à jour) et imposant d’être en mesure d’en justifier auprès des autorités de contrôle. La conservation des justificatifs est fixée à une durée de cinq ans (CMF, art. L. 561-12475). Ces mesures ont été complétées par l’arrêté du 2 septembre 2009476 édictant les éléments d’information susceptibles d’être ainsi recueillis en distinguant notamment connaissance de la relation d’affaires (montant et nature des opérations, provenance des fonds, destination des fonds…) et connaissance de la situation personnelle des bénéficiaires personnes physiques (justification de l’adresse du domicile, activités professionnelles, revenus…) et personnes morales (justification de l’adresse du siège social, statuts, mandats, pouvoirs…). 393. S’agissant de la mise en place des mesures de vigilance normale, la directive n° 2015/849 reprend pour l’essentiel les éléments mentionnés dans la directive n° 2005/60 en y ajoutant des facteurs dont il faut tenir compte dans le cadre 474. L’article R. 561-10 du Code monétaire et financier définit le client occasionnel comme étant « toute personne qui s’adresse à l’une des personnes mentionnées à l’article L. 561-2 dans le but exclusif de préparer ou de réaliser une opération ponctuelle ou d’être assisté dans la préparation ou la réalisation d’une telle opération, que celle-ci soit réalisée en une seule opération ou en plusieurs opérations apparaissant comme liées entre elles ». 475. « (…) les personnes mentionnées à l’article L. 561-2 conservent pendant cinq ans à compter de la clôture de leurs comptes ou de la cessation de leurs relations avec eux les documents et informations, quel qu’en soit le support, relatifs à l’identité de leurs clients habituels ou occasionnels. Elles conservent également, dans la limite de leurs attributions, pendant cinq ans à compter de leur exécution, quel qu’en soit le support, les documents et informations relatifs aux opérations faites par ceux-ci, ainsi que les documents consignant les caractéristiques des opérations mentionnées au II de l’article L. 561-10-2 ». 476. Arrêté du 2 septembre 2009 pris en application de l’article R. 561-12 du Code monétaire et financier et définissant des éléments d’information liés à la connaissance du client et de la relation d’affaires aux fins d’évaluation des risques de blanchiment de capitaux et de financement du terrorisme, JO 4 sept. 2009, p. 14667.
c onformité
légale
| 181
de l’évaluation des risques, de l’obligation d’être en mesure de démontrer le caractère approprié des mesures et des mesures spécifiques aux assurances vie477. C.
Vigilance renforcée
394. Des mesures de vigilance complémentaires sont imposées par l’article L. 561-10 du Code monétaire et financier. On se trouve dans ce cas lorsque « le client ou son représentant légal n’est pas physiquement présent aux fins de l’identification au moment de l’établissement de la relation d’affaires ». Dans cette perspective, sont visés par l’application de mesures de vigilance renforcée tous les dispositifs de contractualisation en ligne et donc, par définition, sans la présence physique des personnes. 395. Dès lors, cela rend l’entrée en relation à distance plus délicate qu’une entrée en relation avec un contact physique en face-à-face au sein d’une agence, étant donné que l’article R. 521-20 du Code monétaire et financier ajoute une mesure de vigilance complémentaire (deux dans l’hypothèse où l’opération est une ouverture de compte) à choisir au sein d’une liste de quatre (ex. : l’obtention d’une pièce justificative supplémentaire d’identification officielle, premier paiement en provenance ou à destination d’un compte ouvert au nom du client répondant aux exigences relatives à la lutte contre le blanchiment, ou encore par la mise en œuvre de mesure de vérification et certification de la copie du document officiel par un tiers indépendant de la personne à identifier…). 396. Mais il ne s’agit pas des seules mesures pouvant venir se surajouter. En effet, si la personne visée est une personne résidant dans un autre État membre de l’Union européenne ou un pays tiers et qui est exposée à des risques particuliers en raison de ses fonctions politiques, juridictionnelles ou administratives ou si l’opération envisagée est effectuée avec des personnes domiciliées, enregistrées ou établies dans un État ou un territoire figurant sur les listes publiées par le GAFI parmi ceux dont la législation ou les pratiques font obstacle à la LAB-FT, alors chacune de ses hypothèses sera complétée par son cortège respectif d’obligations. 397. C’est le décret du 3 octobre 2012 relatif aux obligations de vigilance et de déclaration pour la prévention de l’utilisation du système financier aux fins de blanchiment de capitaux et du financement du terrorisme qui a introduit des nouvelles obligations478 ; il a assoupli les mesures initialement prévues pour l’ouverture d’un compte en ligne par le décret n° 2009-1087479. En effet, 477. Dir. n° 2015/849/UE, art. 13. 478. Décret n° 2012-1125 du 3 octobre 2012 relatif aux obligations de vigilance et de déclaration pour la prévention de l’utilisation du système financier aux fins de blanchiment de capitaux et du financement du terrorisme, JO 5 oct. 2012, p. 15580. 479. Décret n° 2009-1087 du 2 septembre 2009 relatif aux obligations de vigilance et de déclaration pour la prévention de l’utilisation du système financier aux fins de blanchiment de capitaux et de financement du terrorisme, JO 4 sept. 2009, p. 14660.
182 | B anque
et
a ssurance
digitales
à l’origine, il avait été imposé un virement du compte du client au sein d’un établissement assujetti. 398. Ce faisant, ce léger assouplissement des exigences relatives à l’ouverture d’un compte poursuit une démarche tendant progressivement à alléger le formalisme des applications en ligne tout en préservant l’impératif de sécurisation nécessaire à la fiabilité de l’ensemble. En effet, ces évolutions ne tendent pas à alléger l’exigence de surveillance qui reste un impératif pendant toute la relation d’affaires, la traçabilité des opérations réalisées devant être particulièrement observée. Cependant, ces inflexions pourraient théoriquement permettre de favoriser une ouverture de compte dématérialisée qui utiliserait une version électronique officielle et certifiée de l’identité du prospect. 399. S’agissant de l’obligation de vigilance renforcée au regard de la directive n° 2015/849, il s’agira de se mettre dans le cadre de la mise en œuvre d’une vigilance simplifiée en étant guidé par l’appréciation des risques conformément à l’annexe III qui fixe une liste de facteurs et des types d’éléments indicatifs d’un risque potentiellement plus élevé480. 400. Dans une décision de la commission des sanctions de l’ACPR à l’égard de la banque UBS France, une amende de 10 millions d’euros a été prononcée pour non-conformité à la réglementation applicable à la lutte contre le blanchiment dans les activités transfrontalières de la banque et pour insuffisance des moyens mis à la disposition du responsable conformité481. Mais parmi les griefs relevés dans la décision, il était également établi : « Inachèvement, lors du contrôle, de la revue de 206 dossiers clients (“KYC”) dont la dernière actualisation remontait à décembre 2009 ». § 2 – Identification et « connaissance client »
401. Deux mouvements de nature légale se confrontent dans le cadre de la connaissance du client. D’un côté, la connaissance client est soumise à des exigences de plus en plus importantes en vertu des textes sur la lutte anti-blanchiment qui s’étendent aux activités du client (A) ; de l’autre, la loi « Informatiques, fichiers et libertés » tend à ce que la collecte des informations n’excède pas ce qui est strictement nécessaire aux besoins de ladite connaissance (B).
480. Directive n° 2015/849/UE, art. 18. 481. ACPR, Décision de la commission des sanctions n° 2012-03 du 25 juin 2013 à l’égard d’UBS (France) SA, http://www.acp.banque-france.fr/fileadmin/user_upload/acp/publications/ registre-officiel/20130626-Decision-de-la-commission-des-sanctions.pdf. Le Conseil d’État a rejeté le recours formé contre cette décision, le 5 novembre 2014.
c onformité A.
légale
| 183
Extension du domaine de la connaissance client
402. Les banques et les assurances sont soumises à une obligation de connaissance du client renforcée. 403. Afin d’assurer la régulation de la mise en œuvre des dispositions applicables en la matière, un contrôle est exercé par l’Autorité de contrôle prudentiel et de résolution (ACPR). Et c’est la Commission des sanctions de cette autorité qui prononce les sanctions. Toutefois, il convient de noter que l’activité de cette Commission en matière de LAB-FT « prend une importance croissante dans le paysage de la supervision bancaire et assurantielle »482. En effet, on peut répertorier quatorze décisions concernant la LAB-FT sur les trente-cinq qui ont été rendues entre 2010 et 2015. 404. Les manquements aux exigences relatives à la connaissance des clients peuvent donner lieu à des sanctions. Dans la décision n° 2011-02 du 24 octobre 2012483, de nombreux griefs ont été retenus à l’encontre de la banque (non identifiée dans la décision) quant au respect du dispositif de contrôle de la conformité et à la LAB-FT. Ont été spécifiquement visés plusieurs griefs sur l’identification de la clientèle : des dossiers sans les éléments relatifs à l’identité du client ou du bénéficiaire effectif et/ou les documents justificatifs afférents, clients apportés sans que les mesures de vigilance n’aient été mises en œuvre, comptes de clients mouvementés par des tierces personnes sans que des procurations aient été clairement établies. Or, les faits étant antérieurs à la publication de l’ordonnance n° 2009-104, les poursuites ont été abandonnées sur ce point. 405. En revanche, s’agissant des griefs relatifs à la connaissance des clients et à la revue des données portant sur une période postérieure, ils n’ont pas suivi le même sort. Sur la globalité des faits reprochés, soutenant que des insuffisances manifestes ont été observées dans l’organisation du dispositif de contrôle de la conformité de même qu’une diligence insuffisante de l’établissement dans la mise à niveau de son dispositif de LAB-FT, la Commission relève qu’une partie de ces reproches tient seulement à une formalisation insuffisante à la date du contrôle dans des procédures opérationnelles sans qu’il soit établi que ces carences n’ont entraîné de dysfonctionnement significatif et qu’à la suite d’une inspection interne, une mise à niveau des dispositifs était en cours. Ce faisant, la Commission a tenu compte de l’ensemble des éléments pour prononcer une sanction pécuniaire de 500 000 euros tout en acceptant la demande d’anonymisation de la décision.
482. M.-E. Boursier, « Autorité de contrôle prudentiel et de résolution, un an de jurisprudence – Lutte contre le blanchiment de capitaux et le financement du terrorisme (LBC/FT) », JCP éd. E & A, n° 13, 31 mars 2016, 1193. 483. Décision disponible à l’adresse : http://www.acp.banque-france.fr/fileadmin/user_upload/ acp/publications/registre-officiel/20121107-Decision-de-la-commission-des-sanctions.pdf
184 | B anque
et
a ssurance
digitales
406. Plus récemment et dans le domaine des assurances, la Commission de sanctions de l’ACPR a eu à se prononcer sur de sérieuses carences du dispositif LAB-FT d’une société dont l’organisation (sa classification des risques présentait des lacunes), les outils de suivi (ex. : systèmes d’information multiples et non interopérables, outil de surveillance inachevé au moment du contrôle…), les obligations de vigilance (ex. : difficultés relatives à l’actualisation des informations, manque de procédures adaptées permettant de détecter les personnes politiquement exposées…) et les obligations déclaratives étaient mises en cause484. Pour l’ensemble de ces griefs établis, la société a été sanctionnée par un blâme et une sanction pécuniaire de 5 millions d’euros485. Cette décision permet également de mettre en évidence l’importance de l’identification du client, de son origine et pendant toute la durée de la relation d’affaires. Concernant les personnes morales clientes, il a été reproché à la société d’assurance de ne pas avoir procédé à « une nouvelle identification alors que les éléments d’identité et les pouvoirs de leurs représentants n’étaient plus exacts ». Ainsi l’obligation d’identification et de connaissance client ne s’arrête pas au moment de l’entrée en relation, étant donné que, pour être remplie, elle doit comporter l’ensemble des mesures opérationnelles permettant une mise à jour régulière de l’identification des personnes. B.
Collecte raisonnable des informations en vertu de la protection des données personnelles
407. Cependant, les entreprises sont également tenues par des dispositions imposant, a contrario, une connaissance limitée de ses clients. Tel est spécifiquement le cas des dispositions de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés486. Aux termes de son article 2, cette loi s’applique « aux traitements automatisés de données à caractère personnel, ainsi qu’aux traitements non automatisés de données à caractère personnel contenues ou appelées à figurer dans des fichiers ». Or, ce même article définit la donnée à caractère personnel comme étant « toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres ». À ce titre, toute donnée servant à l’identification
484. Décision n° 2014-07 de la Commission de sanction de l’Autorité de contrôle prudentiel et de résolution du 24 juillet 2015, disponible à l’adresse : https://acpr.banque-france.fr/fileadmin/ user_upload/acp/publications/registre-officiel/20150728-Decision-de-la-commission-dessanctions.pdf 485. Pour une condamnation encore plus récente dans le secteur des assurances, v. Décision n° 2015-10 de la Commission de sanction de l’Autorité de contrôle prudentiel et de résolution du 29 juillet 2016, disponible à l’adresse : https://acpr.banque-france.fr/fileadmin/user_upload/ acp/publications/registre-officiel/20160729_Commission-des-sanctions_d%C3%A9cision_ Skandia.pdf. La sanction a été un blâme et 1,2 million d’euros d’amende 486. Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, JO 7 janv. 1978 p. 227, modifiée par la loi n° 2004-801 du 6 août 2004. Sur les principes au regard du règlement européen du 27 avril 2016, v. E. Jouffin, « Les lignes de force du règlement général sur la protection des données », Banque & Droit, juill.-août 2016, p. 8.
c onformité
légale
| 185
d’un client ou relative à des mouvements de fonds de ces clients est susceptible de répondre à cette définition. 408. Ce constat n’est pas sans conséquences en termes de conformité légale car il impose le respect de principes rigoureux associés, les données collectées et traitées « de manière loyale et licite » devant être « collectées pour des finalités déterminées, explicites et légitimes » et être « adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs ». 409. Ces dispositions imposent donc à l’établissement une double vigilance au regard de la lutte contre le blanchiment et de la loi n° 78-17 ; la première ne devant pas entraîner des abus vis-à-vis de la seconde (ex. : demander des documents qui ne seraient pas directement et strictement utiles à la lutte antiblanchiment) sous peine de sanctions487. 410. De fait, la CNIL est également en mesure de refuser à une société la mise en œuvre de traitements soumis à son autorisation. Tel a été le cas pour une société de jeux en ligne, la CNIL refusant, dans le cadre de sa délibération du 21 juillet 2011, la mise en œuvre d’un traitement automatisé des données à caractère personnel ayant pour finalité la lutte contre la fraude, le blanchiment de capitaux et le financement du terrorisme488. Le traitement qui lui était alors soumis permettait à la société de demander aux joueurs de lui fournir un relevé de compte bancaire, en cas de suspicion de blanchiment de capitaux. La société arguait que, étant soumise à la loi du 12 mai 2010 relative à l’ouverture à la concurrence et à la régulation du secteur des jeux d’argent et de hasard en ligne489, elle se devait de mettre en place des mesures visant à des mesures en vue de lutter contre la fraude, le blanchiment de capitaux et le financement du terrorisme et que le relevé lui permettrait de s’assurer de la provenance des fonds au sens de l’arrêté du 2 septembre 2009. Cependant, la CNIL n’a pas suivi ce raisonnement, affirmant que « le relevé de compte bancaire d’un joueur ne permet pas de s’assurer de la provenance des fonds au sens de l’arrêté du 2 septembre 2009 », elle souligne surtout que le document « contient un nombre important d’informations sur la vie privée des joueurs (remboursements de crédits, montant du loyer, charges diverses, habitude de consommation, etc.) ». Ce faisant, la CNIL soutient que « la collecte de ces données par la société n’est ni 487. À noter qu’aux termes de la loi pour une République numérique, l’article 65-I modifiant l’article 47 de la loi n° 78-17 prévoit un relèvement du montant des sanctions pécuniaires de la CNIL à un maximum 3 millions d’euros. Après l’entrée en application du règlement européen, le 25 mai 2018, les sanctions pécuniaires seront encore augmentées. 488. Délibération n° 2011-236 du 21 juillet 2011 refusant la mise en œuvre par la société BES SAS d’un traitement automatisé des données à caractère personnel ayant pour finalité la lutte contre la fraude, le blanchiment de capitaux et le financement du terrorisme (autorisation n° 1438748), disponible à l’adresse : https://www.legifrance.gouv.fr/affichCnil.do?oldAction=r echExpCnil&id=CNILTEXT000024421837&fastReqId=2039010827 489. Loi n° 2010-476 du 12 mai 2010 relative à l’ouverture à la concurrence et à la régulation du secteur des jeux d’argent et de hasard en ligne, JO 13 mai 2010, p. 8881.
186 | B anque
et
a ssurance
digitales
pertinente ni proportionnée à la finalité de lutte contre le blanchiment de capitaux et le financement du terrorisme », ce qui lui permet de refuser son autorisation. 411. La CNIL a édicté en 2011 une autorisation unique relative aux traitements de données à caractère personnel mis en œuvre par des organismes financiers relatifs à la lutte contre le blanchiment de capitaux et le financement du terrorisme490. Dans le cadre de cette autorisation unique (AU), sont détaillées, par exemple, les données pouvant être collectées, mais également les personnes autorisées à y accéder, la durée de conservation ou les mesures de sécurité à mettre en œuvre. § 3 – Exemples de jurisprudence en matière de LAB-FT
412. D’après un arrêt de la Cour d’appel de Lyon du 1er mars 2016491 : « Attendu qu’en application de l’article L. 561-2 du Code monétaire et financier, les entreprises mentionnées à l’article L. 310-1 du Code des assurances sont assujetties aux obligations prévues par les sections II à VII du chapitre relatif à la lutte contre le blanchiment des capitaux et le financement du terrorisme ; que l’article L. 561-8 prévoit que lorsqu’elles ne sont pas en mesure d’identifier leur client ou d’obtenir des informations sur l’objet et la nature de la relation d’affaires, elles n’exécutent aucune opération, qu’elles qu’en soient les modalités, et ne poursuivent aucune relation d’affaires, et lorsqu’elles n’ont pas été en mesure d’identifier leur client ou d’obtenir des informations sur l’objet et la nature de la relation d’affaires et que celle-ci a néanmoins été établie en application du II de l’article L. 561-5, elles y mettent un terme (…) dès lors que Mme S. n’a pas rapporté la preuve de l’origine des fonds ayant servi à l’acquisition du véhicule et du paiement effectif du prix, la société GMF Assurances a, conformément à ses obligations résultant des textes rappelés précédemment, légitimement refusé d’exécuter aucune opération d’indemnisation de son assurée à la suite du sinistre subi par le véhicule ». 413. La Cour d’appel de Riom a décidé, dans un arrêt du 3 mai 2016492, que le licenciement d’un salarié occupant le poste de directeur d’agence bancaire reposait sur une cause réelle et sérieuse, et non sur une faute grave. « En l’espèce la lettre de licenciement qui fixe les limites du litige est fondée sur le fait que M. A. n’aurait pas respecté les procédures relatives à la lutte anti-blanchiment en accordant délibérément des financements à des clients déclarant ouvertement 490. Délibération n° 2011-180 du 16 juin 2011 portant autorisation unique de traitements de données à caractère personnel mis en œuvre par des organismes financiers relatifs à la lutte contre le blanchiment de capitaux et le financement du terrorisme ainsi qu’à l’application des sanctions financières. Délibération ayant abrogé la délibération n° 2005-297 du 1er décembre 2005 modifiée par la délibération n° 2007-060 du 25 avril 2007 portant autorisation unique de certains traitements de données à caractère personnel mis en œuvre dans des organismes financiers au titre de la lutte contre le blanchiment de capitaux et le financement du terrorisme. 491. CA Lyon, ch. civ. 1re, sect. B, 1er mars 2016, Juris-Data n° 2016-004031. 492. CA Riom, 4e ch. civ., 3 mai 2016, Juris-Data n° 2016-008839. V. égal. une décision de la Cour d’appel de Limoges, ch. soc., 18 mai 2015, Juris-Data n° 2015-012094, où un salarié, directeur d’une agence bancaire, a été licencié pour manque de vigilance (faute simple).
c onformité
légale
| 187
ne pas remplir leurs obligations fiscales, mais également sur le fait qu’il aurait été négligent dans l’ouverture de comptes et l’octroi de facilités de paiement sans valider les procédures d’alerte internes (…) ». Le directeur avait manqué à ses obligations en matière de lutte anti-blanchiment en ouvrant un compte et en accordant des financements importants à des clients qui ne remplissaient pas leurs obligations fiscales (activités non déclarées et qui réalisaient des opérations suspectes). De plus, il n’avait pas validé d’alertes.
SECTION II CONTRÔLE INTERNE ET SÉCURITÉ DE L’INFORMATION 414. C’est en 1990 que le Comité de la réglementation bancaire a édicté un règlement applicable au contrôle interne dans les établissements bancaires et financiers493, principes qui ont été repris dans le règlement CRBF n° 97-02494. La notion de « contrôle interne », comme le rapportait l’Institut français de l’audit et du contrôle interne (IFACI) dans son ouvrage, a été définie par le « Committee of Sponsoring Organisation of the Treadway Commission »495 comme « l’ensemble des dispositifs mis en œuvre par le conseil d’administration, les dirigeants, le personnel d’une organisation et destiné à donner une assurance raisonnable quant à l’atteinte des objectifs suivants : réalisation et optimisation des opérations, fiabilité des informations financières, conformité aux règlements et lois en vigueur »496. Les banques sont, bien entendu, visées par la réglementation depuis de nombreuses années497. Le contrôle interne des établissements bancaires est encadré par l’arrêté du 3 novembre 2014 (§ 1). Seront envisagés ensuite, le système d’information en tant que support du contrôle interne (§ 2), puis les « prestations de services essentiels externalisées » (§ 3) et, enfin, le contrôle interne dans le domaine de l’assurance (§ 4). § 1 – Arrêté du 3 novembre 2014 et contrôle interne dans le secteur bancaire
415. En ce qui concerne les établissements bancaires et financiers, l’arrêté du 3 novembre 2014, relatif au contrôle interne des entreprises du secteur de la 493. Règl. CRB n° 90-08, 25 juill. 1990. 494. Sur la présentation du règlement CRBF n° 97-02 du 21 février 1997, v. Bulletin de la Commission bancaire, n° 16, avr. 1997, disponible à l’adresse : https://www.google.fr/?gfe_ rd=ssl&ei=2KQEWLY0icNowJGeyAk#q =Règlement + CRB + n° 90-08 + du +25 + juillet +1990 495. Initiative conjointe des cinq organisations du secteur privé (American Accounting Association, American Institute of Certified Public Accountants, Financiel Executives International, Institute of Management Accountants, Institute of Internal Auditors) dont l’objet est d’élaborer des cadres et orientations relatifs à la gestion des risques d’entreprise, le contrôle interne et la lutte contre la fraude. 496. Institut français de l’audit et du contrôle interne (IFACI), La nouvelle pratique du contrôle interne, Éditions d’Organisation, 1994. 497. J.-P. Kovar et J. Lasserre-Capdeville, Droit de la régulation bancaire, op. cit., v. n° 587 et s. et n° 747 et s.
188 | B anque
et
a ssurance
digitales
banque, des services de paiement et des services d’investissement, abroge le fameux règlement CRBF n° 97-02 du 21 février 1997498 et prend sa suite, sans toutefois apporter des changements majeurs, mais avec certains aménagements (ex. : prise en compte de nouveaux risques, nouvelles personnes soumises à l’arrêté, encadrement des rémunérations, etc.)499. Son objet consiste à encadrer les procédures de contrôle interne mises en œuvre par les entreprises assujetties. Il est entré en vigueur le 6 novembre 2014. 416. La notion de contrôle interne est connue de longue date par le secteur bancaire, l’ancien article L. 511-41 du Code monétaire et financier ayant longtemps imposé aux établissements de crédit de « disposer d’un système adéquat de contrôle interne leur permettant notamment de mesurer les risques et la rentabilité de leurs activités »500. 417. Désormais, c’est aux termes de l’article 2 de l’arrêté du 3 novembre 2014 relatif au contrôle interne des entreprises du secteur de la banque, des services de paiement et des services d’investissement soumis au contrôle de l’Autorité de contrôle prudentiel et de résolution501 que « les entreprises assujetties se dotent d’un dispositif de gouvernance solide, comprenant notamment un dispositif adéquat de contrôle interne, respectant les conditions prévues par le présent arrêté ainsi que, le cas échéant, les dispositions européennes directement applicables ». 418. Ce système de contrôle des opérations et des procédures internes a pour objet, comme le détaille l’article 11 de l’arrêté du 3 novembre 2014, de vérifier que les opérations sont conformes aux dispositions propres à chaque activité (légale, réglementaire et professionnelle), de vérifier la qualité de l’information comptable et financière (informations transmises aux dirigeants, aux autorités de contrôle…), de vérifier les conditions d’évaluation, d’enregistrement, de conservation et de disponibilité de cette information, de vérifier la qualité des systèmes d’information et de communication ou encore de vérifier l’effectivité des mesures correctrices. 419. Ce faisant, l’arrêté est venu notamment achever la transposition des articles consacrés à la gouvernance de la directive n° 2013/36/UE concernant
498. É. A. Caprioli, « Commentaire de l’arrêté du 31 mars 2005 modifiant le règlement du comité de la réglementation bancaire et financière n° 97-02 du 21 février 1997 relatif au contrôle interne des établissements de crédit et des entreprises d’investissement », Com. com. électr. 2005, comm. 167. 499. JO 5 nov. 2014, p. 18598. Il s’agit de l’ancien règlement CRBF n° 97-02 du 21 février 1997 modifié « relatif au contrôle interne des établissements de crédit et des entreprises d’investissement ». 500. Article dans sa version antérieure à l’ordonnance n° 2014-158 du 20 février 2014 portant diverses dispositions d’adaptation de la législation au droit de l’Union européenne en matière financière, JO 21 févr. 2014, p. 3022. 501. Arrêté du 3 novembre 2014 relatif au contrôle interne des entreprises du secteur de la banque, des services de paiement et des services d’investissement soumis au contrôle de l’Autorité de contrôle prudentiel et de résolution, JO 5 nov. 2014.
c onformité
légale
| 189
l’accès à l’activité des établissements de crédit et la surveillance prudentielle des établissements de crédit et des entreprises d’investissement502, aussi appelée directive « CRD IV ». Il permet également des évolutions sur différentes mesures relatives aux risques (ex. : risque de liquidité, risque de crédit et de marché). 420. Comme le précisait déjà le règlement n° 97-02 du 21 février 1997, le contrôle interne comprend : « a) Un système de contrôle des opérations et des procédures internes ; b) Une organisation comptable et du traitement de l’information ; c) Des systèmes de mesure des risques et des résultats ; d) Des systèmes de surveillance et de maîtrise des risques ; e) Un système de documentation et d’information ; f) Un dispositif de surveillance des flux d’espèces et de titres ». 421. En pratique, les entreprises se doivent de mettre en œuvre : – un contrôle permanent de la conformité, de la sécurité et de la validation des opérations réalisées et du respect des autres diligences liées aux missions de la fonction de gestion des risques (article 13) ; – un contrôle périodique de la conformité des opérations, du niveau de risque effectivement encouru, du respect des procédures, de l’efficacité et du caractère approprié des dispositifs mis en œuvre dans le cadre du contrôle permanent (article 17). 422. Le non-respect de ces obligations peut, comme le non-respect des obligations en matière de lutte contre le blanchiment, faire l’objet de sanctions par la Commission des sanctions de l’ACPR. L’ACPR dispose des pouvoirs de sanction dans l’hypothèse où elle relève des manquements à cet arrêté. 423. Tel a été le cas dans le cadre de sa décision du 16 décembre 2011503. Le contrôle interne, en ce compris surtout les moyens affectés à ce dernier, s’était révélé particulièrement défaillant. En effet, sur les moyens dédiés au contrôle permanent il est apparu par exemple qu’en l’absence d’une personne dédiée, le contrôle permanent de premier niveau était exclusivement assuré par le responsable de salle et son adjoint, mais également que les moyens de l’inspection générale de l’établissement étaient insuffisants compte tenu de l’importance des 502. Directive n° 2013/36/UE du Parlement européen et du Conseil du 26 juin 2013 concernant l’accès à l’activité des établissements de crédit et la surveillance prudentielle des établissements de crédit et des entreprises d’investissement, modifiant la directive n° 2002/87/CE et abrogeant les directives n° 2006/48/CE et n° 2006/49/CE, texte présentant de l’intérêt pour l’EEE, JOUE n° L. 176, 27 juin 2013, p. 338. 503. Décision n° 2010-6 de la Commission de sanction de l’Autorité de contrôle prudentiel du 16 décembre 2011, disponible sous le lien : https://acpr.banque-france.fr/fileadmin/ user_upload/acp/publications/registre-officiel/20111216-Decision-de-la-commission-dessanctions.pdf
190 | B anque
et
a ssurance
digitales
activités de marché (une seule personne affectée au contrôle des opérations de marché assurant conjointement d’autres tâches). De plus, pour les contrôles de second niveau, la Commission a observé qu’aucune procédure formalisée ne décrivait les modalités de contrôle des résultats quotidiens et qu’aucun contrôle de second niveau n’était réalisé sur les calculs effectués par le service en charge du suivi de marché. C’est au regard de ces manquements mais également de nombreux autres relatifs aux systèmes de mesure de surveillance et de maîtrise des risques, au contrôle de la qualité de l’information comptable et financière que la société a été sanctionnée par l’ACPR qui a prononcé à son encontre un avertissement et une sanction pécuniaire de 800 000 euros. 424. Plus récemment, on peut citer la décision relative à une société à laquelle il avait été reproché autour de la thématique globale du « droit au compte », d’une part, un défaut dans la mise en œuvre opérationnelle des dispositions régissant le droit au compte et, d’autre part, des défauts dans sa procédure de contrôle interne504. Sur ce second point, la Commission, rappelant les dispositions du règlement n° 97-02 ainsi que les dispositions de l’arrêté du 3 novembre 2014, indique que la société n’avait pas intégré plusieurs évolutions législatives relatives au droit au compte dans sa documentation interne et ses procédures en vigueur. Elle souligne, en outre, que si les établissements peuvent adopter le dispositif de contrôle de leur choix, l’organisation et les modalités retenues doivent permettre la vérification du respect des obligations. Dans le cadre d’une réglementation particulière, il peut être également nécessaire de spécialiser les contrôles et d’en adapter les modalités. Or, la Commission observe que le dispositif adopté ne prenait pas en compte les caractéristiques du régime du droit au compte. De plus, aucune « mission de contrôle périodique menée par la direction de contrôle périodique de SG n’avait traité, directement ou dans le cadre d’un contrôle plus large, du respect des dispositions relatives au DAC ». Au regard de l’ensemble des lacunes et manquements, la Commission des sanctions de l’ACPR prononce un blâme et une sanction pécuniaire de 800 000 euros. § 2 – Le Système d’Information, support du contrôle interne
425. Le Système d’Information (SI) étant le maillon essentiel permettant la mise en œuvre du contrôle interne, le responsable de la sécurité des systèmes d’information des entreprises assujetties doit en assurer le bon fonctionnement en définissant les moyens, procédures et règles permettant de s’assurer qu’il respecte en tout point les exigences réglementaires fixées en matière de contrôle interne. 426. Les établissements financiers sont sur ce point particulièrement encadrés. Ainsi, l’article L. 533-2 du Code monétaire et financier permet-il d’imposer 504. Décision de la Commission de sanction de l’Autorité de contrôle prudentiel et de résolution du 19 mai 2016 n° 2013-04, disponible sous le lien : https://acpr.banque-france.fr/fileadmin/user_upload/acp/publications/registre-officiel/ 20160520-decision-commission-sanctions-SG.pdf
c onformité
légale
| 191
aux prestataires de services d’investissement la mise en œuvre de nombreux mécanismes de contrôle interne et, notamment, de mécanismes techniques directement applicables à leurs systèmes d’information tels que des mécanismes de contrôle et de sauvegarde de leurs systèmes informatiques. De fait, la sécurité du SI doit être en mesure d’assurer la fiabilité de l’information financière et comptable, et ce à tout moment de son cycle de vie (production, échange, archivage). En effet, l’article 90 de l’arrêté précise que « le contrôle des systèmes d’information s’étend à la conservation des informations et à la documentation relative aux analyses, à la programmation et à l’exécution des traitements ». 427. Ces entreprises sont soumises au contrôle de l’Autorité de contrôle prudentiel et de résolution renforçant très nettement pour ces acteurs la portée de l’obligation de sécurité. En effet, son article 88505 précise que si ces entreprises ont la responsabilité de déterminer elles-mêmes le niveau de leur sécurité informatique jugé souhaitable par rapport aux exigences de leurs métiers. Cela leur laisse une large latitude quant à la détermination du niveau de sécurité informatique jugé souhaitable par rapport aux exigences de leurs métiers. L’article 89 impose : « Le contrôle des systèmes d’information doit notamment permettre de s’assurer que : a) le niveau de sécurité des systèmes informatiques est périodiquement apprécié et que, le cas échéant, les actions correctrices sont entreprises ; b) des procédures de secours informatique sont disponibles afin d’assurer la continuité de l’exploitation en cas de difficultés graves dans le fonctionnement des systèmes informatiques ; c) l’intégrité et la confidentialité des informations sont en toutes circonstances préservées ». 428. Tous les éléments sur lesquels doit porter le contrôle en matière de sécurité des SI figurent dans cet article : roue de Deming, formalisation du Plan de continuité d’activité, intégrité et confidentialité des informations. Dans cette optique, d’autres textes tels que les articles L. 133-15 du Code monétaire et financier sur les instruments de paiement506, L. 533-2 du Code monétaire et financier concernant les prestataires de services d’investissement507, L. 611-1 10 du Code monétaire et financier sur les établissements de crédit, 322-17 et suivants 505. Art. 88 : « Les entreprises assujetties déterminent le niveau de sécurité informatique jugé souhaitable par rapport aux exigences de leurs métiers. Elles veillent au niveau de sécurité retenu et à ce que leurs systèmes d’information soient adaptés ». 506. CMF, art. L. 133-15 : « I. – Le prestataire de services de paiement qui délivre un instrument de paiement doit s’assurer que les dispositifs de sécurité personnalisés de cet instrument tels que définis à l’article L. 133-4 ne sont pas accessibles à d’autres personnes que l’utilisateur autorisé à utiliser cet instrument (…) ». 507. CMF, art. 533-2 : « Les prestataires de services d’investissement disposent de procédures administratives saines, de mécanismes de contrôle interne, de techniques efficaces d’évaluation des risques, de dispositifs efficaces de contrôle et de sauvegarde de leurs systèmes informatiques et de techniques d’atténuation des risques (…) ».
192 | B anque
et
a ssurance
digitales
du règlement général de l’AMF relatifs aux teneurs de compte-conservateur, imposent des obligations de sécurité adaptées à la fonction et à l’instrument en cause. On observera sur ce point, la convergence des obligations qui pèsent sur les entreprises assujetties et qui se traduisent par des exigences de sécurité relativement homogènes et que l’on retrouve dans l’acronyme des quatre grands principes de la sécurité de l’information : « DICT » : Disponibilité (dont la continuité d’activité et le Plan de continuité « PCA »), Intégrité, Confidentialité et Traçabilité (ou preuve) des opérations. 429. Pour ce faire, les entreprises doivent procéder à l’élaboration d’une documentation508 détaillant les moyens de contrôle. Ce faisant, cette documentation et, de manière plus générale, les prescriptions applicables iront au-delà du simple contrôle en comprenant notamment des procédures relatives à la sécurité et aux plans d’urgence509. 430. Dans l’affaire « Kerviel », qui a défrayé la chronique pendant de nombreuses années, une décision de la Commission bancaire a été rendue le 3 juillet 2008510 en application du règlement n° 97-02. La Commission bancaire a prononcé un blâme et une sanction pécuniaire de 4 millions d’euros à l’encontre de la banque notamment pour ses manquements en matière de sécurité informatique. La Commission bancaire a estimé que la « sécurité du système d’information présentait des failles importantes mises en évidence par l’Inspection interne ; que le projet visant à mettre fin à la saisie des transactions par les opérateurs n’avait pas été mis en œuvre, au moment de l’enquête diligentée par la Commission, au sein du desk “Delta one”, ce qui a permis à l’opérateur de créer, modifier et supprimer les opérations fictives utilisées pour dissimuler ses risques et ses résultats ; que l’infraction est donc établie au moment de l’enquête ». Hormis ces défaillances ayant entraîné une absence de maîtrise des risques opérationnels, il est apparu qu’étaient également en cause le contrôle hiérarchique et le contrôle permanent. Ainsi, « les défaillances relevées, en particulier les carences des contrôles hiérarchiques, se sont poursuivies pendant une longue période, à savoir l’année 2007, sans que le système de contrôle interne n’ait permis de les déceler et de les corriger ; que cette persistance révèle des carences graves du système de contrôle interne dépassant la répétition de simples défaillances individuelles ; que ces carences ont rendu possible le développement de la fraude et ses graves conséquences financières ; que le fait que ces lacunes n’étaient pas connues de la direction, qui ne pouvait ainsi y remédier, ne peut être invoqué par la Société Générale pour s’exonérer de sa responsabilité au regard de la réglementation
508. V. l’article 255 de l’arrêté du 3 novembre 2014. 509. V. l’article 10 n) de l’arrêté du 3 novembre 2014 : « ensemble de mesures visant à assurer, selon divers scénarios de crise, y compris face à des chocs extrêmes, le maintien, le cas échéant, de façon temporaire selon un mode dégradé, des prestations de services ou d’autres tâches opérationnelles essentielles ou importantes de l’entreprise assujettie, puis la reprise planifiée des activités et à limiter ses pertes ». 510. Bulletin officiel du CECEI et de la Commission bancaire, n° 5, juill. 2008, p. 16. V. H. de Vauplane, J.-J. Daigre, B. de Saint-Mars, J.-P. Bornet : Banque & Droit, n° 121, sept.-oct. 2008, p. 33.
c onformité
légale
| 193
bancaire ; qu’ainsi la Société Générale a enfreint plusieurs dispositions essentielles de la réglementation applicable en matière de contrôle interne ». 431. Au final, on observera que la sécurité des systèmes d’information reste une donnée essentielle, dans les salles de marché comme plus généralement dans toutes les organisations financières ou d’assurance et qu’il est très important de prévenir les comportements humains déviants comme l’illustre cette affaire. On ajoutera que « dans le secteur bancaire et financier, des procédures et des mesures organisationnelles et de sécurité doivent être mises en place pour remplir les obligations de conformité légales et prudentielles. Cela se traduira par des procédés d’authentification et d’identification (Identification and Access Management ‒ IAM), associés à des contrôles, des alertes »511. Par conséquent en pratique, c’est une démarche globale de traçabilité de l’information qui doit être mise en œuvre. Pour exemple, selon les termes de l’article 85 de l’arrêté, en ce qui concerne l’information comprise dans les comptes de bilan et de résultats publiés ainsi que les informations de l’annexe issues de la comptabilité, l’organisation mise en place doit permettre de garantir l’existence d’un ensemble de procédures. Cet ensemble de procédures, appelé « piste d’audit », doit permettre de reconstituer dans un ordre chronologique les opérations. 432. Cette démarche globale de traçabilité doit par ailleurs se prolonger jusqu’à l’archivage. Sur ce point, il est important de souligner que « les données archivées dans le système d’information doivent être intègres tout au long de la durée de conservation ‒ mais aussi pendant les délais de prescription (…) ‒ qu’il conviendra de déterminer en fonction de la matière et de la nature du document. En outre, les modalités d’archivage doivent permettre aux données d’être rapidement auditables, tout en garantissant leur extraction instantanée en cas d’audit externe. Bref, les données doivent faire l’objet d’un archivage sécurisé selon l’état de l’art. Le système en garantira l’accessibilité, la disponibilité, l’intégrité et la durabilité »512. 433. Enfin, pour assurer la fiabilité de l’ensemble, il conviendra de mettre en œuvre de nombreuses mesures de sécurité adéquates. Ce peut être en mettant en œuvre des limitations dans les accès ou l’utilisation des ressources logiques et physiques, voire de procéder à des ségrégations des données pour garantir des accès spécifiques en fonction des droits attribués aux personnels. Cette limitation peut résulter de la mise en œuvre de mécanismes d’identification et d’authentification telle que les couples login/mot de passe ou encore l’utilisation de certificats électroniques d’authentification. De fait, la gestion des habilitations devra faire l’objet d’une revue périodique. Ces procédures ne doivent, par ailleurs, pas être limitées aux seules ressources internes mais, au contraire, s’étendre sur 511. TGI Paris, 11e ch., 3e section, 5 oct. 2010, Com. com. électr. 2011, comm. 16. 512. É. A. Caprioli, « Commentaire de l’arrêté du 31 mars 2005 modifiant le règlement du Comité de la réglementation bancaire et financière n° 97-02 du 21 février 1997 relatif au contrôle interne des établissements de crédit et des entreprises d’investissement », Com. com. électr. 2005, comm. 167. Pour plus de détails relatifs à l’archivage, v. le site : www.caprioli-avocats.com
194 | B anque
et
a ssurance
digitales
toutes les ressources y compris les sites Internet qui, souvent interfacés avec le système d’information, peuvent permettre l’introduction de tiers. Ce risque d’intrusion par le biais d’une attaque ou d’un virus informatique devra par ailleurs être particulièrement analysé et pris en compte dans les mesures de sécurité à implémenter. 434. En tout état de cause, la mise en œuvre des mesures nécessaires devra faire l’objet préalablement d’une analyse approfondie des risques, notamment par rapport au système d’information existant (l’analyse doit être actualisée régulièrement). C’est au regard de cette analyse que l’organisation de la sécurité des systèmes d’information devra être élaborée en fixant la chaîne de responsabilité, en identifiant les flux d’informations et en organisant leur protection de manière proportionnée en veillant à assurer la traçabilité et la journalisation des opérations. 435. Enfin, ces mesures devront être soutenues par la mise en œuvre d’un plan de continuation d’activité et de plans de secours informatique associés dont le test régulier permettra d’assurer non seulement une indisponibilité minimale, mais également une minimisation de la perte de données. 436. L’ensemble de ces éléments devra faire l’objet d’une documentation minutieuse et régulièrement mise à jour (périodicité maximale d’un an) afin, non seulement de mettre en œuvre une organisation et des solutions adéquates, mais également d’être en mesure de le prouver à l’ensemble des autorités de régulation. 437. Ainsi, l’ensemble de ces obligations imposera aux entreprises de définir, non seulement au niveau de leur groupe, mais également au niveau de chacune de leurs entités, le niveau de contrôle nécessaire et suffisant en prenant pour référence, d’une part, ses propres besoins et, d’autre part, les standards imposés. Au titre de ces standards, les entreprises veilleront non seulement à respecter les standards nationaux tels que l’arrêté du 3 novembre 2014, mais également les standards internationaux tels que la réforme dite de « Bâle III » imposant un contrôle interne permettant de vérifier l’intégrité du système d’information. Pour ce faire, les entreprises devront procéder régulièrement à la mise en œuvre d’audits juridiques, techniques et organisationnels permettant après la réalisation d’un état de lieux et des besoins, l’établissement des préconisations nécessaires à la totale adéquation du système. § 3 – Prestations de services essentiels externalisées
438. L’article 21 de l’arrêté du 3 novembre 2014 permet aux entreprises, lorsque la taille de l’entreprise assujettie ne justifie pas de confier les responsabilités du contrôle permanent et du contrôle périodique à des personnes différentes ou lorsque des circonstances particulières le justifient, de confier des tâches d’exécution du contrôle permanent et du contrôle périodique à des prestataires
c onformité
légale
| 195
extérieurs de services. Ce faisant, cet article impose à cette relation, le respect des articles 237 à 240 de l’arrêté. 439. Il en résulte que les entreprises assujetties demeurent pleinement responsables du respect de toutes les obligations qui leur incombent. En effet, cette externalisation ne doit pas avoir pour objet ou pour effet de diluer la responsabilité de l’entreprise quant à la relation effective de contrôle interne nécessaire. Ce faisant, l’article 237 institue un certain nombre d’interdictions dans les rapports entretenus avec le prestataire, et l’absence de délégation de responsabilité en cas d’externalisation, l’absence d’impact sur la relation entre l’entreprise assujettie et ses clients ou encore l’absence d’impact sur les conditions d’agrément. 440. Pour encadrer cette relation, l’article 238 impose, outre la rédaction d’un contrat écrit entre le prestataire et l’entreprise assujettie, la mise en œuvre d’une politique formalisée de contrôle des prestataires externes. Il s’agit bien là d’imposer à l’entreprise non un formalisme de façade, mais une réflexion aboutie sur l’organisation de ses contrôles. Par ailleurs, l’article 239 ajoute à ces éléments un ensemble d’engagements de la part de l’entreprise assujettie qui sont autant de mesures ayant leur place au sein de l’ensemble contractuel liant l’assujettie au prestataire et comprennent des opérations où le numérique est essentiel, notamment un engagement de qualité de service associé à des mécanismes de secours, une protection des informations confidentielles de l’entreprise et de ses clients… Parmi ces mesures, nombreuses sont celles dont l’objet est d’interdire au prestataire d’outrepasser ses droits, par exemple en lui interdisant toute modification substantielle sans l’accord préalable de l’entreprise ou en l’obligeant à se conformer aux procédures de l’entreprise. On notera également l’importance des mécanismes de transparence mis en œuvre telle l’obligation d’information en cas d’évènement susceptible d’avoir un impact ou l’accès des autorités de contrôle prudentiel aux informations sur les activités externalisées. 441. Enfin, l’encadrement de cette relation entreprise assujettie/prestataire est complété par l’article 240 développant l’encadrement spécifique du recours à un prestataire externe situé dans un État non-membre de l’Union européenne ou non partie à l’accord sur l’Espace économique européen. Dans cette hypothèse, deux conditions cumulatives sont nécessaires à ce recours : – l’agrément du prestataire dans son pays d’origine, – un accord de coopération entre l’ACPR ou l’AMF et l’autorité compétente du prestataire de services. Si ces conditions ne peuvent être remplies, l’externalisation ne peut théoriquement être faite. Cependant, si après avoir transmis à l’ACPR le contrat d’externalisation, cette dernière n’a pas émis d’observation dans un délai de 2 mois, l’externalisation peut être mise en œuvre.
196 | B anque
et
a ssurance
digitales
442. Il sera donc, en tout état de cause recommandé, dans le cadre d’une externalisation, de formaliser des contrats comportant les clauses nécessaires à l’encadrement de la sécurité des systèmes d’information avec une clause détaillant les indicateurs de maîtrise des risques, une annexe sur la convention de services et surtout une disposition relative aux modalités de leur reporting. Ces contrats devront également comporter une clause d’audit afin de pouvoir vérifier dès le début des prestations puis régulièrement l’efficience des systèmes et leur sécurisation par le biais de tests documentés. § 4 – Contrôle interne dans le secteur des assurances
443. Même si ses contours sont différents de ceux délimités au sein du secteur bancaire, le secteur de l’assurance est également soumis à une obligation de mise en œuvre du contrôle interne. 444. Cette obligation est actuellement issue du régime imposé par la directive n° 2009/138/CE, dite « Solvabilité II »513, entrée en vigueur le 1er janvier 2016514. Au titre de cette directive, les entreprises d’assurance et de réassurance doivent disposer de politiques écrites concernant au moins leur gestion des risques, leur contrôle interne, leur audit interne et, le cas échéant, la sous-traitance515, obligation qui sera reprise sous l’article L. 354-1 du Code des assurances. 445. En effet, la transposition de cette directive a été finalisée516 par la publication de l’ordonnance du 2 avril 2015517 et le décret du 7 mai 2015518. Désormais, aux termes de l’article L. 354-1 du Code des assurances, les entreprises relevant du régime dit « Solvabilité II » doivent mettre en place un système de gouvernance garantissant une gestion saine et prudente de leur activité et faisant l’objet d’un réexamen interne régulier. Pour veiller à ces éléments, les entreprises doivent élaborer des politiques écrites relatives à la gestion des risques et au contrôle interne, politiques qui devront être soigneusement mises en œuvre. De plus, l’article L. 354-2 du Code des assurances impose aux entreprises d’assurance et de
513. Directive n° 2009/138/CE du Parlement européen et du Conseil du 25 novembre 2009 sur l’accès aux activités de l’assurance et de la réassurance et leur exercice (Solvabilité II) (Texte présentant de l’intérêt pour l’EEE), JOUE n° 335, 17 déc. 2009, p. 1. 514. Communiqué de presse de la commission européenne du 4 janvier 2016, « Commission welcomes entry into application of Solvency II directive », disponible sous le lien : http:// europa.eu/rapid/midday-express-4-1-2016.htm?locale=fr#3 515. Dir. n° 2009/138/CE, art. 41. 516. Revue de l’ACPR n° 23, « Solvabilité II : la transposition de la directive », disponible à l’adresse : https://acpr.banque-france.fr/publications/revue-de-lacpr/revue-de-lacpr-n23-sommaire/ dossier/solvabilite-ii-la-transposition-de-la-directive.html 517. Ordonnance n° 2015-378 du 2 avril 2015 transposant la directive n° 2009/138/CE du Parlement européen et du Conseil du 25 novembre 2009 sur l’accès aux activités de l’assurance et de la réassurance et leur exercice (Solvabilité II), JO 3 avr. 2015, p. 6141. 518. Décret n° 2015-513 du 7 mai 2015 pris pour l’application de l’ordonnance n° 2015-378 du 2 avril 2015 transposant la directive n° 2009/138/CE du Parlement européen et du Conseil sur l’accès aux activités de l’assurance et de la réassurance et leur exercice (« Solvabilité II »), JO 10 mai 2015, p. 7986.
c onformité
légale
| 197
réassurance de disposer d’un système de contrôle interne qui devra comprendre au minimum des procédures administratives et comptables, un cadre de contrôle interne, des dispositions appropriées en matière d’information à tous les niveaux de l’entreprise et une fonction de vérification de la conformité mentionnée à l’article L. 354-1519. 446. L’ACPR publie régulièrement des documents pour aider les entreprises à répondre à ces obligations520. Par exemple, l’ACPR a publié le 13 mai 2015 un document d’aide à la préparation des rapports, intitulé « Préparation à Solvabilité II ‒ Les rapports Solvabilité II »521. 447. Ces mesures s’appliquent aux entreprises relevant du régime de la directive Solvabilité II, mais les entreprises qui n’en relèvent pas, définies au sein de l’article L. 310-3-2 du Code des assurances, sont également soumises à des mesures de contrôle interne propre. En effet, l’article L. 336-1 du Code des assurances impose l’établissement d’un rapport de solvabilité écrit exposant les conditions dans lesquelles les entreprises garantissent les engagements qu’elles prennent à l’égard des assurés ou des entreprises réassurées, présentant et analysant les résultats obtenus et indiquant si la marge de solvabilité est constituée conformément à la réglementation applicable. Or, pour la réalisation de ce rapport, les entreprises sont tenues, aux termes de l’article R. 336-1 du Code des assurances, de mettre en place un dispositif permanent de contrôle interne matérialisé par un rapport annuel à transmettre à l’Autorité de contrôle prudentiel et de résolution.
SECTION III SECRET PROFESSIONNEL 448. On ne peut parler de contrôle sans aborder la notion fondamentale de secret professionnel. Le secret constitue une donnée incontournable pour les métiers de la banque et de l’assurance. Dans le numérique, cela prend des contours souvent liés à la sécurité de l’information. En effet, l’information doit rester disponible et accessible aux seules personnes autorisées, intègre et confidentielle… Or, cela suppose que le système d’information résiste aux attaques en provenance de l’extérieur, ainsi qu’aux fuites internes. 449. Lorsqu’on s’interroge sur la notion de secret dans un contexte bancaire et assurantiel, la notion de secret bancaire apparaît rapidement dans tous les esprits. Cependant, parce que l’activité bancaire et d’assurance comporte de nombreux produits reposant sur une connaissance approfondie des personnes 519. C. assur., art. R. 534-4. 520. V. la page dédiée à « Solvabilité II » du site de l’ACPR, disponible sous le lien : http://acpr. banque-france.fr/solvabilite2.html 521. Document disponible sous le lien : http://acpr.banque-france.fr/fileadmin/user_upload/acp/ Solvabilite-2/20150513_Les_rapports_Solvabilite_2.pdf
198 | B anque
et
a ssurance
digitales
et des risques qu’elles encourent, la notion de secret médical ou plutôt la présence de données médicales couvertes par ce secret peuvent venir influer sur les processus de traitements numériques des informations.
§ 1 – Secret bancaire
450. Au titre du secret bancaire, les acteurs de la banque (en ce compris les acteurs de la banque digitale et de la banque en ligne) se doivent d’assurer la protection du secret des informations traitées. Ce faisant, cette protection se fait indépendamment des protections supplémentaires et des règles spécifiques qui peuvent venir s’appliquer à certains types de données (données bancaires, données médicales ‒ voir ci-après) ou au système qui les héberge. 451. Le droit de l’Union européenne prévoit qu’« aucun texte n’impose aux établissements de crédit de conserver confidentielles les informations concernant leurs clients »522, alors que le secret bancaire est pris en considération notamment par le biais du droit des données à caractère personnel. À ce titre, selon le professeur Thierry Bonneau, « un lien est établi entre ledit secret et la protection des données : le secret bancaire est un moyen permettant d’assurer la protection des données à caractère personnel ; dans le même temps, la protection de ces données constitue le fondement du secret bancaire. Ce double lien, qui ne permet pas toutefois pas d’affirmer que le secret bancaire est lui-même un droit fondamental »523. 452. Récemment, la CJUE a par ailleurs récemment statué sur la question de l’impact du secret professionnel sur la communication de renseignements sur le titulaire d’un compte soupçonné d’activités contrefaisantes : « L’article 8, paragraphe 3, sous e), de la directive n° 2004/48/CE du Parlement européen et du Conseil, du 29 avril 2004, relative au respect des droits de propriété intellectuelle, doit être interprété en ce sens qu’il s’oppose à une disposition nationale, telle que celle en cause au principal, qui autorise, de manière illimitée et inconditionnelle, un établissement bancaire à exciper du secret bancaire pour refuser de fournir, dans le cadre de l’article 8, paragraphe 1, sous c), de cette directive, des informations portant sur le nom et l’adresse du titulaire d’un compte »524. 453. Certains auteurs estiment par ailleurs que « si cette décision a été rendue dans le cadre spécifique d’une directive sur la protection de la propriété intellectuelle et relativement au secret bancaire, fondé sur la protection des données personnelles, sa motivation permet de lui donner une portée générale : tout conflit de droits fondamentaux doit être résolu par la recherche “d’un juste 522. T. Bonneau, « Le secret bancaire à l’épreuve de la CJUE », RDBF 2016, repère 4. 523. T. Bonneau, « Le secret bancaire à l’épreuve de la CJUE », art. préc., p. 1. 524. CJUE, 16 juill. 2015, aff. C-580/13, Coty Germany GmbH c/ Stadtsparkasse Magdeburg, disponible sous le lien : http://curia.europa.eu/juris/document/document.jsf?text=&docid=16 5900&pageIndex=0&doclang=FR&mode=lst&dir=&occ=first&part=1&cid=1681884 ; D. 2015, p. 2168, note C. Kleiner.
c onformité
légale
| 199
équilibre” (pt. 34) entre eux, au nom de la nécessaire prise en considération d’un droit à la preuve qui, s’il est ici fondé sur la lettre de la directive qui le désigne sous le vocable de “droit d’information”, s’impose parce qu’il permet l’exercice effectif d’un droit lui-même fondamental, celui de propriété »525. A contrario, plusieurs législations d’États membres, dont la France, prévoient un secret bancaire extensif. Cependant, cette décision pourrait infléchir les positions des Cours suprêmes quant à la portée de ce secret526. 454. Tout d’abord traité par les juridictions sous l’angle du secret professionnel, le secret bancaire a été institué pour les établissements de crédit par la loi du 24 janvier 1984527 et figure désormais au sein du titre relatif aux Prestataires de services bancaires du Code monétaire et financier sous l’article L. 511-33528. Initialement, outre l’interdiction de l’opposer à différentes autorités, seul le principe était fixé. Depuis, cet article s’est considérablement étoffé, prévoyant certaines informations pouvant faire l’objet d’une transmission, les personnes aptes à les recevoir ou encore la confidentialité de cette réception (voir ci-après). Lorsqu’il est confronté à la législation sur la lutte anti-blanchiment ou la législation fiscale, le secret bancaire ne pourra pas être opposé529. De fait, le secret bancaire comporte deux faces distinctes : une face civile portant sur l’obligation de discrétion et une face pénale sanctionnant l’atteinte au secret professionnel par le biais de l’article 226-13 du Code pénal530. 455. Ces contingences imposent aux entreprises une particulière maîtrise de leurs données, mais également des agissements de leurs collaborateurs et soustraitants, spécialement en ce qui concerne leur confidentialité. En effet, pour ces derniers, les entreprises devront s’assurer (ex. : contractuellement) que les obligations qui leur sont imposées sont spécifiquement encadrées afin de 525. G. Lardeux, « Secrets professionnels et droit à la preuve : de l’opposition déclarée à la conciliation imposée », D. 2016, p. 96. 526. « D’une part, la décision européenne fragilise beaucoup la jurisprudence constante de la haute juridiction qui a accordé une portée absolue au secret bancaire dans les contentieux dans lesquels la banque était attraite en responsabilité (…). D’autre part, la motivation de la décision de la Cour de Justice dépassant les données du litige dans le cadre duquel elle a été rendue, il est souhaitable qu’elle amène la Cour de cassation à infléchir sa jurisprudence audelà du secret bancaire, notamment au regard du secret des professionnels du droit lorsqu’ils n’interviennent pas comme défenseurs », G. Lardeux, « Secrets professionnels et droit à la preuve : de l’opposition déclarée à la conciliation imposée », art. préc., p. 96. 527. Loi n° 84-46 du 24 janvier 1984 relative à l’activité et au contrôle des établissements de crédit, JO 25 janv. 1984, p. 390. 528. « I. – Tout membre d’un conseil d’administration et, selon le cas, d’un conseil de surveillance et toute personne qui à un titre quelconque participe à la direction ou à la gestion d’un établissement de crédit, d’une société de financement ou d’un organisme mentionné aux 5 et 8 de l’article L. 511-6 ou qui est employée par l’un de ceux-ci est tenu au secret professionnel (…) ». 529. T. Bonneau, Droit bancaire, LGDJ, 2015, 11e éd., v. n° 553 et s. 530. « La révélation d’une information à caractère secret par une personne qui en est dépositaire soit par état ou par profession, soit en raison d’une fonction ou d’une mission temporaire, est punie d’un an d’emprisonnement et de 15 000 euros d’amende ».
200 | B anque
et
a ssurance
digitales
pouvoir engager la responsabilité du sous-traitant si celui-ci ne l’a pas mis en mesure de répondre à ses obligations. 456. Pour rappel, l’arrêté du 3 novembre 2014 encadre spécifiquement les conditions applicables à l’externalisation de certaines prestations, mais développe également d’autres dispositions qui peuvent venir s’appliquer à la relation. Tel est le cas de l’obligation de notification des incidents. En effet, les dirigeants des entreprises, aux termes de l’article 249 de l’arrêté, doivent informer sans délai l’ACPR des incidents significatifs531. Cette obligation de notification impose aux entreprises la rédaction (et la mise en œuvre) de clauses organisant la transmission des informations nécessaire dans l’hypothèse où le prestataire (infrastructure, prestations…) serait touché par une faille ou une intrusion. De fait, si ces obligations s’adressent aux entreprises, leurs sous-traitants s’y soumettront également afin d’être à même de répondre aux besoins de leurs clients. En tout état de cause, le sous-traitant pourra être soumis à cette obligation de notification car d’autres textes, comme ceux relatifs à la protection des données à caractère personnel, tendent à élargir l’obligation de notification des violations de données personnelles, ou dans le cadre de la loi de programmation militaire applicables aux OIV, les failles de sécurité. En effet, si à l’heure actuelle, l’obligation de notification n’est imposée qu’aux fournisseurs de services de communications électroniques532, le règlement n° 2016/679/UE du 27 avril 2016533 qui sera applicable à partir du 25 mai 2018 impose la notification à l’autorité de contrôle et éventuellement à la personne concernée des cas de violation de données à caractère personnel534. 457. En matière de lutte contre le blanchiment, toute la difficulté réside dans le fait qu’un échange d’information est nécessairement organisé au sein d’un groupe de sociétés pour la mise en œuvre des procédures de gestion mais également en dehors du groupe, notamment pour la transmission des déclarations nécessaires. Encore faut-il que soient respectées les obligations relatives au secret professionnel. De fait, si l’article L. 511-34 du Code monétaire et financier édicte les principes relatifs au secret professionnel, l’article L. 511-34 qui le complète organise la transmission d’informations au sein du 531. En vertu de l’article 245, « les dirigeants effectifs informent sans délai l’Autorité de contrôle prudentiel et de résolution des incidents significatifs au regard des critères et seuils mentionnés à l’article 98 et arrêtés par l’organe de surveillance ». Selon l’article 98, alinéa 3 : « est réputée significative toute fraude entraînant une perte ou un gain d’i-un montant brut dépassant 0,5 pour cent des fonds propres de base de catégorie 1, sans pouvoir être inférieur à dix mille euros ». 532. V. loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, art. 34 bis II. 533. Règlement n° 2016/679/UE du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive n° 95/46/CE [règlement général sur la protection des données] (Texte présentant de l’intérêt pour l’EEE), JOUE n° L. 119, 4 mai 2016, p. 1 : http://eur-lex.europa.eu/legal-content/FR/TXT/?uri=uriserv: OJ.L_.2016.119.01.0001.01.FRA&toc=OJ:L:2016:119:TOC 534. V. règlement n° 2016/679/UE, art. 33 et 34.
c onformité
légale
| 201
groupe. Cet article, délimitant les contours de la notion de groupe applicable en l’espèce, liste ainsi strictement les informations devant être transmises. Ces informations comprennent les éléments nécessaires à l’organisation de la lutte contre le blanchiment des capitaux et contre le financement du terrorisme, mais également les informations nécessaires la détection des opérations d’initié ou à la gestion des conflits d’intérêts… 458. De nombreuses instructions sont régulièrement édictées par l’ACPR pour définir les modalités de transmission de différents types d’information, spécialement à destination de ses services. 459. Pour aider les entreprises, l’ACP (organisme antérieur à l’ACPR) avait également publié des Lignes directrices relatives aux échanges d’informations au sein d’un groupe et hors groupe en 2011535. Dans ce document explicatif, l’ACP tendait à rappeler les dispositions applicables tout en détaillant les mesures nécessaires à leur application. L’ACPR a également publié des Lignes directrices en partenariat avec Tracfin concernant les obligations de déclaration et d’information à Tracfin536. 460. Actuellement, les données bancaires sont régies par plusieurs corps de règles distincts que sont les dispositions relatives aux données personnelles, les dispositions relatives au secret professionnel et les dispositions spécifiques aux établissements bancaires et financiers. La loi du 4 août 2008 ayant étendu le secret bancaire aux entreprises d’investissement537, le texte permet désormais (comme évoqué précédemment concernant les dispositions de l’article L. 511-33 du Code monétaire et financier) aux établissements de crédit dans les cas strictement prévus par la loi de transmettre des informations couvertes par le secret bancaire, et ce sans avoir à solliciter ou obtenir le consentement du client. 461. A contrario, toute transmission qui ne rentrerait pas dans ce cadre impose d’obtenir l’accord préalable du client. Une affaire, tranchée par la Cour de cassation, illustre les limites respectives du secret professionnel et de la transmission d’informations. En effet, dans le cadre de cet arrêt où une entreprise reprochait à une banque de ne pas l’avoir informée sur la santé financière d’un partenaire, la chambre commerciale de la Cour de cassation a pu affirmer que « l’obligation au secret professionnel à laquelle sont tenus les établissements de crédit leur interdit de fournir à un client qui en formule la demande des renseignements autres que simplement commerciaux d’ordre général et économique sur la solvabilité d’un autre de leurs clients »538. 535. Disponible à l’adresse suivante : https://acpr.banque-france.fr/fileadmin/user_upload/acp/ publications/registre-officiel/2011-lignes-directrices-ACP-pour-echanges-d-infos.pdf 536. Lignes directrices conjointes de l’Autorité de contrôle prudentiel et de résolution et de Tracfin sur les obligations de déclaration et d’information à Tracfin, disponible à l’adresse : https:// acpr.banque-france.fr/fileadmin/user_upload/acp/publications/registre-officiel/201512Lignes-directrices-ACPR-Tracfin-obligations-declaration.pdf 537. Loi n° 2008-776 du 4 août 2008 de modernisation de l’économie, JO 5 août 2008, p. 12471. 538. Cass. com., 18 sept. 2007, n° 06-10.663, Bull. civ. IV, n° 195.
202 | B anque
et
a ssurance
digitales
462. Mais les tribunaux ne sont pas les seuls à veiller au respect de la confidentialité des données bancaires. En effet, la CNIL veille au respect par les banques de leurs obligations en matière de données à caractère personnel. Elle a ainsi déjà pu prononcer un avertissement envers la filiale d’une banque539, celle-ci ayant partagé son système d’information entre plusieurs entités au sein du groupe bancaire. La CNIL a ainsi observé que des salariés ont pu, du fait de ce système (le contenu de tout dossier public s’est trouvé librement accessible à l’intégralité des titulaires de compte de messagerie Outlook au sein du groupe), avoir accès à des données bancaires confidentielles et protégées par le secret bancaire. La CNIL sanctionne cette absence de cloisonnement choisi selon les seules « considérations techniques » et surtout « sans égard pour la conformité bancaire ». De fait, si les sanctions peuvent parfois apparaître modestes ‒ en l’occurrence un simple avertissement ‒, les décisions de la CNIL sont craintes par les acteurs économiques, car leur publicité et l’écho qu’il en est fait peut avoir un très fort impact sur l’image des entreprises concernées vis-à-vis de leurs clientes. § 2 – Le secret des données de santé
463. Parce que les données conservées par les banques ne sont pas uniquement des données strictement bancaires, d’autres dispositions légales peuvent leur être applicable. Cela entraîne parfois des modifications importantes dans les organisations initiales. Tel est le cas des données de santé. En effet, la conservation des données de santé impose le respect d’obligations supplémentaires et spécifiques comprenant, outre les exigences relatives au secret professionnel, les dispositions des articles L. 1110-4 et L. 1111-7 du Code de la santé publique, de la loi « Informatique et Libertés » et de son décret d’application. 464. Si la notion même de donnée de santé n’est pas encore définie légalement, de nombreux organismes, dont la CNIL, en ont une acception très large. Désormais, par le biais de la mise en œuvre du règlement n° 2016/679, les « données concernant la santé » seront définies comme étant « les données à caractère personnel relatives à la santé physique ou mentale d’une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l’état de santé de cette personne »540. 539. Délibération de la formation restreinte n° 2012-176 du 21 juin 2012 portant avertissement public à l’encontre de la Société européenne de traitement de l’information (groupe Crédit Mutuel – CIC), disponible à l’adresse suivante : http://www.cnil.fr/fileadmin/documents/approfondir/deliberations/Formation_ contentieuse/D2012-176_EURO_INFORMATION.pdf. « Sur ce, la formation restreinte relève, ce que la société ne conteste pas, qu’une très grande majorité des nombreux documents accessibles (soit 1 269 583 documents sur 1 686 489 au total) comportaient des éléments financiers relatifs aux clients des activités bancaires du groupe, dont la plupart relevaient du secret bancaire (revenus, patrimoine, situation fiscale, relevés d’identité bancaire (RIB), numéros de cartes bancaires, notamment). Si les données auxquelles il a été donné accès ont pu subir une certaine obsolescence au bout de la période de deux ans durant laquelle elles ont été accessibles, ce facteur n’en diminue pas pour autant leur sensibilité initiale, laquelle a pu, au demeurant, perdurer dans le temps ». 540. V. règlement n° 2016/679/UE du 27 avril 2016, art. 4-15.
c onformité
légale
| 203
465. Or, selon les dispositions du règlement, comme celles de la directive qu’il a abrogée541, la collecte et le traitement des données à caractère personnel relatives à la santé, au même titre que les données relatives aux convictions religieuses ou à l’appartenance syndicale, sont interdits542. Des exceptions existent à ce principe mais elles sont strictement encadrées. Ne sont pas soumis à cette interdiction : « les traitements nécessaires aux fins de la médecine préventive, des diagnostics médicaux, de l’administration de soins ou de traitements, ou de la gestion de services de santé et mis en œuvre par un membre d’une profession de santé, ou par une autre personne à laquelle s’impose en raison de ses fonctions l’obligation de secret professionnel prévue par l’article 226-13 du Code pénal », mais également « les traitements nécessaires à la recherche, aux études et évaluations dans le domaine de la santé selon les modalités prévues au chapitre IX »543. 466. L’obligation de secret professionnel « s’impose à tous les professionnels intervenant dans le système de santé (…) » (CSP, art. L. 1110-4, I, al. 2). De plus, la conservation des données de santé, si elle est effectuée en ayant recours à un hébergeur, nécessite que ce dernier soit agréé comme étant un « hébergeur de données de santé ». Effectivement, afin d’assurer l’encadrement de cet hébergement, la loi n° 2002-303544 avait imposé par le biais de l’article L. 1111-8 du Code de la santé publique aux professionnels de santé, aux établissements de santé et aux personnes concernées de déposer les données de santé recueillies « auprès de personnes physiques ou morales agréées à cet effet ». Les articles R. 1111-9 et suivants du Code de la santé publique, introduits par le décret n° 2006-6 du 4 janvier 2006545, encadrent ce processus d’agrément. L’article R. 1111-9 du Code de la santé publique impose ainsi aux hébergeurs souhaitant obtenir l’agrément diverses obligations telles qu’avoir recours à des personnels qualifiés en matière de sécurité et d’archivage ou de « (…) définir et mettre en œuvre une politique de confidentialité et de sécurité, destinée notamment à assurer le respect des exigences de confidentialité et de secret prévues par les articles L. 1110-4 et L. 1111-7, la protection contre les accès non autorisés ainsi que la pérennité des données (…) ». 467. Cependant, depuis lors, la loi du 26 janvier 2016546 a inversé le raisonnement. Désormais « toute personne qui héberge des données de santé à caractère 541. Directive n° 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, JOCE n° L. 281, 23 nov. 1995, p. 31 : http://eur-lex. europa.eu/legal-content/FR/TXT/?uri=celex:31995L0046 542. V. directive n° 95/46/CE, art. 8, et règlement n° 2016/679/UE, art. 9. 543. V. l’article 8 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés. 544. Loi n° 2002-303 du 4 mars 2002 relative aux droits des malades et à la qualité du système de santé, JO 5 mars 2002, p. 4118. 545. Décret n° 2006-6 du 4 janvier 2006 relatif à l’hébergement de données de santé à caractère personnel et modifiant le Code de la santé publique, JO 5 janv. 2006, p. 174. 546. Loi n° 2016-41 du 26 janvier 2016 de modernisation de notre système de santé, JO 27 janv. 2016.
204 | B anque
et
a ssurance
digitales
personnel recueillies à l’occasion d’activités de prévention, de diagnostic, de soins ou de suivi social et médico-social, pour le compte de personnes physiques ou morales à l’origine de la production ou du recueil desdites données ou pour le compte du patient lui-même, doit être agréée à cet effet. Cet hébergement, quel qu’en soit le support, papier ou électronique, est réalisé après que la personne prise en charge en a été dûment informée et sauf opposition pour un motif légitime » (CSP, art. L. 1111-8, modifié). 468. Or, cette nouvelle lecture semblerait élargir ainsi le recours à un hébergeur de données de santé à toute personne recueillant des données de santé à caractère personnel initialement recueillies à l’occasion d’activités de prévention, de diagnostic, de soins, ce qui pourrait être le cas des banques ou des assurances. Cette interprétation est soutenue par l’ASIP Santé547 qui indique dans le cadre de son FAQ relatif aux hébergeurs de données de santé que « l’obligation de recourir à un hébergeur agréé pèse donc sur tout responsable de traitement de données de santé à caractère personnel “recueillies à l’occasion d’activités de prévention, de diagnostic ou de soins ou de suivi social et médico-social” qui souhaiterait en confier la conservation à un tiers »548. 469. De plus, l’article 204 de la loi autorise le Gouvernement à prendre par ordonnances des mesures permettant de remplacer l’agrément prévu au même article L. 1111-8 du Code de la santé publique par une évaluation de conformité technique réalisée par un organisme certificateur accrédité par l’instance nationale d’accréditation ou par l’organisme compétent d’un autre État membre de l’Union européenne. Ces dispositions devraient donc rapidement être modifiées.
547. Agence nationale des systèmes d’information partagés de santé. 548. ASIP Santé, Hébergement : FAQ, version du 24 mai 2016, disponible à l’adresse : http://esante. gouv.fr/services/referentiels/securite/hebergement-faq#3
CHAPITRE IV De la sécurité des systèmes d’information et de l’information
SECTION PRÉLIMINAIRE UN CADRE JURIDIQUE DE PLUS EN PLUS ÉTOFFÉ549 470. En 1995, la Commission bancaire avait publié un livre blanc avec le concours du Forum des compétences sur la sécurité des systèmes d’information550. Il comprend 36 fiches conseils sur des sujets très divers (par ex. : administration et protection des données ; aspects juridiques ; assurances ; audit et contrôle ; EDI ; GED ; « Facility management et out sourcing » ; messageries ; sécurité des télécommunications et d’accès aux réseaux, etc.). Chaque fiche suit un plan identique : définition, risques, parades, critères de qualité. 471. Lors de l’arrivée de l’Internet dans le domaine bancaire, la Banque de France, dans un Livre blanc publié en l’an 2000551, mentionnait des éléments en vue d’assurer la maîtrise des risques numériques. À la vérité, ce document consistait en un véritable « recueil de bonnes pratiques en matière de contrôle interne, de lutte contre le blanchiment et de sécurité à destination de la profession » dans lequel la Banque de France préconisait des solutions pour accroître la sécurité des opérations de banque digitale. Elle recommandait, en outre, aux dirigeants des établissements bancaires et financiers de documenter leurs analyses de risques ; de garantir le respect des règles relatives à l’identification des clients et des prospects ainsi que d’assurer la traçabilité des opérations et de mettre en place des mesures pour la lutte contre le blanchiment d’argent. En outre, elle insistait sur l’utilisation de techniques pour « la non-répudiation pour les transactions jugées les plus sensibles par l’établissement », de s’appuyer sur la loi du 13 mars 2000552 relative à la preuve et à la signature électroniques. Bref, 549. Pour une synthèse opérationnelle des aspects juridiques de la sécurité des systèmes d’information, v. les fiches du Forum des compétences : Obligations en matière de sécurité des systèmes d’information V.2, publiées en décembre 2015. V. le site : www.forumcompétences. org 550. Commission bancaire, « Livre blanc sur la sécurité des systèmes d’information », janv. 1995. 551. Banque de France, « Internet quelles conséquences prudentielles », déc. 2000, disponible sur : http://acpr.banque france.fr/fileadmin/user_upload/banque_de_france/archipel/ publications/cb_livbl/cb_livbl_internet.pdf 552. JO 14 mars 2000. V. É. A. Caprioli, « La loi française sur la preuve et la signature électronique dans la perspective européenne », JCP éd. G 2000, I, 224 ; « Écrit et preuve électroniques
206 | B anque
et
a ssurance
digitales
elle préfigurait déjà l’ensemble des points de vigilance et les bonnes pratiques applicables à la sécurité de l’information dans le domaine de la banque, et que l’on peut étendre à celui de l’assurance. 472. Ainsi, alors que plus de seize ans se sont écoulés, on retrouve toujours les mêmes principes fondamentaux, et seule l’évolution des technologies utilisées et des menaces associées aux risques envisagés553 les ont fait varier. Au surplus, les règles fixées par les législateurs français ou européen, ainsi que par le régulateur (ACPR) ont gagné en précision et en complexité. Les obligations juridiques liées à la sécurité de l’information couvrent un large éventail de matières telles que par exemple droit pénal, libertés fondamentales, droit du travail, commercial et civil554. 473. La digitalisation de la banque et de l’assurance s’accompagne toujours de risques que l’on prend en compte avec des mesures de sécurité des systèmes d’information tant sur le plan technique que sur le plan organisationnel. Les menaces comme, par exemple, l’espionnage des informations secrètes des entreprises se développent avec le numérique555. La sécurité des systèmes d’information, qui tend de plus en plus à s’appeler la « sécurité numérique »556, repose sur un triptyque composé des dimensions technique, organisationnelle et juridique. C’est ce que l’on va pouvoir constater lorsque l’on examinera successivement : la sécurité et la cybersurveillance des salariés (section I), l’identification et l’authentification (section II), la lutte contre les fraudes numériques et la cybercriminalité (section III) et, enfin, les obligations relatives à la sécurité de l’information (section IV).
SECTION I SÉCURITÉ ET CYBERSURVEILLANCE DES SALARIÉS 474. La sécurité et la cybersurveillance des salariés permettent à la banque et à l’assurance de pallier un grand nombre de risques opérationnels. Il est admis que, sur le lieu et pendant le temps de travail, des règles et des moyens de surveillance
553. 554. 555. 556.
dans la loi n° 2000-230 du 13 mars 2000 », Cah. dr. entr. 2000, n° 2, p. 1 et s. P. Catala, « Le formalisme et les nouvelles technologies », Defrénois 2000, p. 897 s. ; P.-Y. Gautier et X. Linant de Bellefonds, « De l’écrit électronique et des signatures qui s’y attachent », JCP éd. G, I, 236, 2000, p. 1113 et s. ; P. Leclercq, Le nouveau droit civil et commercial de la preuve et le rôle du juge, Le droit des preuves au défi de la modernité, Actes du colloque du 24 mars 2000, La Documentation française, 2000. É. A. Caprioli, « Introduction à la sécurité des systèmes d’information », in Études offertes à la mémoire du professeur Xavier Linant de Bellefonds, Litec, 2007, p. 71-104. S. Marcellin, « Sécurité de l’information. Quelle évolution des obligations légales ? », Rev. Banque, n° 793, févr. 2016, p. 33 et s. J.-M. Bockel, « Rapport d’information fait au nom de la commission des affaires étrangères, de la défense et des forces armées sur la cyberdéfense », Sénat n° 681, 18 juill. 2012. P.-L. Refalo, La sécurité numérique de l’entreprise, l’effet papillon du hacker, Eyrolles, 2013.
de
la sécurité des systèmes d ’ information et de l ’ information
| 207
et de contrôle de l’activité des salariés soient mis en place. La sécurité des systèmes d’information impose de prendre des mesures de « cybersurveillance »557. Dans cette perspective, en général l’entreprise de banque ou d’assurance collecte de nombreuses traces permettant, en cas de besoin, d’imputer des actions à un salarié déterminé. Toutefois, pour la validité de ces contrôles, on sera amené à souligner l’importance de concilier des exigences de sécurité avec le respect des droits des salariés, principalement en termes de droit du travail et de droit au respect de la vie privée. Dès lors, il faudra respecter les principes de la loi « Informatique et Libertés » et du Code du travail, lorsque le contrôle porte sur poste de travail, les courriels, les « Short Message Service » (SMS) ou les navigations et connexions à l’Internet. 475. Ces contrôles prennent forme au travers de la charte d’utilisation des ressources informatiques et des communications électroniques (ou « charte informatique ») dont il conviendra de faire une présentation de sa forme et de son contenu (§ 1). Le régime juridique de la cybersurveillance des salariés et de l’application des principes qui la sous-tendent a été progressivement réalisé par la jurisprudence (§ 2). § 1 – Charte d’utilisation des ressources numériques
476. Quel que soit le domaine d’activité (banque ou assurance), en matière de sécurité des systèmes d’information, l’outil de base est la politique de sécurité des systèmes d’information, laquelle peut également se décliner en procédures ou directives d’application (messageries, gestion des accès, notifications, aspects juridiques…). Mais ces outils ont un caractère purement technique et organisationnel et de ce fait, ils ne sont pas opposables à l’ensemble des utilisateurs des ressources informatiques et numériques de l’entreprise. 477. Outre les mesures technologiques (outil de contrôle et de suivi des actions sur le système d’information, mesures de filtrage, etc.), la mise en place d’une charte informatique se révèle indispensable afin d’informer et de sensibiliser les salariés sur leurs obligations et les principes applicables aux contrôles pour assurer la sécurité du SI. Ces mesures doivent être juridiquement opposables aux utilisateurs des ressources du système d’information. Pour les salariés, la méthode la plus recommandée consiste à intégrer les dispositions dans le règlement intérieur ou dans une charte qui y sera annexée afin que ces dispositions aient la valeur de règlement intérieur et que les manquements puissent faire l’objet de sanctions disciplinaires. Pour les prestataires, ces mesures doivent être intégrées comme annexe du contrat de prestations de services informatiques pour lui donner une valeur contractuelle, à charge pour le prestataire de former ses salariés à ces règles et de les faire respecter.
557. É. A. Caprioli et A. Gurfinkiel, « Cybersurveillance des salariés et communications électroniques », in L’entreprise à l’épreuve du droit de l’Internet, Quid Novi ?, J.-M. Bruguière (ss dir.), Dalloz, 2014, v. p. 171-189.
208 | B anque
et
a ssurance
digitales
478. Toutefois, l’adoption d’une charte restera insuffisante si l’entreprise ne s’engage pas dans l’accompagnement du changement au moyen d’action de sensibilisation et de formation. Le facteur humain est une donnée essentielle dans la sécurité. En effet, la sécurité des systèmes d’information fait partie de la culture d’entreprise. 479. On estime souvent que la charte est l’outil privilégié de la sécurité des systèmes d’information des grandes entreprises (nationales et internationales), mais aussi des administrations et autres collectivités publiques. Cependant, les principes applicables aux entreprises sont identiques quelle que soit leur taille. C’est pourquoi à l’instar des établissements bancaires et des sociétés d’assurances, les TPE et les PME ont également intérêt à disposer d’un tel instrument juridique à des fins de sécurité juridique et technique. A.
Principes généraux
480. La charte informatique est d’un point de vue juridique le véritable pilier de la sécurité de l’information, dans la mesure où elle est en règle générale incorporée ou annexée au règlement intérieur de l’entreprise. À la suite du professeur J.-E. Ray, on peut estimer que la charte informatique apparaît comme le complément nécessaire au règlement intérieur : « au règlement intérieur la place de la loi fixant les principes généraux, à la charte e-TIC à laquelle le règlement intérieur renvoie, la place du décret : les modalités d’applications concrètes »558. Aussi, sa force obligatoire ne doit pas pouvoir être contestée dès lors que son opposabilité aux salariés est assurée. En cas de non-respect de la charte, l’entreprise pourra sanctionner le salarié, voire engager sa responsabilité (disciplinaire, civile ou pénale). En outre, dans certaines hypothèses, la charte permettra à l’entreprise et à son dirigeant de limiter ou d’exonérer sa responsabilité (ex. : application de l’article 1242, alinéa 5, du Code civil relatif à la responsabilité de l’employeur du fait de son commettant). 481. Si l’on se demande pourquoi il est nécessaire de disposer d’une charte informatique, on peut dire d’emblée que la charte informatique a pour objectif de fixer les règles d’utilisation des ressources informatiques et communications électroniques de l’entreprise. Ce document fixe les droits et les obligations des utilisateurs du système d’information en vue d’en assurer la sécurité. L’enjeu principal consiste à protéger le système d’information et le patrimoine informationnel de l’entreprise. De facto, elle va également permettre d’encadrer et de valider la conformité juridique des opérations de cyber-surveillance et de cyber-protection des salariés réalisées par le Responsable de la sécurité des systèmes d’information (RSSI), du point de vue du droit pénal, du droit du travail et du droit de la protection des données à caractère personnel. De plus, la collecte de preuves électroniques dont l’entreprise aura besoin en cas de contentieux devrait être loyale et licite, ce qui impose à la banque ou à l’assurance 558. J.-E. Ray, « À propos de la révolution numérique », Dr. sociétés 2012, p. 1027.
de
la sécurité des systèmes d ’ information et de l ’ information
| 209
de procéder à l’information préalable des salariés utilisateurs559 et de respecter la proportionnalité des mesures de sécurité qu’elle prend560. 482. La charte doit s’appliquer non seulement à tous les salariés, mais également aux stagiaires et aux personnels des prestataires de services externes dès lors qu’ils utilisent les moyens et réseaux numériques mis à leur disposition par l’entreprise. S’agissant des prestataires, la charte doit être annexée au contrat de prestations de services informatiques, charge à l’entreprise de la faire appliquer par ses salariés qui se trouveraient par exemple en régie chez la banque ou l’assurance cliente. À côté de la charte d’utilisation à proprement dit, il existe des chartes « administrateurs » entendues au sens large (administrateurs système et réseaux), c’est-à-dire essentiellement des personnes ayant des « super pouvoirs » pour agir sur les systèmes d’information de l’entreprise. Ces dernières ne suivent pas la même procédure que celles pour les utilisateurs puisque la population visée est plus réduite ; elles sont signées et/ou annexées au contrat de travail de l’administrateur561. En outre, avec le développement des services de « Cloud computing », on voit apparaître des chartes contenant des règles sur les aspects sécurité à respecter dans le cadre de l’externalisation de services informatiques (ex. : en matière d’hébergement des données ou de traitements réalisés sur les données). B.
Élaboration de la charte et respect de procédures
483. Tout d’abord, il convient de rappeler qu’une charte doit se gérer en mode projet, étant donné que son élaboration nécessite l’intervention de plusieurs directions : sécurité informatique, juridique, RH, délégué à la protection des données. La charte doit se fonder sur la politique de sécurité de l’information en vigueur dans l’entité afin d’en assurer un prolongement juridique permettant de sanctionner les abus et autres manquements qui pourraient intervenir lorsque les ressources informatiques et communications électroniques sont utilisées. Il est impératif que la démarche soit guidée par les principes de transparence et de proportionnalité des mesures envisagées. 484. Le principe de transparence a été appliqué au licenciement pour faute grave d’une salariée qui avait été fondé sur les enregistrements informatiques des journées de travail. Ces enregistrements avaient été effectués par un 559. C. trav., art. L. 1222-4 : « Aucune information concernant personnellement un salarié ne peut être collectée par un dispositif qui n’a pas été porté préalablement à sa connaissance ». 560. L’article L. 1121-1 du Code du travail dispose : « nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives de restrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir ni proportionnées au but recherché » et l’article 6.3° de la loi n° 78-1 du 6 janvier 1978, modifiée par la loi du 4 août 2004, qui dispose que les données « sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs ». 561. Parfois, les dispositions relatives aux administrateurs figurent dans la charte d’utilisation.
210 | B anque
et
a ssurance
digitales
logiciel destiné, selon l’employeur, à suivre l’activité commerciale et la qualité de la prestation fournie par la société à ses clients. La Cour d’appel de Lyon avait alors retenu trois principes essentiels : ‒ « si les enregistrements en cause ont un objectif commercial, il n’en demeure pas moins que, dans la mesure où ils permettent de retracer chaque instant de l’activité du salarié du début à la fin de sa journée de travail, ils constituent un procédé de contrôle de l’ensemble de ses faits et gestes au cours de sa journée de travail » ; ‒ « quels que soient les dispositifs de contrôle ou de surveillance que l’employeur envisage de mettre en œuvre, celui-ci doit en informer préalablement les salariés concernés dès lors que ces moyens de contrôle peuvent être utilisés comme moyen de preuve dans une procédure visant à sanctionner leur comportement » ; ‒ « ni la formation à l’utilisation du logiciel de suivi commercial ni les bilans d’évaluation de son travail ne sauraient valoir information préalable sérieuse de la salariée, faute de comporter l’information expresse et claire que les éléments recueillis par le biais des enregistrements informatiques pourront être exploités à des fins disciplinaires ». Le licenciement était alors déclaré sans cause réelle et sérieuse en l’absence d’information de la salariée, de consultation des institutions représentatives du personnel et de déclaration à la CNIL avant la rupture de la relation contractuelle562. 485. Une fois que le document aura été finalisé, il devra être transmis pour avis aux instances représentatives du personnel (délégués du personnel, Comité d’entreprise563 ou d’établissement, mais aussi CHSCT564) pour être ensuite déposée au greffe du conseil des prud’hommes et communiquée à l’inspection du travail. La charte sera annexée au règlement intérieur565. Pour que l’ensemble des salariés soit informé du contenu de la charte, il est d’usage de la leur transmettre par courrier électronique et de l’afficher sur les panneaux habituels ainsi que de le rendre accessible sur l’intranet de l’entreprise. En ce qui concerne la CNIL, s’il n’y a pas lieu de déclarer la charte auprès d’elle, il faudra, en revanche, 562. CA Lyon, ch. soc. B, 14 avr. 2011, n° 10/03759. 563. En vertu de l’article L. 2323-13 du Code du travail : « le Comité d’entreprise est informé et consulté préalablement à tout projet important d’introduction de nouvelles technologies, lorsque celles-ci sont susceptibles d’avoir des conséquences sur l’emploi, la qualification, la rémunération, la formation ou les conditions de travail du personnel ». 564. Le CHSCT est consulté avant toute décision d’aménagement important modifiant les conditions de santé et de sécurité ou les conditions de travail et, notamment, avant toute transformation importante des postes de travail découlant de la modification de l’outillage, d’un changement de produit ou de l’organisation du travail (…) (C. trav., art. L. 4612-8). En vertu de l’article L. 4612-9 du Code du travail, il est consulté sur le projet d’introduction et lors de l’introduction de nouvelles technologies mentionnés à l’article L. 2323-13 (relatif au CE) sur les conséquences de ce projet ou de cette introduction sur la santé et la sécurité des travailleurs ainsi que sur le plan d’adaptation établi lors de la mise en œuvre de mutations technologiques importantes et rapides. V. Cass. soc., 8 févr. 2012, n° 11-10.382, JCP éd. S 2012, 1200, note J.-B. Cotti, décision rendue à propos d’un test de dépistage de stupéfiants, mais on peut estimer que cette solution peut être étendue à l’ensemble des systèmes de contrôle des salariés comme ceux liés à l’utilisation des TIC. 565. Certaines entreprises annexent la charte au contrat de travail que le salarié signe.
de
la sécurité des systèmes d ’ information et de l ’ information
| 211
procéder à la déclaration des traitements de données découlant des contrôles ou surveillances réalisés dans le cadre de l’application de la charte par les services de sécurité566. 486. Le respect des principes « Informatique et Libertés » implique que la collecte des données soit proportionnelle au but recherché et que les données soient conservées pour une durée limitée conformément à l’article 6 de la loi du 6 janvier 1978. Il en résulte que le contrôle par l’employeur doit s’opérer de façon générale, statistique et anonyme via la mise en place d’outils de recueil et d’analyse des logs. C’est uniquement en cas d’éléments objectifs caractérisant un comportement abusif (ex. : alerte de sécurité) qu’il sera possible de contrôler un salarié en particulier. Au-delà de ces principes généraux, certaines ressources ont fait l’objet de solutions jurisprudentielles567, certes particulières, mais qui répondent à une préoccupation de sécurité des systèmes d’information des entreprises en général et des banques et des sociétés d’assurance en particulier. 487. Enfin, il est impératif de procéder à l’information préalable des salariés puisqu’en vertu de l’article L. 1222-4 du Code du travail « aucune information concernant personnellement un salarié ne peut être collectée par un dispositif qui n’a pas été porté préalablement à sa connaissance ». 488. S’agissant de l’évolution de la charte, il convient de prévoir un comité de suivi qui a pour mission de centraliser les cas d’application, de les analyser afin de déterminer les manques et les usages non couverts. Ce comité devrait se réunir a minima une fois par an et décider du lancement du processus de révision de la charte. La question de la fréquence des révisions est particulièrement épineuse, surtout dans les grands groupes bancaires ou d’assurance, ne fût-ce qu’en raison du nombre d’institutions représentatives du personnel (IRP) à consulter et du temps que cela prend pour parvenir à finaliser la procédure. En outre, il faut également tenir compte de la diffusion de la charte à l’international en partant du principe que la sécurité est identique au plan universel alors que le droit ne l’est pas ; il varie selon le système juridique du pays en cause. Pourtant, un arrêt récent de la Cour d’appel de Paris a décidé que le dispositif de Data Leak Prevention (DLP) non prévu par la charte et non déclaré à la CNIL ne permettait pas de collecter des preuves de façon licite568. Dans cette affaire, la charte en vigueur était relativement ancienne.
566. Articles 22-I et suivants de la loi du 6 janvier 1978 : « À l’exception de ceux qui relèvent des dispositions prévues aux articles 25, 26 et 27 ou qui sont visés au deuxième alinéa de l’article 36, les traitements automatisés de données à caractère personnel font l’objet d’une déclaration auprès de la Commission nationale de l’informatique et des libertés ». 567. V. avec un très grand intérêt : J.-P. Gridel, « L’entreprise et l’utilisation en justice de l’information issue de l’outil informatique mis à la disposition du salarié pour les besoins de son activité professionnelle », Com. com. électr. 2016, étude 13. 568. CA Paris, Pôle 6, ch. 9, 12 mai 2016, Com. com. électr. 2016, comm. 96, note É. A. Caprioli.
212 | B anque
C.
et
a ssurance
digitales
Contenu de la charte
489. Dans le cadre de la charte, il est important de prendre en compte de nombreuses questions telles que : • les usages des moyens et équipements mis à disposition par l’établissement ou la société d’assurance et les bonnes pratiques à suivre ; • les limites d’utilisation et les interdictions, telles que par exemple la consultation de sites de jeux ou pornographiques569 ; • les procédures à suivre en cas de perte ou de vol d’équipement (signalement, plainte, effacement des données à distance…) ; • les présomptions d’utilisation à titre professionnel ; • les outils mis à disposition concernant les services de messageries et de navigation, etc., avec l’admission d’une tolérance d’utilisation privée résiduelle en vue d’un usage raisonnable ; • la labellisation des messages, des fichiers, des dossiers « privés » ; • les contrôles et surveillances, ainsi que les outils utilisés (filtrage, DLP ‒ Data Loss Protection, SIEM ‒ Security Information and Event Management, SOC ‒ Security Operating Center…)570 ; • les modalités relatives aux connexions et aux accès aux systèmes d’information ; • la mobilité des salariés et l’accès distant au SI ; • l’utilisation du BYOD/AVEC571 pour les équipements appartenant aux salariés et utilisés également dans un cadre professionnel ou du COPE572 pour les équipements propriétés de l’entreprise mais mis à disposition des salariés pour leurs usages professionnel et personnel ; • l’utilisation des réseaux sociaux. § 2 – Construction jurisprudentielle du régime juridique A.
Consécration de l’application de la charte
490. De nombreuses décisions judiciaires ont consacré l’usage de la charte informatique et sanctionné les pratiques en infractions avec ses dispositions.
569. CA Grenoble, ch. soc., 16 janv. 2008, n° 07/01119, Com. com. électr. 2008, comm. 73, note É. A. Caprioli ; cet arrêt démontre qu’il est toujours utile que les comportements illicites sur l’Internet soient prédéfinis dans un document opposable aux salariés. 570. V. É. A. Caprioli, « Cybersurveillance des salariés : du droit à la pratique des chartes informatiques », LPA, 29 sept. 2004. V. également la table ronde intitulée « Cybersurveillance – Plaidoyer pour un humanisme numérique », avec A. Lepage, É. A. Caprioli, N. Fort, Cah. dr. entr., n° 4, juill.-août 2005, p. 11. 571. Apportez votre équipement personnel de communication ou « Bring your own device » en anglais, v. Avis de la Commission Générale de Terminologie et de Néologie, Vocabulaire de l’informatique et des télécommunications, JO 24 mars 2013. 572. « Corporate Owned Personally Enabled ».
de
la sécurité des systèmes d ’ information et de l ’ information
| 213
Une première décision du Conseil des prud’hommes de Nanterre du 15 septembre 2005 a reconnu l’opposabilité de la charte informatique au salarié dans le cadre d’un litige qui l’opposait à une grande banque573. En l’espèce, le salarié avait été licencié pour faute grave en raison de l’envoi à sa conjointe travaillant dans un établissement concurrent de 24 messages électroniques confidentiels concernant des opérations en cours et des informations stratégiques. Par ailleurs, la Cour de cassation a jugé que le non-respect de la charte informatique par un directeur adjoint qui se connectait avec le mot de passe d’un autre salarié au poste du directeur de l’entreprise était constitutif d’une faute grave justifiant son licenciement574. Elle reconnaît ainsi, pour la première fois, de manière explicite la valeur juridique de la charte et la déclare opposable au salarié. 491. Toujours en matière d’application de la charte informatique, la Cour de cassation a jugé qu’était constitutif d’une faute grave rendant impossible le maintien de la salariée dans l’entreprise le fait d’avoir permis à un autre salarié qui n’y était pas habilité d’utiliser son code d’accès pour télécharger des informations confidentielles en méconnaissance des dispositions de la charte575. La Cour d’appel de Paris a jugé, en date du 10 avril 2014576, que l’usage personnel des outils informatiques en violation de la charte informatique annexée au règlement intérieur, « qui plus est par un administrateur chargé justement de respecter et de faire respecter cette charte », constituait une faute grave le fait de faire une utilisation personnelle notamment au profit d’une société qu’il avait créée, pour télécharger des séries de télévision et pour obtenir des informations confidentielles sur les autres salariés. 492. Plus récemment encore, la Cour d’appel d’Aix-en-Provence, le 13 janvier 2015577, a validé le licenciement pour faute grave d’une salariée ayant consulté des sites à des fins personnelles (vente aux enchères, mode, forums, plaisanteries érotiques…) pendant son temps de travail, en contradiction avec la charte informatique qui interdisait l’accès à ce genre de sites. En effet, selon la décision : « l’article 2-2 du chapitre CHARTE D’UTILISATION DE LA MESSAGERIE ÉLECTRONIQUE D’INTRANET, D’INTERNET dispose que “l’usage abusif de l’Intranet et/ou de l’accès à Internet à des fins personnelles notamment l’accès à des sites de rencontre, shopping privé, jeux en ligne à plusieurs joueurs” relève “D’AGISSEMENTS PROSCRITS” ». 493. À titre d’exemple, le contrôle des connexions à l’Internet d’un salarié et le licenciement qui s’en est suivi ont été invalidés en l’absence de preuve de remise par l’employeur d’un « règlement intérieur contenant les dispositions 573. Cons. prud. Nanterre, 15 sept. 2005, RDBF 2006, comm. 82, note É. A. Caprioli. 574. Cass. soc., 21 déc. 2006, n° 05-41.165 (non publié au Bulletin), RDBF 2007, comm. 125, note É. A. Caprioli. 575. Cass. soc., 5 juill. 2011, Com. com. électr. 2012, comm. 11, note É. A. Caprioli. 576. CA Paris, 10 avr. 2014, Com. com. électr. 2014, comm. 75, note É. A. Caprioli. 577. Disponible à l’adresse : http://www.codes-et-lois.fr/feeds/web juridique/_4f7a8ea771953e5 c4699092a8a319974 et http://www.legalis.net/spip.php?page=jurisprudence-decision&id_ article=4498
214 | B anque
et
a ssurance
digitales
et un document relatif à l’utilisation des moyens informatiques ». Les juges ont considéré que « contrairement à ce qu’elle soutient, la Fondation Hôpital SaintJoseph ne rapporte pas la preuve d’avoir remis à M. N. lors de son embauche en novembre 1993 puis novembre 1995, un règlement intérieur contenant les dispositions et un document relatif à l’utilisation des moyens informatiques, l’attestation non datée de Mme B., responsable des affaires médicales dont la date d’embauche, non datée non plus, n’est pas déterminée, ne mentionne pas le nom de M. N. ; que la Fondation ne produit pas l’attestation de reconnaissance de responsabilités que Mme B. dit être signée par le médecin recruté »578. B.
Sécurisation interne et cyber-surveillance des salariés
494. Le développement des menaces et des risques de fuites d’information, la multiplication des obligations de sécurité (à l’image de l’article 34 de la loi « Informatique et Libertés ») impliquent d’encadrer les usages négligents ou malveillants du système d’information que peuvent en faire les salariés et, plus généralement, toute personne intervenant sur le système d’information de la banque ou de la société d’assurance (stagiaires, prestataires de services, personnel en régie, etc.). Ces usages peuvent être source d’insécurité du SI et impacter, de ce fait, la sécurité des systèmes d’information de la banque et de l’assurance digitales. Or, avec les règles relatives au contrôle interne, les banques et les assurances sont particulièrement sensibles à la cyber-surveillance et la protection de leurs systèmes d’information. 1.
Fichiers et messages électroniques
495. À la suite de contrôles révélant des usages abusifs de la part d’un salarié (usage à des fins personnelles, usages illicites, concurrence déloyale, etc.), l’employeur sera susceptible de prononcer à son encontre des sanctions disciplinaires. Il peut s’agir de messages électroniques et dans ce cas on sera en présence d’un usage abusif de la messagerie professionnelle. S’il paraît difficilement réaliste d’empêcher toute utilisation d’Internet à des fins strictement personnelles par les salariés sur leur lieu de travail, avec l’outil informatique de l’entreprise, l’envoi de 156 messages personnels en 2 mois peut être constitutif d’un licenciement pour motif personnel à caractère disciplinaire579. 496. Dans une autre espèce, un salarié a été licencié pour faute grave en raison de l’envoi de 178 courriels à un autre salarié contenant des vidéos (dessins animés, scènes de sexe, d’humour, de politique et de football féminin) en contradiction avec le règlement intérieur qui interdisait les connexions sur l’Internet à des fins
578. CA Paris, 15 nov. 2011, n° 09/09398, Juris-Data n° 2011-02510, Com. com. électr. 2012, comm. 71, note É. A. Caprioli. 579. Cons. prud. Angers, 30 janv. 2009, G. c/ AGC Maine-et-Loire, n° 07-00427, Com. com. électr. 2009, comm. 51, note É. A. Caprioli.
de
la sécurité des systèmes d ’ information et de l ’ information
| 215
personnelles. Les faits avaient été constatés par un huissier qui avait procédé à l’ouverture de la messagerie de la collègue du salarié580. 497. Les messages et fichiers électroniques sont considérés comme étant présumés professionnels et, à ce titre, ils peuvent faire l’objet d’un contrôle sans restriction s’ils sont créés avec le matériel fourni par l’employeur sauf si le salarié les identifie comme étant privés. Lors d’une décision de 2006, la Cour de cassation a décidé que l’utilisation des outils informatiques au travail était présumée professionnelle : « attendu que les dossiers et fichiers créés par un salarié grâce à l’outil informatique mis à sa disposition par son employeur pour l’exécution de son travail sont présumés, sauf si le salarié les identifie comme étant personnels, avoir un caractère professionnel de sorte que l’employeur peut y avoir accès hors sa présence »581. Si le contenu relève effectivement de la vie privée du salarié, l’employeur ne peut l’utiliser pour le sanctionner582. Les contenus labélisés privés par l’utilisateur peuvent, quant à eux, être contrôlés « en cas de risque ou d’événement particulier » ou « en présence du salarié » ou celui-ci « dûment appelé » ; ces principes s’appliquent aussi bien au contrôle des fichiers qu’au contrôle des messages électroniques583, ainsi qu’à celui des « Short Message Service » (SMS). Si ces messages « courts » sont envoyés ou reçus sur le téléphone mis à sa disposition par l’employeur ils sont également présumés professionnels et ils peuvent être consultés en dehors de la présence du salarié, sauf s’ils sont identifiés comme étant personnels584. Une société de courtage d’instruments financiers avait débauché des salariés d’une société du même secteur. La Cour de cassation retient que les SMS envoyés ou reçus par le salarié « au moyen du téléphone mis à sa disposition par l’employeur pour les besoins de son travail sont présumés avoir un caractère professionnel, en sorte que l’employeur est en droit de les consulter en dehors de la présence de l’intéressé, sauf s’ils sont identifiés comme étant personnels ». Cette décision a été rendue après avis de la Chambre sociale de la Haute Cour. 2.
Navigation sur Internet
498. La question de la distinction « professionnelle » ou « privée » ne se pose pas, les connexions à l’Internet réalisées par un salarié sur son lieu de travail et pendant 580. Cass. soc., 18 déc. 2013, n° 12-17832, Com. com. électr. 2014, comm. 31, note É. A. Caprioli. 581. Cass. soc., 18 oct. 2006, n° 04-48.025, Bull. civ. V, n° 308, J.-E. Rey, « L’envers de l’arrêt Nikon », Sem. soc. Lamy, n° 1280, p. 10 ; Com. com. électr. 2007, comm. 15, note É. A. Caprioli ; Com. com. électr. 2007, comm. 61, note A. Lepage. 582. Cass. soc., 5 juill. 2011, n° 10-17.284, M. X c/ GAN Assurances : JCP éd. S 2011, 1501. 583. Pour les fichiers électroniques, v. Cass. soc., 17 mai 2005, n° 03-40.017, Philippe X. c/ Société Cathnet-Science, Bull. civ. V, n° 165 : Com. com. électr. 2005, comm. 121, obs. A. Lepage ; Dr soc. 2005, p. 789, note J.-E. Ray ; pour les messages électroniques, v. Cass. soc., 17 juin 2009, n° 08-40.274, FS-P + B, SA Sanofi chimie c/ X. et Y., Juris-Data n° 2009-048669 ; Com. com. électr. 2009, comm. 106, É. A. Caprioli ; JCP éd. S 2009, 1362, E. Jeansen ; JCP éd. G 2009, n° 39, 263, p. 22, S. Maillard. 584. Cass. soc., 29 oct. 2014, n° 13-18.173, Com. com. électr. 2015, comm. 8, note É. A. Caprioli et Cass. com., 10 févr. 2015, GFI Securities Ltd c/ Needge Group, décision disponible sur les sites : www.legifrance.fr et www.legalis.net
216 | B anque
et
a ssurance
digitales
ses heures de travail sont toutes présumées professionnelles, ce qui permet à l’employeur de les rechercher et de les identifier en l’absence du salarié585. La Cour d’appel d’Aix-en-Provence du 13 janvier 2015 (voir supra), contrairement au Conseil des prud’hommes, reconnaît la faute grave en se fondant sur le relevé de connexion produit par l’employeur. Elle retient que les connexions avaient eu lieu pendant le temps de travail mais également que durant la consultation, la salariée bloquait l’accès à son poste de travail et devenait injoignable. Elle ajoute que l’employeur avait payé de nombreuses heures supplémentaires sans contrepartie de travail effectif et que la salariée avait connaissance de la charte et du règlement intérieur dont les dispositions étaient affichées dans les locaux586. En outre, il convient de préciser que, même s’il existe une tolérance d’usage privé de l’Internet, le fait de se connecter de façon manifestement excessive, sur son lieu de travail et à des fins personnelles constitue un abus qui sera qualifié de faute grave. 499. En outre, il convient de préciser que, même s’il existe une tolérance d’usage privé de l’Internet, le fait de se connecter de façon manifestement excessive, sur son lieu de travail et à des fins personnelles constitue un abus qui sera qualifié de faute grave587. Un arrêt de la Cour de cassation nous donne un exemple où le salarié s’était connecté durant 41 heures sur un mois. Dans une autre affaire jugée le 26 février 2013588, la salariée s’était connectée à 10 000 sites en dix-sept jours. En revanche, « si l’employeur est en droit de rechercher sur l’outil informatique professionnel mis à disposition du salarié hors sa présence, les connexions que celui-ci a établies afin de les identifier, les dispositions précitées lui imposent d’avoir porté préalablement à la connaissance du salarié le dispositif du contrôle mis en place (…). Que contrairement à ce qu’elle soutient, la Fondation Hôpital Saint-Joseph ne rapporte pas la preuve d’avoir remis à M. N. lors de son embauche (…) un règlement intérieur contenant les dispositions et un document relatif à l’utilisation des moyens informatiques »589. 585. Cass. soc., 9 juill. 2008, n° 06-45.800, Com. com. électr. 2008, comm. 131, note É. A. Caprioli ; Cass. soc., 9 févr. 2010, n° 08-45.253 : Juris-Data n° 2010-051747, Com. com. électr. 2010, comm. 69, note É. A. Caprioli. 586. CA Aix-en-Provence, 17e ch., 13 janv. 2015, Catherine S. c/ AIS 2, disponible à l’adresse suivante : http://www.legalis.net/spip.php?page=jurisprudence-decision&id_article=4498 587. Cass. soc., 18 mars 2009, n° 07-44.247 : Juris-Data n° 2009-048024 ; Com. com. électr. 2009, comm. 50, note É. A. Caprioli. 588. Cass. soc., 26 févr. 2013, n° 11-27.372, Com. com. électr. 2013, comm. 84, note É. A. Caprioli : « attendu que la cour d’appel, qui a constaté que la salariée s’était connectée pendant son temps de travail à de très nombreuses reprises à de nombreux sites extraprofessionnels tels que des sites de voyage ou de tourisme, de comparaison de prix, de marques de prêt-à-porter, de sorties et événements régionaux ainsi qu’à des réseaux sociaux et à un site de magazine féminin et que ces connexions s’établissaient, exclusion faite de celles susceptibles de présenter un caractère professionnel, à plus de 10 000 sur la période du 15 au 28 décembre 2008 et du 8 janvier au 11 janvier 2009 a pu décider, malgré l’absence de définition précise du poste de la salariée, qu’une telle utilisation d’internet par celle-ci pendant son temps de travail présentait un caractère particulièrement abusif et constitutif d’une faute grave ». 589. CA Paris, 15 nov. 2011, n° 09/09398, Juris-Data : 2011-02510 ; Com. com. électr. 2012, comm. 71, note É. A. Caprioli.
de 3.
la sécurité des systèmes d ’ information et de l ’ information
| 217
Équipements personnels590
500. Cette pratique consiste à permettre aux salariés de l’entreprise d’utiliser leurs propres équipements (ordinateurs portables, smartphones ou téléphones mobiles, tablettes) à des fins professionnelles et spécialement dans et hors de l’entreprise, particulièrement pour accéder aux données de l’entreprise. Le BYOD donne à l’employeur la certitude que son salarié se trouve immédiatement dans un environnement familier. Dans la pratique des banques et des assurances, on constate néanmoins que peu de projets aboutissent étant donné le grand nombre de questions qu’il faut aborder : la sécurité en cas de vol ou de perte de l’appareil, l’effacement des données, l’hétérogénéité des systèmes, les aspects fiscaux (avantages en nature ou frais professionnels remboursables) et sociaux, assurances (qui assure le bien et pour quelle finalité ?), les licences d’utilisation des applications et de l’appareil, etc. Enfin, il est utile de rappeler que l’entreprise doit donner à ses salariés les moyens de réaliser leur mission et il ne faudrait pas que cela aboutisse à des discriminations. Ces difficultés expliquent pourquoi, le COPE a, pour l’instant, la préférence en France, mais l’usage est très variable selon le pays. Généralement, les équipements personnels font l’objet d’un encadrement dans la charte informatique ou dans un document spécifiquement dédié à leur usage. 501. Dans son arrêt du 23 mai 2012591, la Cour de cassation a donné une première illustration quant à la possibilité de contrôle d’un « dictaphone » personnel. Une attachée de direction avait caché son dictaphone pour procéder à des enregistrements, à l’insu de ses visiteurs, les conversations tenues dans son bureau. Le directeur de l’entreprise avec quatre témoins attestait des conditions de la découverte de l’équipement et des enregistrements effectués ; ces derniers ayant été écoutés en l’absence de la salariée. La cour d’appel avait admis la faute grave, « les constatations immédiates des salariés permettent d’exclure le risque de manipulation par la Direction de l’enregistrement de cet appareil, et rendent sans intérêt la production de cet engin aux débats ». Selon la Cour de cassation, une telle preuve doit être considérée comme déloyale puisque « d’une part (…) l’employeur ne pouvait procéder à l’écoute des enregistrements réalisés par la salariée sur son dictaphone personnel en son absence ou sans qu’elle ait été dûment appelée et, alors, d’autre part (…) les enregistrements ayant été détruits, la salariée avait été mise dans l’impossibilité d’apporter une preuve contraire aux attestations qu’il produisait ». La Chambre sociale de la Cour de cassation a jugé le 12 février 2013592 « qu’une clé USB, dès lors qu’elle est connectée à un outil informatique mis à la disposition du salarié par l’employeur pour l’exécution du contrat de travail, étant présumée utilisée à des fins professionnelles, l’employeur peut avoir accès aux fichiers non identifiés comme personnels qu’elle contient, hors la présence du salarié ». Dans cette affaire, une salariée avait été licenciée 590. F. Puybareau, « BYOD : une pratique à risque qui doit être particulièrement encadrée », Atout Risk manager – La revue de l’AMRAE, n° 6, oct. 2015, p. 52-53. 591. Cass. soc., 23 mai 2012, Com. com. électr. 2012, comm. 104, note É. A. Caprioli. 592. Cass. soc., 12 févr. 2013, Com. com. électr. 2013, comm. 62, note É. A. Caprioli, JCP éd. S 2013, 1217, note B. Bossu.
218 | B anque
et
a ssurance
digitales
pour avoir enregistré sur une clé USB personnelle des informations confidentielles de l’entreprise. 4.
Usage des réseaux sociaux
502. En matière d’utilisation des réseaux sociaux, le débat s’est déplacé de la distinction entre le caractère public ou privé des contenus publiés par les salariés, inaugurée par la jurisprudence du Conseil des prud’hommes de BoulogneBillancourt593, vers la fiabilité de la preuve et sa traçabilité. Par exemple, on citera le licenciement d’une salariée à la suite de propos publiés sur Facebook à l’encontre de son employeur. Il a été invalidé en l’absence de preuve du fait que les propos « ont excédé le domaine de la sphère privée » mais où les conditions dans lesquelles la société s’est procuré la capture d’écran attestant des faits permettaient de douter de sa fiabilité et donc du caractère public des propos594. 503. Dans une affaire portant sur le réseau Twitter, le caractère public de la conversation était caractérisé alors que les propos avaient été tenus dans des conditions ne permettant pas « d’identifier qu’ils émanaient de salariés du cabinet et qu’ils visaient des personnes identifiables » : les échanges s’opéraient sous des pseudonymes courts et ils concernaient des tiers désignés par des surnoms595. Que l’on traite des réseaux sociaux externes comme supra, ou internes, leurs règles d’usage doivent figurer a minima dans la charte ou dans un document ad hoc (charte d’utilisation des réseaux sociaux)596. En revanche, la Cour d’appel de Chambéry le 25 février 2016597 a décidé qu’un licenciement pour faute grave n’était pas fondé alors que le salarié avait envoyé des tweets de façon raisonnable pendant le temps de travail. En l’espèce, la Cour avait estimé le caractère raisonnable en considérant que les 1336 messages envoyés correspondaient à moins de 4 minutes par jour, tandis que pour les 90 derniers jours à moins de 3 minutes. Par ailleurs, elle a jugé : « compte tenu du fait que le salarié n’était soumis à aucun horaire ainsi que le prévoit expressément son contrat de travail, le fait d’avoir le cas échéant pu consacrer un temps aussi limité à l’envoi de tweets non professionnels, y compris à des horaires communément retenus comme travaillés ce qui n’est pas démontré, alors que le salarié était 593. Cons. prud. Boulogne-Billancourt, 19 nov. 2010, n° F 09/00343 : Juris-Data n° 2010-021303 ; RLDI déc. 2010, p. 66, n° 2177, obs. L. C. ; Semaine sociale Lamy 2010, n° 1470, note J.-E. Ray ; RLDI janv. 2011, p. 67, n° 2208, note J. Le Clainche ; RLDI janv. 2011, p. 67, n° 2209, R. Hardouin. V. égal. CA Versailles, 17e ch., 22 févr. 2012 : www.legalis.net 594. CA Versailles, 20 nov. 2013, n° 12/03396, Juris-Data n° 2013-028384, SAS All Dup c/ Mélanie Quette. 595. CA Versailles, 12 nov. 2013, n° 12/03153, SELARL d’avocats Conil Ropers Gourlain-Parenty Rogowski & Associés c/ Madame Gaudin. 596. Pour plus de précisions, v. É. A. Caprioli et A. Gurfinkiel, « Cybersurveillance des salariés et communications électroniques », in L’entreprise à l’épreuve du droit de l’Internet, Quid Novi ?, art. préc., v. p. 180-186. 597. CA Chambéry, 25 févr. 2016, Com. com. électr. 2016, comm. 66, note É. A. Caprioli. Cependant, dans la présente affaire, la cour d’appel a retenu que le changement de mot de passe sans information des utilisateurs potentiels justifiait un motif réel et sérieux de licenciement, mais pas une faute grave (sabotage informatique).
de
la sécurité des systèmes d ’ information et de l ’ information
| 219
au demeurant du fait de ses fonctions, connecté à Internet de manière quasi continue, ne peut être retenu comme fautif ». Dès lors, aucun manquement à son contrat de travail n’a pu être constaté. 5.
Les équipements téléphoniques
504. L’utilisation des équipements téléphoniques, qu’ils soient fixes ou mobiles, ont fait l’objet de règles spécifiques notamment de la part de la CNIL598. Les quatre derniers chiffres des numéros doivent être occultés sur les relevés justificatifs, sauf contestation par l’employé du remboursement qu’il doit faire auprès de son employeur pour les communications privées ou constat par l’employeur d’une utilisation « manifestement anormale au regard de l’utilisation moyenne constatée au sein de l’entreprise ». Ainsi, il a été jugé que ne constituait pas « un mode de preuve illicite la production par l’employeur des relevés de facturation téléphonique qui lui ont été adressés par la société France Télécom pour le règlement des communications correspondant au poste du salarié »599. En effet, la consultation de ces relevés émanant de l’opérateur de téléphonie ne peut être considérée comme un moyen « permettant un contrôle de l’activité des salariés » conformément à l’article L. 2323-32 du Code du travail600 dès lors que l’employeur se contente d’utiliser une technique extérieure à l’entreprise et dont la finalité n’est pas directement le contrôle des salariés601. Par ailleurs, les salariés protégés doivent disposer d’une ligne non soumise au contrôle. En outre, l’enregistrement des conversations est possible sous réserve que le contrôle ne soit pas continu, que le salarié ainsi que son interlocuteur en aient été informés. Il y aura atteinte à la vie privée si les enregistrements ont « par leur conception, leur objet et leur durée, nécessairement conduit leur auteur à pénétrer dans la vie privée des personnes écoutées »602. 505. Pour conclure, on retiendra qu’à défaut du respect des exigences légales et jurisprudentielles, le contrôle et la surveillance des salariés et donc les preuves collectées seront, en matière civile, illicites et non recevables (article 9 du Code de procédure civile et article 8 de la CEDH). La sanction prise à l’encontre du salarié sera invalidée. Mais ce n’est pas toujours le cas. À ce titre, on citera volontiers un arrêt récent de la Cour européenne des droits de l’Homme (CEDH) qui a jugé que le contrôle des messages électroniques professionnels par l’employeur ne contrevenait pas à l’article 8 de la Convention européenne des droits de l’Homme relatif au respect de la vie privée et familiale, du domicile et 598. CNIL, délib. n° 2005-019, 3 févr. 2005, JO 1er mars 2005 instituant la norme simplifiée n° 47. 599. Cass. soc., 11 mars 1998, RJS 1998, n° 415. V. dans le même sens, Cass. soc., 15 mai 2001, Bull. civ. V, n° 168, p. 132 : D. 2001, somm. p. 3015, obs. Th. Aubert-Monpeyssen ; JSL 2001, n° 81, p. 15, note L. Seguin. 600. C. trav., art. L. 2323-32, al. 3 : « Le comité d’entreprise est informé et consulté, préalablement à la décision de mise en œuvre dans l’entreprise, sur les moyens ou les techniques permettant un contrôle de l’activité des salariés ». 601. CA Paris, 21e ch. A, 2 févr. 2005, Farès G. c/ SA Transport Alsthom, Com. com. électr. 2005, comm. 106, note A. Lepage. 602. Cass. crim., 7 oct. 1997, n° 96-81.485, Bull. crim. n° 324, p. 1069.
220 | B anque
et
a ssurance
digitales
de la correspondance dès lors que les juridictions internes (de Roumanie) ont ménagé un juste équilibre entre le droit du salarié au respect de sa vie privée et de sa correspondance et les intérêts de son employeur603. En l’espèce, un ingénieur commercial avait été licencié pour avoir utilisé à des fins personnelles et pendant ses heures de travail, le compte de messagerie instantanée « Yahoo Messenger » de la société, en violation du règlement de cette dernière lequel interdisait l’usage des ressources informatiques à des fins personnelles.
SECTION II IDENTIFICATION ET AUTHENTIFICATION 506. Les sujets de l’identité604, de l’identification et de l’authentification, voire de la signature électronique constituent des données incontournables dans la vie sociale en général, mais ces notions prennent un relief particulier dans la banque et l’assurance digitales en raison de la spécificité de ces activités. De plus, des obligations relatives à la connaissance des clients, spécialement lors de l’entrée en relation, prises dans le cadre de la lutte anti-blanchiment et le financement du terrorisme pèsent sur les banques et les assurances en vertu des articles L. 561-1 et suivants du Code monétaire et financier605 (v. partie I, chapitre III, section I). 507. Selon la Commission des Nations unies pour le droit commercial international (CNUDCI) : « l’informatique et la technologie de l’information ont mis au point divers moyens pour relier l’information sous forme électronique à des personnes ou à des entités particulières, pour assurer l’intégrité de ces informations ou pour permettre à ces personnes de démontrer qu’elles ont le droit ou l’autorisation d’accéder à un certain service ou à une certaine source d’information. On parle parfois de façon générique, à propos de ces fonctions de méthodes d’authentification électronique ou de signature électronique »606. 508. L’identification est le préalable à toute authentification. Elle consiste à associer un identifiant à une personne ou à un objet607. Selon Gérard Cornu, lorsqu’on parle d’identité, « pour une personne physique : ce qui fait qu’une personne est elle-même et non une autre ; par extension, ce qui permet de la
603. CEDH, 12 janv. 2016, n° 61496/08, Barbulescu c/ Romania, Com. com. électr. 2016, comm. 37, note É. A. Caprioli. 604. L’identité, c’est « l’ensemble des composantes grâce auxquelles il est établi qu’une personne est bien celle qui se dit ou que l’on présume telle (nom, prénoms, nationalités, filiation…) », Lexique des termes juridiques, Dalloz, 2011, 18e éd., p. 419, V° Identité. 605. CMF, art. L. 561-1, L. 561-2, L. 561-3, L. 561-4, L. 561-5, L. 561-6, L. 561-7, L. 561-8, L. 561-9, L. 561-10, L. 561-11, L. 561-12, L. 561-13, L. 561-14. 606. CNUDCI, « Promouvoir la confiance dans le commerce électronique : questions juridiques relatives à l’utilisation internationale des méthodes d’authentification et de signature électronique », Vienne, 2009, disponible sur le site de la CNUDCI : www.uncitral.org 607. É. A. Caprioli, Signature électronique et dématérialisation, LexisNexis, 2014, v. n° 27 et s.
de
la sécurité des systèmes d ’ information et de l ’ information
| 221
reconnaître et de la distinguer des autres ; l’individualité de chacun, par extension, l’ensemble des caractères qui permettent de l’identifier».608 509. L’authentification609 est une notion à géométrie très variable selon le contexte d’utilisation. De facto, elle se situe au cœur de toutes les opérations dans la banque et l’assurance, que l’on se place à partir de l’accès du client à son espace personnel ou à la plateforme de service, jusqu’à la signature et l’archivage d’une convention. 510. Actuellement, l’authentification est le sésame du numérique et par voie de conséquence du digital. À cet égard, l’authentification constitue un des piliers de la sécurité des systèmes d’information et du numérique. En termes de sécurité, la suite des normes ISO 27001 fixe les méthodes et pratiques en matière de système de management de la sécurité de l’information et son chapitre XI sur la gestion des droits des utilisateurs et à leur authentification indique les mesures relatives au contrôle d’accès aux données, à la gestion des droits, des mots de passe, à la mobilité, etc. 511. On trouve encore des authentifications basées sur la saisie d’un identifiant et d’un mot de passe pour les opérations les plus simples, comme, par exemple, les paiements et retraits avec la carte bancaire ou certaines procédures d’accès à son compte de banque en ligne, mais l’authentification se durcit avec des méthodes de surauthentification. De la sorte, en fonction de la sensibilité de l’opération concernée, la pratique impose d’autres mesures de sécurité complémentaires comme dans le paiement par carte bancaire sur l’Internet. L’idée sous-jacente consiste à renforcer le processus de vérification de l’identité déclarée (ex. : 3D Secure ou PCI DSS ‒ Payment Card Industry Data Security Standard). On parle à ce sujet d’authentification forte. 512. Les méthodes d’identification et d’authentification sont transdisciplinaires et elles débordent largement les seuls domaines de la technique et de la sécurité. Outre les aspects ethnographiques, sociologiques, philosophiques610, ces deux notions s’inscrivent également dans la conformité et le juridique. Il est important de souligner que le fait d’accéder de façon sécurisée à sa Banque en ligne (BEL) ou à son espace sécurisé de son assurance sont des attentes fondamentales et légitimes de la part des clients. Étant donné que les risques de fraude se développent constamment, ils contribuent à augmenter le risque d’image de la
608. Vocabulaire juridique, PUF, coll. Quadrige, 2000, p. 431, V° Identité. 609. É. A. Caprioli, « De l’authentification à la signature électronique : quel cadre juridique pour la confiance dans les communications électroniques internationales ? », fév. 2011, Colloque de l’ONU sur le Commerce électronique, 14-16 févr. 2011, New York disponible sur le site : www. caprioli-avocats.com. V. égal. en version plus courte : « Gestion des identités numériques : quel cadre juridique pour la confiance dans les communications électroniques internationales ? », Revue de droit des technologies de l’information, n° 45/2011, p. 29 à 67. 610. A. Mucchielli, L’identité, PUF, coll. Que sais-je ?, 2009, 2e éd. J. Pousson-Petit (ss dir.), L’identité de la personne. Étude de droit français et de droit comparé, Bruylant, 2002.
222 | B anque
et
a ssurance
digitales
banque ou de l’assurance en cas d’atteinte aux données. De plus, la multiplication des menaces se propage sur l’ensemble de la planète ! § 1 – Principaux fondements relatifs à l’identification et l’authentification A.
Éléments de définitions
513. On peut définir l’identification comme « une opération permettant à un individu de faire état de son origine sur la base d’un élément externe, d’exprimer son identité. Elle peut être réalisée par le biais de tout document pouvant attester de l’origine d’une personne (extrait de naissance, carte d’identité, permis de conduire, passeport, carte de séjour) »611. L’authentification correspond à une pratique essentielle de la sécurité des systèmes d’information. Elle renvoie également à un impératif juridique fort dès lors qu’en termes de responsabilité, il faut être en mesure d’imputer à un individu déterminé un acte ou un fait juridique. En d’autres termes, dans le numérique, les personnes doivent rendre compte de leurs actes comme dans le monde physique. Cela se vérifie chaque jour davantage dans le cadre des services de banque, de Bourse ou d’assurance en ligne où l’authentification se renforce en permanence pour faire face aux menaces. En effet, la vérification de l’identité et des droits du client constitue un préalable incontournable. Pourtant, le droit n’a commencé à véritablement envisager l’authentification qu’à l’occasion du développement des transactions par carte bancaire et pour reconnaître l’entrée du code PIN en guise de signature informatique612. 1.
Sources françaises
514. Le référentiel général de sécurité ou RGS (V.2.0) pose la définition de ce qu’il faut entendre par le terme authentification613 : « L’authentification a pour but de vérifier l’identité dont se réclame une personne ou une machine. La mise en œuvre par une autorité administrative des fonctions de sécurité “Authentification” ou “Authentification serveur” peut se faire selon trois niveaux de sécurité aux exigences croissantes : (*), (**) et (***) 614».
611. É. A. Caprioli, Signature électronique et dématérialisation, LexisNexis, 2014, v. n° 30. 612. Cass. civ. 1re, 8 nov. 1989, n° 86-16197, Bull. civ. 1989, I, n° 342 ; D. 1990, p. 369, note C. Gavalda ; Cass. com., 8 oct. 1991, n° 89-12.230, Juris-Data n° 1991-003746 (cassation) : « alors qu’il ne résulte pas du jugement qu’une présomption de faute ait été invoquée, et qu’en cet état du litige, il appartenait à la banque, laquelle prétendait que Mlle D. avait commis l’imprudence de ne pas tenir son code secret, de démontrer la violation, par la titulaire de la carte, de cette obligation contractuelle de moyens, le tribunal a violé les textes susvisés » ; TI Sète, 9 mai 1984, Juris-Data n° 1984-600490, D. 1985, II, p. 359, note A. Bénabent. 613. Le RGS V.2.0 est entré en vigueur le 1er juillet 2014. V. l’arrêté du 13 juin 2014 portant approbation du référentiel général de sécurité et précisant les modalités de mise en œuvre de la procédure de validation des certificats électroniques, JO 24 juin 2014, p. 10361. 614. RGS V.2.0, v. p. 9.
de
la sécurité des systèmes d ’ information et de l ’ information
| 223
515. Selon le glossaire de l’ANSSI « l’authentification a pour but de vérifier l’identité dont une entité se réclame. Généralement l’authentification est précédée d’une identification qui permet à cette entité de se faire reconnaître du système par un élément dont on l’a doté. En résumé, s’identifier c’est communiquer son identité, s’authentifier c’est apporter la preuve de son identité ». 615 516. En matière bancaire, la Banque de France souhaitant hausser le niveau de sécurisation des activités de banque en ligne, un groupe d’expertise FBF-BDF a recommandé en mars 2009616 des mesures applicables à l’authentification et à la sécurité des paiements sur l’Internet. La principale recommandation consiste en l’usage d’un mot de passe aléatoire pour l’authentification lors de virements sur l’Internet ou d’autres opérations considérées comme sensibles et de nature très variable : commandes de moyens de paiement, services de mise à jour de toute donnée client permettant une prise de contrôle, même partielle, du compte ‒ changement d’adresse courrier, etc. ‒ ou des données pouvant être utilisées par la banque pour authentifier son client ‒ selon les cas : numéro de portable, adresse e-mail, etc. ‒ services de coffre-fort électronique. L’objectif consiste à garantir un niveau de sécurité à l’aide d’une solution dynamique non rejouable (ex. : OTP SMS ‒ OneTime Password Short Message Service). 2.
Sources de l’Union européenne
517. Aux termes de son article 1er, le règlement eIDAS « fixe les conditions dans lesquelles un État membre reconnaît les moyens d’identification électronique des personnes physiques et morales qui relèvent d’un schéma d’identification électronique notifié d’un autre État membre, (…) »617. a.
Identification électronique
518. Elle est définie dans le règlement comme « le processus consistant à utiliser des données d’identification personnelle sous une forme électronique représentant de manière univoque une personne physique ou morale, ou une personne physique représentant une personne morale » (article 3-1 du règlement eIDAS)618. Le règlement eIDAS n’impose pas aux États membres de mettre en place une gestion sécurisée des identités numériques. En revanche, il organise
615. Glossaire de l’ANSSI : http://www.ssi.gouv.fr/entreprise/glossaire/ Cette définition a été prise suite à l’arrêté du 6 mai 2010 portant approbation du référentiel général de sécurité (V.1) et précisant les modalités de mise en œuvre de la procédure de validation des certificats électroniques, JO 18 mai 2010, p. 9152. 616. Rapport FBF-BDF du 2 mars 2009 sur l’authentification et la sécurité des paiements sur l’Internet. 617. Règlement n° 910/2014/UE du Parlement européen du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive n° 1999/93/CE, JOUE 28 août 2014. 618. Le règlement eIDAS définit également les termes suivants : « moyens d’identification électronique » (art. 3-2) ; « données d’identification électronique » (art. 3-3) ; « schéma d’identification électronique » (art. 3-4).
224 | B anque
et
a ssurance
digitales
les modalités de la reconnaissance mutuelle et de l’interopérabilité dans l’Union européenne des identités (régaliennes) notifiées par les États membres à la Commission et publiées au Journal officiel de l’Union européenne, sans pour autant régir les systèmes d’identification (identité numérique) relevant du pouvoir souverain de chaque État membre. Cela ne concerne pas les identités numériques délivrées dans un cadre privé (ex. : codes, identifiants, certificats électroniques, etc.) utilisées par les banques et les sociétés d’assurances. Ainsi, les systèmes d’identification électronique entre personnes de droit privé, par exemple entre une banque ou une société d’assurance et ses clients, étaient a priori exclus du champ d’application du règlement619. Toutefois, les systèmes d’identification électronique régaliens serviront de modèle ou de base (ex. : « France Connect ») aux systèmes privés (v. partie II, chapitre I, section I). Sont ainsi visées les pièces d’identité que l’on définira comme des « document[s] écrit[s] (généralement une carte) qui énonce[nt] et atteste[nt] l’identité civile d’une personne physique »620. 519. Trois niveaux d’identité numériques sont prévus par le règlement : faible, substantiel et élevé. Seuls les deux derniers niveaux peuvent être notifiés à la Commission621.
619. É. A. Caprioli, F. Mattatia, S. Vulliet-Tavernier, « Table ronde : L’identité numérique », Cah. dr. entr. n° 3, mai 2011. De facto, cela exclut également les « identifications » à la façon de Twitter, Facebook ou Google et qui servent à faciliter l’inscription de « leurs » membres sur d’autres sites Web. V. en ce sens, É. A. Caprioli, P. Agosti, « La régulation du marché européen de la confiance numérique : enjeux et perspectives de la proposition de règlement européen sur l’identification électronique et les services de confiance », Com. com. électr. 2013, étude 3. 620. G. Cornu (ss dir.), Vocabulaire juridique, PUF, 2003, V° Pièce d’identité. 621. En France, dans le cadre du programme France Connect, nous disposons de trois systèmes de niveaux faibles.
- Identité connue d’une source faisant autorité et présomption qu’il s’agit bien de la personne.
- Élément d’identification présumé authentique ou présumé existant.
- Présomption de possession d’un élément d’identification reconnu.
Faible
- Moyen d’identification valide notifié ou confirmé par un organisme d’évaluation.
- Procédures présentant des garanties équivalentes confirmées par un organisme d’évaluation.
- Pièce d’identité + mesures pour minimiser les risques.
- Élément d’identification + vérification d’authenticité + mesures pour minimiser les risques.
Substantiel
- Moyen d’identification valide notifié ou confirmé par un organisme d’évaluation + mesures pour prouver la validité des procédures antérieures.
- Procédures présentant des garanties équivalentes confirmées par un organisme d’évaluation + mesures pour prouver la validité des procédures antérieures.
- Élément d’identification biométrique ou photographique vérifié reconnu + vérification d’identité sur caractéristiques physique auprès d’une autorité.
Élevé
de la sécurité des systèmes d ’ information et de l ’ information
| 225
226 | B anque
et
a ssurance
digitales
520. L’article 6 fixe plusieurs conditions impératives : « a) la délivrance de ce moyen d’identification électronique relève d’un schéma d’identification électronique qui figure sur la liste publiée par la Commission en application de l’article 9 ; b) le niveau de garantie de ce moyen d’identification électronique correspond à un niveau de garantie égal ou supérieur à celui requis par l’organisme du secteur public concerné pour accéder à ce service en ligne dans le premier État membre, à condition que le niveau de garantie de ce moyen d’identification électronique corresponde au niveau de garantie substantiel ou élevé ; c) l’organisme du secteur public concerné utilise le niveau de garantie substantiel ou élevé pour ce qui concerne l’accès à ce service en ligne ». 521. Parmi les pays qui ont déjà anticipé le concept d’identité numérique régalien en mettant en place des solutions opérationnelles comme une carte nationale d’identité, on peut citer notamment l’Estonie, la Belgique, l’Italie, l’Espagne, l’Allemagne et l’Autriche. b.
Authentification
522. S’agissant de l’authentification, on trouve sa première véritable définition dans le règlement communautaire n° 460/2004 du 10 mars 2004622 instituant l’Agence européenne chargée de la sécurité des réseaux et de l’information (ENISA)623. Son article 4-e) définissait l’authentification comme « la confirmation de l’identité prétendue d’entités ou d’utilisateurs ». 523. Par ailleurs, le règlement européen sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur (dit règlement « eIDAS »)624 précise à l’article 3-5 ce qu’il convient d’entendre par le terme « authentification », « un processus électronique qui permet de confirmer l’identification électronique d’une personne physique ou morale, ou l’origine et l’intégrité d’une donnée sous forme électronique ». Le 622. JOCE n° L. 77, 13 mars 2004, p. 1. Ce règlement est désormais abrogé. 623. Règlement n° 526/2013/UE du Parlement européen et du Conseil du 21 mai 2013 concernant l’Agence européenne chargée de la sécurité des réseaux et de l’information (ENISA) et abrogeant le règlement n° 460/2004/CE, JOUE n° L. 165, 18 juin 2013, p. 41. 624. Règlement n° 910/2014/UE du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive n° 1999/93/CE, JOUE n° L. 257, 28 août 2014 : http://eur-lex.europa.eu/legalcontent/FR/TXT/?uri=CELEX%3A32014R0910. V. É. A. Caprioli, P. Agosti, « La régulation du marché européen de la confiance numérique : enjeux et perspectives de la proposition de règlement européen sur l’identification électronique et les services de confiance », Com. com. électr. 2013, étude 3. Th. Piette Coudol, « Une législation européenne pour la signature électronique », RLDI juill. 2012, n° 2838 ; P. Agosti, « Commerce électronique, la confiance électronique, entre droit et technique », Expertises, déc. 2014, p. 416 ; D. Gobert, « Le règlement européen du 23 juillet 2014 sur l’identification électronique et les services de confiance (eIDAS) : analyse approfondie » : www.caprioli-avocats.com
de
la sécurité des systèmes d ’ information et de l ’ information
| 227
libellé retenu dépasse la simple authentification que l’on utilise généralement pour vérifier ou valider l’identification électronique lors de l’accès du client à son compte de banque ou d’assurance en ligne ou à son espace sécurisé. L’authentification est, en effet, étendue aux fonctions de vérification de l’origine et de l’intégrité d’une donnée électronique. On observera que cela correspond aux fonctions que l’on retrouve dans les procédés de signature et de cachet électroniques. De tels procédés ont une importance fondamentale pour sécuriser les services de banque et d’assurance en ligne, ainsi que pour la conclusion de tout contrat bancaire et d’assurance par voie électronique que l’on se trouve en présence physique ou à distance. Le règlement d’exécution n° 2015/1502 du 8 septembre 2015625 pris en application du règlement eIDAS retient que l’utilisation de plusieurs facteurs d’authentification relevant de catégories différentes renforce la sécurité du processus d’authentification. Le règlement distingue ainsi plusieurs facteurs d’authentification (la possession, la connaissance et l’inhérent). 524. L’article 3-38 du règlement définit un « certificat d’authentification de site Internet », comme « une attestation qui permet d’authentifier un site Internet et associe celui-ci à la personne physique ou morale à laquelle le certificat ». Lorsqu’il est qualifié, il est délivré « par un prestataire de services de confiance qualifié » et il « satisfait aux exigences fixées à l’annexe IV » (article 3-39). L’utilisation d’un certificat qualifié suppose qu’il est interopérable et qu’il apporte un important bénéfice puisqu’il entraîne sa reconnaissance juridique et son acceptation dans tous les États membres de l’UE. Ainsi, dès lors que l’on se connecte à un service bancaire ou d’assurance, la véritable identité du propriétaire du site Web (Assurance ou Banque) peut être vérifiée par le client grâce l’installation d’un certificat de serveur sur le site. Cela permet, entre autres, de sécuriser les clients et d’éviter les risques de fraudes et d’usurpation d’identité, comme par exemple avec les techniques d’hameçonnage626. 525. Tout récemment, c’est la directive concernant les services de paiement dans le marché intérieur (dite « DSP 2 »)627 qui a apporté une nouvelle définition : « une procédure permettant au prestataire de services de paiement de vérifier l’identité d’un utilisateur de services de paiement ou la validité de l’utilisation d’un instrument de paiement spécifique, y compris l’utilisation des données de sécurité personnalisées de l’utilisateur » (article 4-29). Ce texte affirme surtout 625. Règlement d’exécution n° 2015/1502/UE de la Commission du 8 septembre 2015 fixant les spécifications techniques et procédures minimales relatives aux niveaux de garantie des moyens d’identification électronique visés à l’art. 8, paragraphe 3, du règlement (UE) n° 910/2014 du Parlement européen et du Conseil sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur, JOUE n° L 235, 9 sept. 2015, p. 7, http://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A32015R1502. 626. V. infra partie I, chapitre IV, section III - § 2. A. 627. Directive n° 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015 concernant les services de paiement dans le marché intérieur, modifiant les directives n° 2002/65/CE, n° 2009/110/CE et n° 2013/36/UE et le règlement n° 1093/2010/UE, et abrogeant la directive n° 2007/64/CE, JOUE n° L. 337, 23 déc. 2015 : http://data.europa.eu/eli/dir/2015/2366/oj/fra/ pdfa1a. V. le numéro spécial de la revue Banque & Droit, hors-série, juill.-août 2016.
228 | B anque
et
a ssurance
digitales
l’importance de l’authentification forte qu’il définit à l’article 4-30 comme suit : « l’authentification reposant sur l’utilisation de deux éléments ou plus appartenant aux catégories connaissance (quelque chose que seul l’utilisateur connaît), possession (quelque chose que seul l’utilisateur possède) et inhérence (quelque chose que l’utilisateur est) et indépendants en ce sens que la compromission de l’un ne remet pas en question la fiabilité des autres, et qui est conçue de manière à protéger la confidentialité des données d’authentification ». 526. Ces définitions nous permettent de distinguer clairement l’identification et l’authentification. En effet, si l’identification consiste en une opération qui permet à un individu d’exprimer son identité sur la base d’un élément externe : tout document qui atteste de l’origine d’une personne (ex. : extrait de naissance, carte d’identité, permis de conduire, passeport, carte de séjour), mais également sur la base du témoignage de tiers. Lorsque l’on s’identifie, on communique une identité préalablement enregistrée de la personne, elle a un caractère permanent et fondamental. Au contraire, lorsque l’on s’authentifie, on vérifie l’exactitude de cette identité ou des identifiants saisis, ce qui permet d’en apporter la preuve. 527. De facto, l’analyse des textes nous conduit à constater qu’il n’y a pas de véritable encadrement juridique par les textes en vigueur. Ces derniers définissent le procédé, sans traiter des questions de validité et d’effets juridiques. En pratique, l’authentification sera le plus souvent encadrée par le biais de dispositions contractuelles, spécialement dans les conditions générales d’utilisation des services qui contiennent une convention sur la preuve (v. partie I, chapitre V). On citera par exemple le cas des contrats de cartes bancaires qui régissent et l’authentification et la « signature » du titulaire628. B.
Des bonnes pratiques relatives à l’authentification
528. Les différentes sources normatives permettent la distinction en deux méthodes d’authentification : d’une part, l’authentification simple ou à un facteur c’est-à-dire où l’utilisateur se contente de saisir les informations qu’il connaît (ex. : login/mot de passe) par un seul canal et, d’autre part, l’authentification forte qui oblige à combiner deux canaux distincts : l’un par le canal de l’Internet, l’autre par le biais du téléphone portable (ex. : OTP/SMS) ou via un envoi par La Poste (ex. : remise d’un code au moyen d’une lettre recommandée). Néanmoins, les évolutions des menaces conduisent à nuancer cette distinction. On peut, en effet, penser que l’authentification forte devrait plutôt être qualifiée d’authentification renforcée et non d’authentification forte. 529. Par ailleurs, il existe d’autres techniques d’authentification forte comme les certificats d’identité électroniques ou les techniques biométriques qui peuvent 628. Cass. civ. 1re, 8 nov. 1989, n° 86-16.196, Sté Crédicas c/ Cassan : Bull. civ. I, 1989, n° 342 ; D. 1990, p. 369, note C. Gavalda ; RTD civ. 1990, p. 80, obs. Jacques Mestre ; RTD com. 1990, p. 78, obs. M. Cabrillac et B. Teyssié ; JCP éd G, 1990, II, 21576, note Georges Virassamy. V. égal. CA Montpellier, 1re ch., sect. D, 9 avr. 1987, JCP éd. G, 1988, II, 20 984, obs. M. Boizard.
de
la sécurité des systèmes d ’ information et de l ’ information
| 229
être utilisées pour certains produits dans les activités de banque et d’assurance digitale. Lorsqu’il est question d’authentification forte, il est important de combiner plusieurs facteurs de nature différente afin de complexifier la tâche d’un éventuel pirate. Dans la sécurité, l’authentification repose sur une des trois catégories suivantes : • facteur d’authentification basé sur la connaissance : c’est-à-dire quelque chose que seul l’utilisateur connaît, par exemple : mot de passe, code, Numéro d’identification personnel (NIP), phrase secrète, challenge questionsréponses, etc. • facteur d’authentification basé sur la possession : à savoir quelque chose que seul l’utilisateur possède, par exemple : jeton, carte à puce, téléphone mobile, clé USB, tablette, « Token » (jeton d’authentification), etc. • facteur d’authentification inhérent : cela correspond à quelque chose que l’utilisateur est, une propriété inhérente à sa personne comme par exemple une caractéristique biométrique : empreinte digitale, iris, rétine, forme de la main, du visage ou de l’oreille, ou d’autres éléments biométriques comme la voix, la démarche ou la signature dynamique ou la dynamique de frappe (comportement). Ce triptyque est classique dans la sécurité de l’information, ces catégories sont des facteurs d’authentification629. 530. D’autre part, il existe ce que l’on appelle l’« authentification dynamique » qui est un « processus utilisant la cryptographie ou d’autres techniques pour fournir un moyen permettant de créer sur demande une preuve électronique attestant que le sujet contrôle ou possède les données d’identification et qui change avec chaque authentification entre le sujet et le système vérifiant l’identité du sujet »630. En l’occurrence, du fait des changements, l’authentification sera considérée comme rejouable ou non rejouable et donc spécifiquement dédiée à une opération donnée (ex. : accès à l’espace client, signature d’une transaction, acceptation des CGU ou CGV, etc.). Pour que le code ne soit pas rejouable, en général les systèmes utilisent des mots de passe à usage unique (« One Time Password », « OTP »), qu’ils génèrent de manière aléatoire ; ils sont transmis à l’utilisateur par SMS sur un téléphone portable ou un smartphone ou dans le cadre d’un processus de reconnaissance vocale. 531. En termes de bonnes pratiques, utiliser une solution d’authentification non rejouable afin de réaliser des virements bancaires en ligne ou réaliser 629. V. le règlement d’exécution n° 2015/1502/UE de la Commission du 8 septembre 2015 fixant les spécifications techniques et procédures minimales relatives aux niveaux de garantie des moyens d’identification électronique visés à l’article 8, § 3, du règlement n° 910/2014/UE du Parlement européen et du Conseil sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur, JOUE n° L. 235, 9 sept. 2015, p. 7, v. dans l’annexe, les définitions applicables le 1-2 : les « facteurs d’authentification basés sur la possession, sur la connaissance » et le « facteur d’authentification inhérent ». 630. V. la définition au 1-3 du JOUE n° L. 235, 9 sept. 2015, p. 7, préc.
230 | B anque
et
a ssurance
digitales
des opérations importantes correspond à une recommandation de la Banque de France depuis 2009631. Dans cette perspective, une recommandation de la Banque centrale européenne (BCE) est intervenue en matière de sécurité des paiements en ligne en janvier 2013632. Ainsi, un prestataire de services de paiement utilise des procédés d’authentification « faible », ou qui n’authentifie pas les ordonnateurs de paiement ne sera pas en mesure de prouver l’autorisation de la transaction par le client. Influencée par la Banque centrale européenne, la sécurité des opérations de paiement sur l’Internet évolue progressivement, en se fondant sur une approche d’analyse de risques et sur des authentifications non rejouables633. 532. D’ailleurs, inscrite dans le prolongement de ces recommandations nationales et européennes, l’authentification forte du client a été consacrée avec la directive « DSP 2 » comme « une authentification reposant sur l’utilisation de deux éléments ou plus appartenant aux catégories connaissance (quelque chose que seul l’utilisateur connaît), possession (quelque chose que seul l’utilisateur possède) et inhérence (quelque chose que l’utilisateur est) et indépendants en ce sens que la compromission de l’un ne remet pas en question la fiabilité des autres, et qui est conçue de manière à protéger la confidentialité des données d’authentification » (article 4-30). La DSP 2 prévoit que l’authentification forte soit considérée comme un prérequis de sécurité pour un certain nombre d’opérations : l’accès au compte de paiement en ligne, les opérations de paiements électroniques ou encore l’exécution d’actions à distance susceptibles de comporter un risque de fraude (article 97). Une telle définition contribue à la sécurité des paiements sur l’Internet. Ces bonnes pratiques, qui prennent forme dans ces recommandations applicables aux paiements peuvent également s’appliquer aux opérations de banque et d’assurance en ligne qui présentent des risques importants (ex. : contrat d’assurance-vie). En l’absence d’authentification forte, le payeur ne supportera aucune perte financière, sauf s’il a agi frauduleusement. De même, lorsque la banque ou Prestataire de services de paiement (PSP) n’exige pas une authentification forte de son client, il devra rembourser le préjudice financier causé à la banque du payeur car il engage sa responsabilité (article 74). De façon générale, le prestataire qui ne prévoit pas une authentification forte du client pourra voir sa responsabilité engagée. L’identification du client est également obligatoire pour la signature des contrats bancaires ou d’assurances (cf. partie II, chapitre IV).
631. Rapport FBF-BDF du 2 mars 2009 sur l’authentification et la sécurité des paiements sur l’Internet, préc. 632. Texte de la recommandation en anglais : http://www.ecb.europa.eu/pub/pdf/other/ recommendationssecurityinternetpaymentsoutcomeofpcfinalversionafterpc201301en.pdf 633. G. Goffinet, Banque & Stratégie, n° 313.
de C.
la sécurité des systèmes d ’ information et de l ’ information
| 231
Éclairages de la jurisprudence
533. Les décisions relatives à l’authentification étaient, jusqu’à il y a peu de temps encore, relativement rares. Depuis la jurisprudence Crédicas634, elles commencent à se développer dans d’autres domaines que celui des cartes bancaires. À l’analyse, ces décisions sanctionnent une mesure de sécurité informatique défaillante ou parfois un manquement à une obligation d’information. 1.
Manquement à l’obligation de sécurité
534. En France, la Cour d’appel de Versailles le 18 novembre 2010 a jugé une question de sécurité connexe pour engager la responsabilité d’une banque, concernant l’utilisation frauduleuse d’un mot de passe par un conjoint indélicat, en instance de divorce, pour accéder à un compte d’épargne entreprise. La sécurité du processus n’était pas suffisamment forte, ni conforme à l’état de l’art. Or, la banque avait procédé à la modification de son système de sécurisation des comptes, en distinguant l’émission du mot de passe et sa communication par courrier séparé de celui portant le code identifiant. Cela démontrait, selon la Cour d’appel, que la banque « avait bien conscience de ce que dans une première période de gestion en ligne des comptes individuels de ses clients, elle ne remplissait pas totalement son obligation de sécurité et donc de sécurisation des opérations de gestion informatique de ces comptes »635. 2.
Authentification à facteur unique jugée trop faible
535. Aux États-Unis, dans une décision du Tribunal de l’Illinois (affaire Shames Yeakel vs. Citizen Financial Bank) du 21 août 2009 (case 07 C 5387), les juges ont accueilli favorablement la plainte d’une victime d’une cyber-attaque sur son compte bancaire en ligne, déposée contre l’établissement bancaire. La victime invoquait la négligence de la banque quant à la sécurisation de son système d’accès aux comptes en ligne. Elle se fondait sur un rapport du Conseil fédéral d’examen des institutions financières (FFIEC). Le jugement remettait en cause l’authentification à facteur unique pour protéger l’accès aux comptes bancaires en ligne636.
634. Cass. civ. 1re, 8 nov. 1989, n° 86-16.196, Sté Crédicas c/ Cassan : Bull. civ. I, 1989, n° 342, p. 230 ; D. 1990, p. 369, note C. Gavalda. Ainsi, selon la Cour dans cet arrêt de principe : « la société Crédicas invoquait l’existence, dans le contrat, d’une clause déterminant le procédé de preuve de l’ordre de paiement et que, pour les droits dont les parties ont la libre disposition, ces conventions relatives à la preuve sont licites… ». 635. CA Versailles, 16e ch., 18 nov. 2010, n° 09/06634, Marie-Paule C. épse A. c/ SA Natixis Interépargne : Com. com. électr. 2011, comm. 94, note É. A. Caprioli. 636. « Première décision américaine concernant l’authentification par voie électronique d’un client bancaire », Com. com. électr. 2010, comm. 41, note É. A. Caprioli.
232 | B anque
3.
et
a ssurance
digitales
Sur-authentification par SMS
536. Une personne a déposé des fonds sur son compte. La convention de compte précisait les modalités de réalisation des virements : saisine des codes personnels et des codes d’authentifications transmis par SMS. De plus, la demande de modification du numéro de téléphone du client abonné au service en ligne (pour les envois de SMS sur un téléphone mobile identifié en vue de l’authentification) a été effectuée via l’envoi après remplissage et signature du formulaire téléchargé figurant sur le site de la banque et validation de la banque après vérification de la signature. Trois virements ont été réalisés. Le client invoquait une contrefaçon de sa signature. La Cour d’appel de Montpellier a considéré, le 5 juillet 2016637, que « la prétendue contrefaçon de la signature invoquée par l’appelant n’était pas perceptible à l’examen d’un employé de banque normalement diligent ». De la sorte, « les virements des 10 mai, 14 et 18 mai 2012 ont été opérés selon les modalités fixées par la convention avec la Banque et ont nécessité la saisine des codes personnels d’accès (numéro d’abonné, mot de passe et lettres du mot secret) mais également des codes d’authentification transmis par SMS. Les éléments d’identification figurant sur le relevé d’identité bancaire du compte bénéficiaire des virements ont aussi été fournis, étant observé qu’il s’agissait d’un comptejoint ouvert par M. P. et un tiers dans les livres du Crédit Agricole. Le montant des virements était bien inférieur au solde inscrit au crédit du compte de M. P. ». Par conséquent, la Cour en déduit que : « au regard de tous ces éléments, il apparaît que les ordres de virement ont été correctement authentifiés et exécutés par la banque qui n’a commis aucun manquement dans le cadre de la sécurisation de l’instrument de paiement en ligne ». 537. Dans un arrêt de la Cour d’appel d’Aix-en-Provence, en date du 12 novembre 2015638, la cliente d’un service de paiement avait communiqué un code confidentiel reçu par SMS à une personne se faisant passer pour un salarié de sa banque soi-disant pour assainir une opération litigieuse. En réalité, ce code a servi à valider un virement au profit d’un tiers. Elle fut par la suite débitée d’un montant de 2 970 euros et la banque a refusé de la rembourser. Après avoir été déboutée en première instance, selon la Cour, l’opération relève de l’article L. 133-23 du Code monétaire et financier. Ainsi, « ce simple envoi de code SMS dans les conditions de sollicitation décrites par l’appelante, qui correspondent à des procédés frauduleux tellement usuels que la BANQUE a émis à ce propos une lettre circulaire de mise en garde, ne démontre ni l’autorisation effective de sa part, qui suppose une compréhension dénuée d’ambiguïté, ni une authentification valable, alors que cet envoi n’aurait certainement pas suffi à permettre le retrait si le tiers malveillant n’avait eu dans le même temps accès aux données personnelles de Mme Christelle G., données confidentielles dont la BANQUE ne prouve en aucune façon une divulgation imputable à Mme G. L’opération étant une opération non autorisée, rend applicable les dispositions
637. Cour d’appel de Montpellier, ch. 2, 5 juill. 2016, n° 14/09254, Juris-Data n° 2016-016012. 638. CA Aix-en-Provence, ch. 11 B, 12 nov. 2015, n° 2015/587, Juris-Data n° 2015-027460.
de
la sécurité des systèmes d ’ information et de l ’ information
| 233
de l’article L. 133-18 du Code monétaire et financier et impose au prestataire de services le remboursement immédiat du montant de l’opération non autorisée ». 4.
3D Secure et l’obligation d’information
538. Dans un arrêt de la Cour d’appel d’Aix-en-Provence du 18 février 2015639, une entreprise de vente de matériel médical avait souscrit un contrat relatif à une solution de paiement en ligne sécurisé. En 2008, la solution a été modifiée ainsi que le contrat pour intégrer un système d’authentification supplémentaire, « 3D Secure », recommandé par la Banque de France. Rappelons en cet endroit que le système 3D Secure est un protocole de communication. Il consiste à s’assurer de l’authentification du titulaire de la carte, lors de chaque paiement en ligne. Le système repose, d’une part, sur la classique fourniture d’informations : numéro de carte bancaire, date d’expiration de la carte et les trois chiffres du code de sécurité (imprimés au dos de la carte) et, d’autre part, l’internaute doit saisir un mot de passe, tel que sa date de naissance ou un code dynamique à usage unique (One time password/OTP généré de façon aléatoire)640. 539. Or, selon la cliente de la banque, la mise en œuvre de ce nouveau système conduisait certains clients qui ne connaissaient pas le système à abandonner la commande. Il est vrai qu’en termes marketing, le parcours client doit être le plus fluide et ergonomique possible et il ne faut pas ralentir le processus d’achat. La société a donc introduit une action pour obtenir réparation de ses différents préjudices (perte de ventes, temps passé pour identifier le problème, frais d’installation du nouveau système, etc.). La Cour a jugé que manquait à son obligation d’information la banque qui n’avertit pas son client, selon les formes prévues par le contrat, du déploiement du système « 3D Secure » sur la plateforme qu’elle met à disposition du client pour son activité de e-commerce. 540. Suivant le jugement du Tribunal de commerce d’Aix-en-Provence du 23 juillet 2012, la cour d’appel a retenu le manquement contractuel car la banque n’avait pas rapporté de preuve pouvant justifier l’accomplissement de son obligation de notification auprès de la société dans les délais prévus pour l’entrée en vigueur du nouveau système sécurisé. La lettre circulaire auprès de ses clients était considérée comme insuffisante en l’état. On retiendra également que le respect des exigences prudentielles n’exonère pas la banque du respect de ses engagements contractuels. 541. Dans une autre affaire jugée par la Cour d’appel de Paris le 18 mars 2016641, une société de télécommunications avait ouvert un compte auprès d’une banque 639. CA Aix-en-Provence, 8e ch. C, 19 févr. 2016, n° 2015/111, Juris-Data n° 2015-018613, Com. com. électr. 2016, comm. 9, note É. A. Caprioli. 640. L’OTP/SMS consiste en un mot de passe à usage unique qui est reçu par SMS et qui est utilisé comme moyen d’authentification renforcée. Sa valeur est désormais remise en cause aux États-Unis en termes de sécurité. 641. CA Paris, Pôle 5, ch. 6, n° 14/17382, 18 mars 2016.
234 | B anque
et
a ssurance
digitales
et adhéré à un système de paiement en ligne sécurisé avec 3D Secure. Ainsi, la société cliente « n’a pas été clairement et complètement informée des limites du système qui lui a été vendu et des risques d’impayés qu’elle pouvait avoir à subir malgré le système 3D Secure ; que la banque a ainsi fait perdre une chance à sa cliente de ne pas souscrire un contrat non adapté à son activité de vente en ligne de minutes téléphoniques dans le monde entier alors que la garantie proposée ne visait que la France et la zone Euro sans aucune garantie pour les autres pays ». § 2 – Les usages de la pratique en matière d’authentification
542. À côté de l’authentification simple avec login/mot de passe, d’autres moyens d’authentification sont utilisés par les acteurs de la banque ou de l’assurance en ligne avec des niveaux de sécurité très variables642. A.
Les systèmes reposant sur des codes et mots de passe
1.
Login/mot de passe
543. Historiquement le login/mot de passe est le moyen d’authentification le plus utilisé dans de très nombreux services, à commencer par l’ouverture d’une session sur le poste de travail d’un collaborateur de l’entreprise ou l’accès aux services de la banque ou de l’assurance en ligne. À propos de login/mot de passe, la Cour de cassation, dans son rapport annuel de 1989 a estimé : « ce procédé moderne présente les mêmes garanties que la signature manuscrite, laquelle peut être imitée tandis que le code secret n’est connu que du seul titulaire de la carte »643. 2.
Système dit de « bataille navale »
544. Ce système consiste en une carte à grille envoyée par la banque. Il permet de déterminer le code d’authentification avec une organisation de type « bataille navale ». Lors de la demande d’authentification, le serveur de la banque envoie un code à usage unique : il faut par exemple saisir le nombre à la colonne 4, ligne 5 (D5). Le chemin secret n’est connu que du client à qui la carte est attribuée. C’est la vérification du résultat reconstitué qui va permettre à l’établissement gestionnaire du système d’authentification de dire si le code est bon ou pas. 3.
Les OTP/SMS ou OTP par téléphone portable sur un serveur vocal
545. L’authentification s’opère à l’aide d’un mot de passe à usage unique qui est un secret partagé entre l’authentificateur et le client. Une fois le code reçu par
642. V. Authentification dans les systèmes d’information, Forum des compétences, févr. 2010, disponible sur : http://www.forum-descompetences.org/files/resourcesmodule/@random4e 13020359ba7/1309868613_Publication_Authentification.pdf 643. Rapport annuel de la Cour de cassation, La Documentation française, 1990, v. p. 32.
de
la sécurité des systèmes d ’ information et de l ’ information
| 235
le client, ce dernier le saisit sur son poste informatique connecté à l’Internet. Il est important de mentionner que le téléphone mobile sera considéré comme étant le vecteur utilisé par l’authentificateur, même si ce type d’équipement fait de plus en plus l’objet d’attaques et s’avère être un nouveau point de faiblesse. B.
L’authentification biométrique
546. Selon le Forum des compétences, l’authentification biométrique est un « moyen d’authentification basé sur des informations physiques liées au détenteur. Il peut s’agir d’empreintes digitales, du fond de l’œil, de la forme de la main… »644. 1.
Biométrie : des dispositifs sensibles
547. Selon la CNIL, « la biométrie recouvre l’ensemble des procédés tendant à identifier un individu à partir de la “mesure” de l’une ou de plusieurs de ses caractéristiques physiques, physiologiques ou comportementales. Il peut s’agir des empreintes digitales, de l’iris de l’œil, du contour de la main, de l’ADN ou d’éléments comportementaux (la signature, la démarche…) ». Elle « regroupe l’ensemble des techniques informatiques permettant d’identifier un individu à partir de ses caractéristiques physiques, biologiques, voire comportementales. Les données biométriques ont la particularité d’être uniques et permanentes. Elles permettent de ce fait le “traçage” des individus et leur identification certaine. Le caractère sensible de ces données justifie que la loi prévoie un contrôle particulier de la CNIL fondé essentiellement sur l’impératif de proportionnalité »645. 548. L’autorité indépendante distinguait jusqu’à il y a peu de temps entre plusieurs dispositifs biométriques. Tout d’abord, les dispositifs biométriques dits « à traces », à savoir les empreintes digitales et palmaires. On les qualifie ainsi étant donné que les individus les laissent sans le savoir sur tous les objets qu’ils touchent. Le risque consiste en ce que ces traces sont susceptibles d’être collectées et reproduites à l’insu de la personne à laquelle elles se rattachent, par exemple, avec la fabrication d’un faux doigt ou d’une fausse main. Ensuite, les dispositifs biométriques dits « sans traces » tels que le contour de la main, ou le réseau veineux des doigts de la main. Enfin, il y a des dispositifs biométriques dits « intermédiaires » : ce sont la voix, l’iris de l’œil, la forme du visage. La biométrie concerne des usages très diversifiés comme l’accès à des locaux (ex. : salle de marché ou salle informatique dans un data center) ou à des données, à gérer des horaires d’entrée et de sortie des locaux, etc. Mais les données biométriques ne sont pas attribuées de façon aléatoire ou choisies ; elles sont inhérentes à un individu et l’identifient une fois pour toutes. Le détournement de finalité de ces données peut avoir des conséquences très graves sur la vie privée de l’individu en cause. D’où son encadrement très strict. Pour simplifier et alléger la procédure, 644. Forum des compétences, « Authentification dans les systèmes d’information », janv. 2010, v. glossaire, p. 30. 645. Communication de la CNIL relative à la mise en œuvre de dispositifs de reconnaissance par empreinte digitale avec stockage dans une base de données, 7 avr. 2011.
236 | B anque
et
a ssurance
digitales
la Commission a défini un cadre juridique très précis et rigoureux : celui de l’autorisation unique. Lorsqu’une entité souhaite mettre en œuvre un dispositif biométrique qui correspond aux exigences, elle établit une déclaration simplifiée dans laquelle elle s’engage à respecter les conditions définies dans l’autorisation unique (engagement de conformité). Cependant, comme le souligne la CNIL sur son site Internet, elle peut effectuer, à tout moment, un contrôle sur place pour vérifier la réalité de cet engagement. 549. Partant, le principe est que les dispositifs biométriques sont soumis à autorisation préalable de la CNIL646. Toutefois, certains dispositifs relèvent d’une déclaration simplifiée, où elle reconnaissait certains dispositifs biométriques dans le cadre d’autorisations uniques : AU-007, AU-008, AU-019, AU-027 ; ils sont abrogés. Deux nouvelles autorisations uniques ont été adoptées : AU-052 – Biométrie : Contrôle d’accès sur les lieux de travail avec maîtrise de la personne sur son gabarit647 et AU-053 – Biométrie : Contrôle d’accès sur les lieux de travail avec conservation des gabarits en base648. Ces autorisations uniques concernent également l’authentification pour l’accès aux appareils et aux applications informatiques. Toutefois, à la suite de la CNIL, il est important de rappeler les principes qui président à ces autorisations uniques : • pour l’AU-52 : la personne concernée doit garder la maîtrise de son gabarit, ce qui entraîne son stockage sur un support qu’elle possède ou en base de données « sous une forme inexploitable car illisible sans un secret détenu par la seule personne concernée » ; • pour l’AU-53 : l’entité doit établir la preuve que le dispositif biométrique est nécessaire pour le contrôle d’accès et qu’il ne peut pas faire autrement (ex. : système de badge). Il doit justifier du besoin de centraliser les gabarits par rapport à un système reposant sur un support possédé par la personne concernée et se conformer à l’AU-52. À défaut, le choix doit être expliqué par écrit accompagné d’un descriptif des mesures de sécurité permettant de limiter les risques d’atteintes aux droits des personnes concernées. 2.
Authentification par reconnaissance vocale
550. Initialement, un procédé biométrique de reconnaissance vocale dénommé « Talk-to-Pay » a été expérimenté dans le cadre des paiements sur l’Internet. L’autorisation de la CNIL en faveur de La Banque Postale concernait
646. Article 25 de la loi du 6 janvier 1978 modifiée. 647. Délibération n° 2016-186 du 30 juin 2016 portant autorisation unique de mise en œuvre de dispositifs ayant pour finalité le contrôle d’accès par authentification biométrique aux locaux, aux appareils et aux applications informatiques sur les lieux de travail et garantissant la maîtrise de la personne concernée sur son gabarit biométrique (AU-052), JO 27 sept. 2016. 648. Délibération n° 2016-187 du 30 juin 2016 portant autorisation unique de mise en œuvre de dispositifs ayant pour finalité le contrôle d’accès par authentification biométrique aux locaux, aux appareils et aux applications informatiques sur les lieux de travail reposant sur une conservation des gabarits en base par le responsable du traitement (AU-053), JO 27 sept. 2016.
de
la sécurité des systèmes d ’ information et de l ’ information
| 237
l’expérimentation du procédé pour une durée de 13 mois649. À terme, on peut estimer que ce procédé pourra être généralisé à la contractualisation de transactions de banque et d’assurance en ligne. 551. En termes d’utilisation de ce procédé, la CNIL précise que « la méthode d’authentification choisie fait appel à deux facteurs, à savoir la réception d’un appel sur le téléphone préalablement enrôlé de la personne concernée et la reconnaissance de la voix afin d’identifier cette dernière. La reconnaissance vocale intervient dans le processus d’authentification classiquement utilisé dans le cadre du protocole 3D Secure, à savoir la possession du téléphone réceptionnant un message texte comportant le code permettant de déclencher le paiement (…) L’activation de la solution LBP Pay par authentification vocale est précédée d’un processus en quatre étapes permettant de s’assurer de l’identité du titulaire de la carte bancaire préenregistrée. En premier lieu, la personne concernée doit activer le service de sécurisation d’opérations sensibles Certicode en s’adressant à un conseiller dans son bureau de poste gestionnaire de compte courant, lequel vérifie l’identité du client et le fait qu’il est titulaire de la ligne à contacter lors de l’activation de la solution de paiement. En deuxième lieu, la personne concernée doit activer le portefeuille de services Mes Paiements, soit en se rendant sur son espace client en ligne, soit en utilisant l’application de La Banque Postale Mes Paiements, après s’être authentifiée par la saisie d’un identifiant et mot de passe. Elle doit ensuite saisir dans l’espace prévu à cet effet le code de validation à usage unique reçu par message texte sur son numéro de téléphone mobile validé par l’intermédiaire de la procédure Certicode. En troisième lieu, la saisie du code permet d’activer le service de paiement, et d’enregistrer les numéros de cartes bancaires rattachées au compte du titulaire, après saisie du cryptogramme correspondant. En quatrième lieu, la personne concernée reçoit un courrier postal comportant le code d’activation de la solution de paiement à saisir sur son espace client banque en ligne, ainsi qu’un identifiant à huit chiffres nécessaire pour installer la solution de paiement LBP Pay, sous forme d’extension de navigateur Internet, sur son terminal. L’extension LBP Pay est une application installée sur le navigateur Internet s’affichant automatiquement sur les formulaires de paiement en ligne et permettant de procéder au pré-remplissage automatique desdits formulaires après avoir authentifié le client. Le cryptogramme dynamique à usage unique est généré à cette occasion.
649. Délibération n° 2013-198 du 11 juillet 2013 autorisant La Banque Postale à mettre en œuvre à titre expérimental un système d’authentification des titulaires de cartes de paiement par biométrie.
238 | B anque
et
a ssurance
digitales
Lors de la première utilisation de l’extension LBP Pay, le client saisit l’identifiant à huit chiffres communiqué par courrier postal et choisit le mode d’authentification permettant de déclencher le paiement. Trois options lui sont alors offertes entre l’authentification vocale, la saisie d’un code à usage unique envoyé par message texte (3DS) ou encore l’authentification par le biais d’une application préalablement téléchargée sur son ordiphone et enrôlée. S’il choisit la reconnaissance vocale, le client est appelé sur son téléphone mobile pour s’enrôler ; il est alors invité à prononcer les phrases dictées par des consignes vocales afin de créer un modèle vocal. Lors des authentifications suivantes, le client est de nouveau appelé et invité à répéter une phrase d’authentification, qui sera comparée au modèle vocal constitué lors de son enrôlement. La reconnaissance du locuteur se base sur la modélisation physique des caractéristiques du conduit vocal de la personne concernée. Un modèle de voix est créé en enrôlant des échantillons vocaux de la personne. Le système détermine si c’est bien le locuteur qui parle ou non dans l’enregistrement. Une des propriétés du modèle vocal constitué lors de l’enrôlement est qu’il est non réversible ; les traits biométriques ‒ ici la voix de l’utilisateur ‒ ne peuvent pas être reconstitués à partir du modèle. En effet, ce modèle représente une distribution de probabilités d’un certain nombre de caractéristiques de la voix et n’est pas un enregistrement de celle-ci 650 ». 552. Une autre expérimentation de ce procédé biométrique est en cours d’expérimentation chez LCL651. Les procédés d’authentification par des procédés biométriques se fondent sur la reconnaissance d’une caractéristique ou d’un comportement unique et spécifique à une personne donnée. 3.
Les certificats électroniques
553. Le certificat électronique d’authentification vise un procédé de cryptologie asymétrique dont le but est de vérifier l’identité des clients. C’est un prestataire de services de confiance (PSCo) qui délivre ce type de certificat à une personne identifiée, voire à une machine aux fins d’authentifier un site Web. Une telle vérification via le certificat qui contient la clé publique « établit la confiance en la personne qui s’est authentifiée en ligne. On peut se fier à cette personne dès lors qu’elle a été authentifiée ».
650. Délibération n° 2016-037 du 18 février 2016 autorisant La Banque Postale à mettre en œuvre un système d’authentification des titulaires de cartes bancaires par reconnaissance vocale (Demande d’autorisation n° 1842385). 651. Délibération n° 2016-059 du 10 mars 2016 autorisant Le Crédit Lyonnais SA à mettre en œuvre à titre expérimental un système d’authentification des titulaires de carte de paiement par biométrie.
de
la sécurité des systèmes d ’ information et de l ’ information
| 239
554. Selon le référentiel général de sécurité (RGS V.2.0)652 à son § a.1, intitulé : « L’authentification d’une entité par certificat électronique » : « L’authentification a pour but de vérifier l’identité dont se réclame une personne ou une machine. La mise en œuvre par une autorité administrative des fonctions de sécurité “Authentification” ou “Authentification serveur” peut se faire selon trois niveaux de sécurité aux exigences croissantes : (*), (**) et (***). Ces exigences, décrites dans les annexes [RGS_A1], couvrent, pour les trois niveaux de sécurité, l’ensemble des composants nécessaires à la mise en œuvre de cette fonction de sécurité, à savoir : • la bi-clé et le certificat électronique dont l’usage est l’authentification ; • le dispositif d’authentification ; • le module de vérification d’authentification ; • l’application d’authentification ». 555. La fonction d’authentification via un certificat fonctionne de la manière suivante : « II. 3. Fonction de sécurité “authentification” L’authentification est l’une des fonctions de sécurité apportant de la confiance dans les échanges dématérialisés entre usagers et autorités administratives ou entre autorités administratives. Dans le cadre du [RGS] et de son utilisation dans l’administration, les types de relations couverts par le service d’authentification sont notamment les suivants : • authentification d’un usager vis-à-vis d’un service de l’administration accessible par voie électronique ; • authentification d’un usager vis-à-vis d’un agent d’une autorité administrative ; • authentification d’un agent d’une autorité administrative vis-à-vis d’un usager. Cette fonction de sécurité permet à un usager ou à un agent de s’authentifier dans le cadre des types de relations mentionnés supra. Ce document ne traite que de l’authentification basée sur des mécanismes cryptographiques asymétriques. Le principe de fonctionnement et d’interaction des composants entre eux est le suivant : • l’application de création de cachet, déployée sur une ou plusieurs machines calcule un condensat, à l’aide d’une fonction de hachage, à partir des informations à signer ; 652. Arrêté du 13 juin 2014 portant approbation du référentiel général de sécurité et précisant les modalités de mise en œuvre de la procédure de validation des certificats électroniques, JO 24 juin 2014, p. 10361.
240 | B anque
et
a ssurance
digitales
• elle transmet ce condensat au dispositif de création de cachet ; • le dispositif de création de cachet réalise un calcul cryptographique de
signature du condensat en utilisant la clé privée de signature du service de création de cachet, activée le cas échéant par un code d’activation (code PIN par exemple) par le responsable du certificat de cachet ; • ce condensat signé, dit cachet, est retourné à l’application ; La vérification du cachet s’effectue à l’aide d’un module de vérification de cachet et du certificat électronique délivré par PSCE qui lie l’identité du service de création de cachet avec sa clé publique : un calcul cryptographique est effectué à l’aide de la clé publique sur la signature électronique et comparé au condensat obtenu par hachage des informations à signer. Dans le cadre du [RGS], l’utilisation de la clé privée d’authentification du porteur et du certificat mono-usage associé est strictement limitée à l’authentification »653. 4.
France Connect
556. Le nouveau télé service « France Connect »654 permettra aux usagers, s’ils le souhaitent, de fédérer leurs comptes créés auprès des différents services publics (sécurité sociale, impôts, TVA, Net-Entreprises, etc.) afin de disposer d’un compte national. Lorsqu’un usager aura fait la démarche d’authentification auprès d’une autorité administrative et qu’un login/mot de passe lui aura été attribué, ce couple d’identifiants pourra être utilisé pour accéder à des services d’autres autorités administratives. Dans le droit fil de ce qui est prévu dans le règlement eIDAS, France Connect prévoit trois niveaux de sécurité : faible (login/mot de passe et copies de pièces justificatives), substantiel (deux facteurs d’identification dont un non rejouable/RGS**) et élevé/fort (face-à-face RGS***). Le système repose sur six données pivots détenus par France Connect : nom, prénom, sexe, date de naissance, lieu de naissance et pays de naissance. 557. Son objectif est de permettre non seulement une simplification des démarches administratives mais également l’échange d’informations entre les autorités administratives et l’accès aux télés services d’autres États membres de l’Union européenne par le biais de la notification des schémas d’identification étatiques telle que prévue par le règlement eIDAS (dès lors que la France disposera de solutions du niveau « substantiel »). Ce mode d’identification pour l’instant « public » pourra, dans un second temps, être utilisé par des entreprises privées dont, et c’est une donnée fondamentale, les banques et les sociétés
653. A1, Règles relatives à la mise en œuvre des fonctions de sécurité basées sur l’emploi de certificats électroniques, V.3 du 27 février 2014, disponible à l’adresse : https://references.modernisation.gouv.fr/sites/default/files/RGS_v-2-0_A1.pdf 654. Arrêté du 24 juillet 2015 portant création d’un traitement de données à caractère personnel par la direction interministérielle des systèmes d’information et de communication d’un télé service dénommé « France Connect ».
de
la sécurité des systèmes d ’ information et de l ’ information
| 241
d’assurance dans le cadre de l’authentification de leurs clients utilisateurs lors de leurs transactions et opérations (v. partie II, chapitre I). 5.
Gestion de l’identité et Carte nationale d’identité électronique
558. Des solutions de gestion d’identité pour l’administration en ligne ont été apportées au sein de l’Union européenne655. La gestion d’identité agite depuis de nombreuses années la communauté du numérique (projet « Liberty Alliance ») et l’Union internationale des télécommunications (UIT) qui a établi un groupe de travail sur le sujet pour sa promotion. En termes d’authentification, spécialement dans les échanges et la contractualisation à distance, la solution la plus efficace aurait sans doute consisté au déploiement de la Carte nationale d’identité électronique, à l’image de ce que d’autres pays européens, comme la Belgique656. Dans ce pays, la carte d’identité sert à l’authentification, mais permet également de signer électroniquement. Pourtant, à notre connaissance, cette fonctionnalité n’est pas utilisée657. Cette carte nationale d’identité, délivrée par l’État français, aurait été utilisée dans les relations avec les autorités administratives ainsi que dans celles du privé. Auraient été ainsi inclus, dans la puce électronique, les outils d’authentification et de signature électronique. Or, après maintes tentatives avortées, les dispositions les plus importantes de la loi du 27 mars 2012 relative à la protection de l’identité sur les procédures de délivrance et de gestion des documents d’identité électronique ont été censurées par le Conseil constitutionnel. Le projet est reporté sine die 658.
655. Communication de la Commission des communautés européennes au Conseil européen, au Parlement européen, au Comité économique et social et au Comité des régions : « i2010 – Une société de l’information pour la croissance et l’emploi », COM (2005) 229 final, 1er juin 2005), accessible sur le site Internet : http://eur-lex.europa.eu 656. Loi du 25 mars 2003 modifiant la loi du 8 août 1983 organisant un Registre national des personnes physiques et la loi du 19 juillet 1991 relative aux registres de la population et aux cartes d’identité et modifiant la loi du 8 août 1983 organisant un Registre national des personnes physiques, Moniteur belge, éd. 4, 28 mars 2003, p. 15921. 657. V. l’Arrêté royal du 1er septembre 2004 portant la décision de procéder à l’introduction généralisée de la carte d’identité électronique, Moniteur belge, éd. 2, 15 sept. 2004, p. 56527. Pour des informations générales : www.eid.belgium.be 658. Rapport de la mission « Administration générale et territoriale de l’État » de M. Hervé Marseille dans le cadre des débats relatifs à la loi de finance pour 2015 : « (…) S’agissant des autres titres, le projet relatif à la carte nationale d’identité électronique (CNIe) reste toujours en suspens, après la censure par le Conseil constitutionnel, dans sa décision DC n° 2012-652 du 22 mars 2012, de l’article 5 de la loi n° 2012-410 du 27 mars 2012 relative à la protection de l’identité 10 (*). La prorogation de dix à quinze ans de la durée de validité des cartes nationales d’identité (CNI), par le décret n° 2013-1188 du 18 décembre 2013 relatif à la durée de validité et aux conditions de délivrance et de renouvellement de la CNI, est une solution provisoire qui n’est pas satisfaisante (…) » : http://www.senat.fr/commission/fin/pjlf2015/np/np02/np022. html
242 | B anque
et
a ssurance
digitales
SECTION III LUTTE CONTRE LES FRAUDES NUMÉRIQUES ET LA CYBERCRIMINALITÉ 559. Les banques comme les assurances doivent également faire face à des tentatives de fraude de leurs outils comme de leurs services. À côté des fraudes internes, on constate un développement exponentiel des scénarios d’attaques numériques et des failles comportementales des utilisateurs. D’après l’ANSSI, par « ingénierie sociale », on entend « manipulation consistant à obtenir un bien ou une information, en exploitant la confiance, l’ignorance ou la crédulité de tierces personnes. Remarques : Il s’agit, pour les personnes malveillantes usant de ces méthodes, d’exploiter le facteur humain, qui peut être considéré dans certains cas comme un maillon faible de la sécurité du système d’information ». En effet, la dimension humaine est un facteur de risque majeur. 560. Confrontés à la recrudescence des attaques et autres tentatives sur leurs systèmes d’information, les établissements de crédit ou de paiement et les sociétés d’assurance voient leurs obligations en matière de sécurisation augmenter au fil des années et en particulier en matière d’authentification de leurs clients. 561. Le cadre répressif mettant en œuvre la lutte contre la criminalité informatique est déjà relativement ancien, puisqu’il remonte à la loi n° 88-19 du 5 janvier 1988 relative à la fraude informatique, dite « loi Godfrain »659. Mais, même si aujourd’hui avec les réseaux numériques, on parle volontiers de cybercriminalité, il reste d’actualité au regard de son champ d’application très large. Le dispositif pénal spécial se complète au fil du temps et réprime la grande majorité des délits informatiques susceptibles d’être commis tant en matière d’atteintes aux biens (systèmes d’information et données), que d’atteintes aux personnes660. Ces délits figurent d’ailleurs pour une grande part dans la Convention du Conseil de l’Europe sur la cybercriminalité du 23 novembre 2001661.
659. Sur le droit pénal de l’informatique, v. R. Gassin, « Informatique [fraude informatique] » : Rép. pén. Dalloz, 1995. A. Lucas, J. Devèze, J. Frayssinet, Droit de l’informatique et de l’Internet, PUF, 2001, n° 964 et s. M. Quéméner et Y. Charpenel, Cybercriminalité ‒ droit pénal appliqué, Économica, coll. Pratique du droit, 2010 ; E. Freyssinet, La cybercriminalité en mouvement, Hermès SciencesLavoisier, 2012. 660. Même s’ils ne font pas l’objet de développements dans le cadre du présent ouvrage, on intègre dans l’arsenal pénal des délits relevant notamment du droit de la presse (loi du 29 juillet 1881 sur la liberté de la presse). V. spéc. B. Beignier (ss dir.), Traité de droit de la presse et des médias, LexisNexis, 2009 ; E. Dreyer, Responsabilités civile et pénale des médias, Presse, Télévision, Internet, LexisNexis, 2011, 3e éd. 661. É. A. Caprioli, « Le projet de convention du Conseil de l’Europe sur la cybercriminalité », RDBF 2000, p. 107 ; P. Bourre, « Internet et la lutte contre la cybercriminalité », Gaz. Pal. 23 janv. 2003, p. 19.
de
la sécurité des systèmes d ’ information et de l ’ information
| 243
562. Parmi ces délits, il y a ceux relatifs aux atteintes aux systèmes de traitement automatisé de données (STAD ou système information) : l’intrusion et le maintien frauduleux, l’entrave au STAD, l’introduction de données et la modification, les programmes malveillants et logiciels malicieux, etc. (C. pén., art. 323-1 à 323-8). Ces infractions concernent souvent des banques ou des sociétés d’assurance dont les systèmes d’information et les données sont exposés à une multitude de risques numériques internes et externes et des fraudes en tout genre. La loi ne fournit pas de définition de ce qu’est un STAD, mais une jurisprudence fournie a apporté des précisions pour entendre la notion de façon très large. Selon la jurisprudence, cela vise tout système d’information, du plus simple tel qu’une carte à puce au plus complexe comme un système d’information662, mais sont également comprises dans la notion de STAD les communications entre plusieurs systèmes d’information ou encore entre des parties d’un même système. 563. Les textes ont par ailleurs été renforcés à plusieurs reprises afin de : – réprimer le fait de détenir pour des motifs non légitimes des outils ou moyens de piratage informatique puis de préciser les cas de détention « légitime » en visant spécifiquement la « recherche » ou la « sécurité informatique »663 ; – prévoir des peines spécifiques dans le cas du piratage de systèmes mis en œuvre par l’État et traitant des données à caractère personnel (loi sur la protection de l’identité du 27 mars 2012) ; – sanctionner indirectement le « vol » d’information avec la modification de l’article 323-3-1 du Code pénal en ajoutant l’« extraction, la détention la reproduction, la transmission » frauduleuse des données contenues dans le système d’information664 ; – augmenter le montant des amendes et peines d’emprisonnement encourues665. 564. Face aux fraudes numériques de toutes sortes, les banques et les assurances doivent vivre et continuer à se développer, on parle à ce propos de résilience666. Les risques « cyber » sont aujourd’hui en tête au palmarès. Étant donné que les 662. Cass. crim., 5 janv. 1994 : Bulletin Lamy 1996, n° 81, note Gassin ; JCP éd. E 1994, 1, 359, obs. M. Vivant et C. Le Stanc. CA Paris, 15 mars 1994 : JCP éd. E 1995, I, 461, obs. Vivant et Le Stanc. CA Paris, 5 oct. 1994 : JCP éd. E 1995, I, 461, obs. M. Vivant et C. Le Stanc ; T. corr. Limoges, 14 mars 1994, Expertises 1994, p. 238, obs. Teboul. 663. Notamment, l’article 323-3-1 du Code pénal ; loi pour la confiance dans l’économie numérique du 21 juin 2004 ; loi de programmation militaire du 18 décembre 2013. 664. Loi n° 2014-1353 du 13 novembre 2014 renforçant les dispositions relatives à la lutte contre le terrorisme, JO 14 nov. 2014. 665. Loi n° 2015-912 du 24 juillet 2015 relative au renseignement, JO 26 juill. 2015. V. O. Desaulnay et R. Ollard « Le renseignement français n’est plus hors-la-loi », Dr pénal. 2015, étude n° 17 ; R. Parizot, « Surveiller et prévenir… à quel prix ? », JCP éd. G, n° 41, 5 oct. 2015, doctr. 1077. 666. En informatique, la résilience est la capacité d’un système à continuer de fonctionner en cas de panne ou de sollicitation extrême. La juste résilience consiste à mettre en place les moyens et les ressources adaptés, sans toutefois les sur-dimensionner (source Wikipédia).
244 | B anque
et
a ssurance
digitales
attaques sont de natures très diverses, nous nous concentrerons sur quelques exemples sans entrer dans le détail de tous les scénarios. § 1 – Les directives européennes
565. L’Union européenne a pris conscience de l’importance de la lutte contre la cybercriminalité. En général, cela se traduit par l’adoption de directives que les États membres doivent transposer. La directive NIS/SRI ne sera pas abordée directement ici, car des développements lui seront consacrés à l’occasion de la présentation de la loi de programmation militaire et des notifications de failles de sécurité. A.
Directive relative aux attaques contre les systèmes d’information
566. Au niveau de l’Union européenne, on mentionnera la directive n° 2013/40/ UE du Parlement européen et du Conseil du 12 août 2013 relative aux attaques contre les systèmes d’information et remplaçant la décision-cadre n° 2005/222/ JAI du Conseil du 12 août 2013667 qui devait être transposée en France au plus tard le 4 septembre 2015. Constatant que les attaques en relation avec la cybercriminalité s’opèrent contre les États et les entreprises et qu’elles se multiplient à l’échelle planétaire, ces cyber-attaques peuvent provoquer « des dommages économiques notables, tant du fait de l’interruption des systèmes d’information et des communications qu’en raison de la perte ou l’altération d’informations confidentielles importantes d’un point de vue commercial ou d’autres données ». La directive poursuit un double objectif : d’une part, faciliter la prévention des infractions commises contre les systèmes d’information (définition des infractions et des sanctions) et, d’autre part, améliorer la coopération internationale entre les autorités judiciaires compétentes des différents États membres. Cela est d’autant plus pertinent que ces éléments faisaient déjà partie des objectifs de la convention du Conseil de l’Europe sur la cybercriminalité du 23 novembre 2001. Plus concrètement, la directive prévoit de nouvelles infractions inexistantes dans le Code pénal comme, par exemple, la sanction du contrôle à distance de réseaux zombies. Ces attaques visent « à établir un contrôle à distance d’un nombre significatif d’ordinateurs ou de serveurs en les infectant d’un logiciel espion par le biais de cyber-attaques ciblées. Dans ce sens, en application de l’article 9.3, les atteintes à l’intégrité des données et des systèmes informatiques doivent être sanctionnées plus sévèrement (peine maximale d’au moins 3 ans d’emprisonnement) dès lors qu’elles “sont commises de manière intentionnelle et qu’un nombre important de systèmes d’information est atteint (…)” »668. Le texte se fonde sur un préjudice grave, qui s’entend « comme le fait d’arrêter des services de réseau présentant un intérêt public important, ou de causer des coûts financiers majeurs ou la perte de données à 667. Directive n° 2013/40/UE du Parlement européen et du Conseil du 12 août 2013 relative aux attaques contre les systèmes d’information et remplaçant la décision-cadre n° 2005/222/JAI du Conseil, JOUE n° L. 218, 14 août 2013. 668. Com. com. électr. 2013, comm. 120, note É. A. Caprioli.
de
la sécurité des systèmes d ’ information et de l ’ information
| 245
caractère personnel ou d’informations sensibles ». D’après l’article 9.4, la peine maximale d’emprisonnement pour des attaques causant un préjudice grave, des attaques contre des infrastructures critiques (« Opérateurs d’importance vitale » ‒ OIV), telles que les banques et si l’attaque vient d’une organisation criminelle, la peine prévue est de 5 ans minimum. B.
La directive sur le secret des affaires669
567. Le secret des affaires constitue une pierre importante à l’édifice de la sécurité du patrimoine informationnel des organisations et en particulier des entreprises. À certains égards, il fait partie des outils de l’intelligence économique. Les fondements juridiques des actions judiciaires restaient inadaptés et parcellaires : concurrence déloyale, vol d’informations, secret de fabrique (applicable uniquement aux salariés), droits de propriété intellectuelle, abus de confiance, etc. D’où l’idée de créer un délit spécifique. Avec cette directive, la France sera tenue de prévoir de nouvelles mesures conformes à ce texte très important. On signalera que les USA viennent également d’adopter sur le sujet un « Defend Trade Secrets Act » daté du 11 mai 2016. 568. La directive n° 2016/943 du 8 juin 2016 « sur la protection des savoirfaire et des informations commerciales non divulgués (secrets d’affaires) contre l’obtention et la divulgation illicites »670 doit être transposée dans les deux ans. Ce texte fixe à la fois des règles communes pour la protection des secrets d’affaires qu’il entend harmoniser et des sanctions (civiles et le cas échéant, au choix de l’État membre, pénales) en cas de divulgation illégale de ces secrets. Elle respecte les droits et libertés fondamentaux tels que la liberté d’expression, la sécurité publique ou encore la divulgation d’une activité illicite dans un but d’intérêt public général, en d’autres termes, la délicate et controversée question des lanceurs d’alerte et des journalistes. 569. L’article 2 de la directive impose la réunion de 3 critères cumulés pour que les informations puissent être qualifiées de secret des affaires et bénéficier de la protection y afférente. La définition reste d’un maniement complexe et aux résultats pratiques incertains : « elles sont secrètes en ce sens que, dans leur globalité ou dans la configuration et l’assemblage exacts de leurs éléments, elles ne sont pas généralement connues des personnes appartenant aux milieux qui s’occupent normalement du genre d’informations en question, ou ne leur sont pas aisément accessibles, elles ont une valeur commerciale parce qu’elles sont secrètes, elles ont fait l’objet, de la part de la personne qui en a le contrôle de façon licite, de dispositions raisonnables, compte tenu des circonstances, destinées à les garder secrètes ». Nonobstant les informations relatives à des comportements licites, constitueraient également, selon cette définition, des secrets des affaires, les informations relatives à de la corruption, au financement 669. Sur le sujet, v. spéc. : S. Marcellin et T. du Manoir de Juaye, Le secret des affaires, LexisNexis, 2016. 670. JOUE n° L. 157, 15 juin 2016, p. 1.
246 | B anque
et
a ssurance
digitales
du terrorisme, au commerce de biens illicites (drogues, produits dopants ou médicaments toxiques) ou encore en relation avec l’espionnage industriel ou numérique. Or, pour pallier le risque de voir étouffer les secrets relatifs à ce type d’information, la directive dispose d’un article 5, intitulé « Dérogations ». Cet article envisage 4 hypothèses où la démarche des lanceurs d’alerte sera considérée comme légitime. Par exemple que les demandes ayant pour objet l’application des mesures, procédures et réparations doivent être rejetées lorsque l’obtention, la divulgation, l’utilisation ou la divulgation alléguée du secret d’affaires doit permettre : a) d’exercer le droit à la liberté d’expression et d’information et/ou ; b) de révéler une faute professionnelle ou une autre faute ou une activité illégale dès lors que le défendeur a agi dans le but de protéger l’intérêt public général. 570. Il est fondamental de souligner que les entreprises doivent prendre des « dispositions raisonnables (…) destinées à les [informations] garder secrètes » telles que prévues à l’article 2 afin de protéger leurs informations confidentielles, à défaut, elles ne bénéficieront d’aucune protection. Ainsi, pour protéger les informations commerciales et autres savoirs faires, l’entreprise devra intégrer ces dispositions dans le cadre de sa politique de confidentialité des informations. Cela aura des incidences sur la classification des informations, leur marquage et leur traçabilité. Il sera nécessaire de prévoir la préconstitution de preuves des secrets en réalisant par exemple des dépôts réguliers des éléments que l’entreprise entend protéger par ces secrets, en procédant au marquage des documents, etc. § 2 – De quelques délits applicables aux systèmes d’information
571. Parmi les délits que le droit français réprime671 nous prendrons le parti de n’en envisager que certains672, par exemple, on ne parlera pas des introductions frauduleuses et autres (article 323-1 et suivants du Code pénal) pour aborder successivement : le « phishing » (A), l’usurpation d’identité (B), la fraude au président (C), les fuites d’informations (D), le « Ransomware » (E) et les vols de données (F).
671. M. Quéméner, Cybercriminalité et domaine bancaire, Banque & Droit, hors-série, juin 2013, spéc. p. 71 s. 672. Ainsi, par exemple, ne seront pas analyser les aspects relatifs à la fraude à la carte bancaire et où la preuve de la négligence de l’utilisateur d’un service de paiement incombe à la banque, c’est-à-dire la preuve du caractère intentionnel, par imprudence ou par négligence grave. La banque faisait état d’une négligence du titulaire qui aurait communiqué ses identifiants lors d’un phishing, v. Cass. com. 18 janvier 2017, Com. com. électr 2017, comm. 33, note G. Loiseau et comm. 39, note É. A. Caprioli. V. égal. : Cass. com., 2 oct. 2007, Bull. civ. 2007, IV, n° 208 ; Com. com. électr. 2007, comm. 139, note É. A. Caprioli ; RTD com. 2007, p. 813, obs. D. Legeais ; Banque & Droit janv.-févr. 2008, p. 22, obs. Th. Bonneau.
de A.
la sécurité des systèmes d ’ information et de l ’ information
| 247
Phishing
572. Officiellement francisé sous l’expression de « filoutage » ou encore d’« hameçonnage » par la Commission générale de terminologie et de néologie de la langue française673, le phishing a été défini à cette occasion comme une « technique de fraude visant à obtenir des informations confidentielles, telles que des mots de passe ou des numéros de carte de crédit, au moyen de messages ou de sites usurpant l’identité d’institutions financières ou d’entreprises commerciales ». Pour compléter cette définition, on observera avec l’ANSSI que c’est : un « vol d’identités ou d’informations confidentielles (codes d’accès, coordonnées bancaires) par subterfuge : un système d’authentification est simulé par un utilisateur malveillant, qui essaie alors de convaincre des usagers de l’utiliser et de communiquer des informations confidentielles, comme s’il s’agissait d’un système légitime. Remarque : Les sites sont reproduits, après avoir été aspirés. L’utilisateur est souvent invité à visiter le site frauduleux par un courrier électronique 674 ». D’après la société de sécurité Symantec, le nombre de campagnes d’hameçonnage ciblant les employés a augmenté de 55 %. Les attaquants jouent la carte de la patience avec les grandes entreprises675. 573. En pratique, dans le cadre d’une attaque par phishing676, les fraudeurs vont contrefaire un site Internet, spécialement celui d’une banque ou d’un commerçant en ligne et envoyer un message électronique alarmiste (ex. : alerte de sécurité, remboursement en faveur de l’internaute ou vérification des codes d’authentification) à un grand nombre de personnes en leur mentionnant qu’ils doivent d’urgence se connecter à l’adresse URL du lien figurant dans le courrier. Cela peut aussi se traduire par la demande de téléchargement d’un logiciel de sécurité. Dans tous les cas, les phishers se font passer pour un émetteur légitime de ce type de message par exemple, une banque, un éditeur de logiciels antivirus ou de système d’exploitation, un service de l’État (CAF ou impôts). Fondé sur la probabilité qu’une ou plusieurs personnes sont clientes de l’opérateur dont l’identité est usurpée parmi le vaste échantillon de population ciblé ou sur une population précise. Dans ce dernier cas, on parlera alors de « spear phishing », l’objectif étant de conduire le destinataire à cliquer sur le lien présent dans le message ou à installer un logiciel malveillant sur son poste de travail (ex. : un « key logger »). De la sorte, dès qu’il aura cliqué sur le lien, le client sera conduit sur un faux site où lui seront demandées des informations personnelles, le plus souvent à caractère financier. Elles seront utilisées par les phishers pour réaliser des virements avec des informations exactes. Dans certaines hypothèses, les
673. JO 12 févr. 2006. 674. www.ssi.gouv.fr/entreprise/glossaire/h/ 675. Symantec, Internet Security Threat Report 2016, vol. 21 : https://www.symantec.com/fr/fr/ secIurity_response/publications/threatreport.jsp 676. V. la fiche pratique de la DGCCRF, 9 avr. 2015 : http://www.economie.gouv.fr/dgccrf/ Publications/Vie-pratique/Fiches-pratiques/Phishing-hameconnage-ou-filoutage
248 | B anque
et
a ssurance
digitales
fraudeurs utilisent des comptes détenus par des tiers (des « mules ») qui, servent à faire transiter l’argent via leurs comptes. 574. Le phishing n’est pas juridiquement réprimé par un texte spécifique, mais il pourrait être sanctionné indirectement sur la base des fondements suivants : – les atteintes aux Systèmes de traitement automatisé de données (STAD) (articles 323-1 et suivants du Code pénal) ; – la collecte frauduleuse de données à caractère personnel (article 226-18 du Code pénal) ; – la contrefaçon des droits intellectuels figurant sur un site (marque, logos, pages Web, charte graphique, etc.) sanctionnée par le Code de la propriété intellectuelle ; – la prospection directe effectuée par courrier électronique non autorisé (spamming) telle que visée par l’article L. 34-5 du Code des Postes et des communications électroniques et réprimée à l’article R. 10-1 du Code des Postes et des communications électroniques, qui renvoie lui-même à l’article 226-18 du Code pénal ; – l’escroquerie et sa tentative (articles 313-1 à 313-3 du Code pénal) ; – l’usurpation d’identité (article 226-4-1 du Code pénal). 575. Un jugement du 21 septembre 2005 du Tribunal de grande instance de Paris est venu indirectement condamner la pratique du phishing sur le fondement de la contrefaçon. Un étudiant avait créé une copie servile – « rudimentaire » selon les termes du jugement – de la page d’enregistrement MSN ‒ Microsoft Network. Ce dernier souhaitait récupérer les données à caractère personnel de certains utilisateurs « harponnés » par des messages du délinquant sur des forums de discussion promouvant l’adresse de son site. Les victimes croyant se retrouver sur le vrai site MSN avaient alors été invitées à saisir leur identifiant et mot de passe. Se fondant sur la détention et l’usage illicites de la marque Microsoft, la reproduction et la diffusion non autorisées de la page d’enregistrement du site MSN Hotmail, le tribunal a condamné l’auteur de ce dispositif pour contrefaçon à 500 euros d’amende avec sursis. Les sanctions prononcées étaient faibles eu égard à la jeunesse du prévenu (20 ans) et à l’absence présumée de collecte illicite de données à caractère personnel677. 576. Un prévenu et son complice avaient tenté de commettre des escroqueries au préjudice de différentes banques en reproduisant, sur un site créé par le prévenu, leurs pages d’accueil afin de faire virer des sommes des comptes clients vers le compte du prévenu ou de son complice. La tentative avait échoué en raison de la vigilance des banques et du blocage du système. Le prévenu avait également accédé frauduleusement aux systèmes de traitement automatisé 677. TGI Paris, 21 sept. 2005, 31e ch., Microsoft Corporation c/ Robin B. : www.legalis.net ; Com. com. électr. 2006, comm. 37, note É. A. Caprioli.
de
la sécurité des systèmes d ’ information et de l ’ information
| 249
(STAD) d’une des banques et avait modifié des données contenues dans ce système, en ajoutant des relevés d’identité bancaire sur certains comptes et en modifiant le plafond de certains virements. 577. Le tribunal a déclaré le prévenu coupable de tentative d’escroquerie, de modification de données résultant d’un accès frauduleux à un STAD et d’accès frauduleux au même STAD et l’a condamné à de lourds dommages-intérêts (8 500 euros) pour avoir usurpé l’identité d’une grande banque française, ainsi qu’à un an d’emprisonnement avec sursis678. 578. Ainsi, le phishing constitue une menace au développement des services en ligne et des services financiers à distance. Certains organismes ont mis en place des recommandations ou des guides eu égard aux risques encourus pour les internautes. À titre d’exemple, nous retiendrons les initiatives de l’Observatoire de la cyber-consommation du Forum des droits sur l’Internet de janvier 2005679, ou encore l’initiative de la CNIL de novembre 2005 dans le cadre de l’opération « Audit de la banque en ligne – règles de bonnes pratiques pour les internautes et les professionnels » (disponible à l’adresse : http://www.cnil.fr). Il est également possible de signaler l’abus aux autorités sur la plateforme « pharos » (plateforme d’harmonisation, d’analyse de recoupement et d’orientation des signalements) à l’adresse suivante : www.internet-signalement.gouv.fr. Le traitement de ce signalement est réalisé par l’Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication (OCLCTIC). B.
Usurpation d’identité
579. Les activités bancaires et financières supposent l’anticipation de nombreux risques numériques : accès frauduleux aux services, mais aussi de plus en plus souvent des usurpations d’identité. On peut estimer à la suite d’un auteur que « l’identité susceptible d’être usurpée peut être celle qu’un individu a voulu se forger sur les réseaux de communication par l’intermédiaire d’un pseudonyme autant que celle dont il a hérité à sa naissance par l’état civil. Aussi, les conséquences indésirables de l’usurpation d’identité peuvent se faire sentir en ligne exclusivement, uniquement dans le monde physique ou bien conjointement en ligne et dans le monde physique »680.
678. TGI Paris, 13e ch., 2 sept. 2004, minist. public, Crédit Lyonnais et Caisse nationale du Crédit Agricole c/ Radhouan M. et autres, http://www.foruminternet.org/documents/jurisprudence/ lire.phtml?id=873. 679. V. le rapport de l’Observatoire de la cyber-consommation, « Les paiements sur l’Internet », 19 mai 2005, disponible sur : http://www.ladocumentationfrancaise.fr/var/storage/rapportspublics/054000319.pdf 680. V. avec intérêt, notamment pour les aspects de droit comparé : R. V. Gola, « Usurpation d’identité sur l’Internet : aspects de droit pénal comparé », RLDI, oct. 2016.
250 | B anque
1.
et
a ssurance
digitales
L’infraction
580. Face au développement d’un nouveau type d’infraction, non réprimé en droit français, selon le ministre de l’Intérieur « l’adaptation du droit passera aussi par la création de nouvelles formes d’incrimination. Il est aujourd’hui possible d’utiliser à des fins malveillantes l’identité d’une personne physique ou morale sur Internet pour ouvrir des comptes de messagerie, pour accéder à un site, pour créer un site, pour envoyer des spams. Je veux que l’usurpation d’identité sur Internet soit punie par la loi comme un délit, passible d’un an d’emprisonnement et de 15 000 euros d’amende »681. 581. Ainsi, faute de disposer d’un délit adapté à ce nouveau fléau, le délit d’usurpation d’identité a été intégré dans le Code pénal avec la création de l’article 226-4-1682. Cet article du Code pénal dispose : « le fait d’usurper l’identité d’un tiers ou de faire usage d’une ou plusieurs données de toute nature permettant de l’identifier en vue de troubler sa tranquillité ou celle d’autrui, ou de porter atteinte à son honneur ou à sa considération, est puni d’un an d’emprisonnement et de 15 000 euros d’amende. Cette infraction est punie des mêmes peines lorsqu’elle est commise sur un réseau de communication au public en ligne683 ». 582. La circulaire émise pour présenter certaines dispositions de la loi a proposé une liste – non exhaustive – de ces « données de toute nature » parmi lesquelles : le pseudonyme, le numéro de Sécurité sociale, le numéro de téléphone, l’adresse électronique ou encore le numéro de compte bancaire684. 2.
Applications jurisprudentielles
583. La jurisprudence récente illustre l’application de ce texte. Le 21 novembre 2014, le Tribunal correctionnel de Paris a condamné une femme à deux ans de prison avec sursis ainsi qu’à 50 000 euros de dommages et intérêts et 26 500 euros au titre des frais de justice pour avoir porté atteinte à la réputation de deux anciens compagnons et de leurs entourages personnel et professionnel respectifs. Elle avait tenu de multiples propos diffamants ou menaçants par SMS, courriers électroniques et sur les réseaux sociaux où elle avait créé des faux profils en reprenant les noms exacts ou modifiés ou encore 681. Communiqué du ministère de l’Intérieur du 14 février 2008. 682. A. Lepage, « Le délit d’usurpation d’identité : questions d’interprétation », JCP éd. G 2011, 913 ; F. Mattatia, « L’usurpation d’identité sur Internet dans tous ses états », Rev. sc. crim. 2014, v. p. 331. 683. Loi n° 2011-267 du 14 mars 2011 d’orientation et de programmation pour la performance de la sécurité intérieure, JO 15 mars 2011, p. 4582. Sur ce délit, v. M. Quéméner, Établissements financiers et cyberfraudes, RB Édition, 2011. 684. Circ. n° JUSD1121169C, 28 juill. 2011, relative à la présentation des dispositions de droit pénal général et de procédure pénale de la loi n° 2011-267 du 14 mars 2011 d’orientation et de programmation pour la performance de la sécurité intérieure : BO Justice, 31 août 2011.
de
la sécurité des systèmes d ’ information et de l ’ information
| 251
le pseudonyme de la victime, de son associée et de leur entreprise et leur photo ainsi qu’en publiant des propos injurieux. Ayant reconnu partiellement les faits, elle a été condamnée pour violence (article 222-11 et suivants du Code pénal), appels téléphoniques malveillants (article 226-16 du Code pénal) et usurpation d’identité (article 226-4-1 du Code pénal). Le tribunal accorde notamment 20 000 euros de dommages et intérêts pour préjudice moral à l’entreprise de la victime au motif que la société a été victime « d’une usurpation d’identité en vue de porter atteinte à son honneur ou à sa considération en utilisant un réseau de communication au public en ligne » et qu’une « telle infraction cause un préjudice particulièrement grave à cette société, les termes utilisés mettant en cause son sérieux et sa probité »685. 584. Le Tribunal correctionnel de Paris a condamné le 18 décembre 2014 un prévenu à une amende de 3 000 euros pour usurpation d’identité et introduction frauduleuse de données. Profitant d’une faille de sécurité sur le site Internet officiel d’une personne publique, le prévenu avait créé un faux site similaire au site officiel qui permettait aux internautes de publier au nom de cette dernière des communiqués au contenu diffamatoire et injurieux. Sur l’usurpation d’identité, le Tribunal avait retenu que les éléments du faux site (nom, photo, charte graphique, etc.) ne pouvaient que conduire l’internaute à opérer une confusion avec le site officiel. En outre, le prévenu avait permis de multiplier les possibilités de visionnage du site « d’une façon exponentielle » en l’adressant à 4 000 contacts sur Twitter qui avaient pu faire de même686. 585. Une jeune femme, fille d’un homme qui était la cible réelle de l’auteur de l’infraction, a été victime d’une usurpation d’identité de ses nom et prénom pour constituer le nom de domaine d’un site Internet. Selon l’arrêt du 12 août 2016 rendu par le TGI de Paris, « la mise en ligne du site “www…fr”, (…) est constitutive du délit défini à l’article 226-4-1 du Code pénal, en ce que ce site – créé sous les noms et prénom de Madame Y. et exploitant différents clichés qui la représentent pour illustrer, en les détournant de leur contexte de fixation, une mise en scène infamante de sa personnalité et de celle de son père – a pour objet, à l’évidence, de nuire à la requérante en salissant sa réputation sur Internet et en exploitant la calomnie ainsi jetée publiquement sur elle pour satisfaire la vindicte de Monsieur Z. contre son père ». En outre, les adresses mail et postale de la jeune femme et de son père avaient été divulguées. Le tribunal lui a donné gain de cause sur le fondement de l’usurpation d’identité, mais il a rejeté le fondement du harcèlement. Il convient de retenir que « la mise en ligne de ce site est donc constitutive d’une atteinte manifestement illicite aux droits de la personnalité de la demanderesse ». La suppression complète et définitive du site Internet en cause a été ordonnée. La sanction prononcée est de 8 000 euros de dommages
685. TGI Paris, 24e ch. corr. 1, 21 nov. 2014, n° 10183000010 et n° 13311000700 ; Com. com. électr. 2015, comm. 85, É. A. Caprioli. 686. TGI Paris, 13e ch. corr., 18 déc. 2014, n° 12010064012 : Juris-Data n° 2014-032729 ; Com. com. électr. 2015, comm. 37, note É. A. Caprioli.
252 | B anque
et
a ssurance
digitales
et intérêts en réparation de l’usurpation d’identité et de 3 000 euros au titre de l’article 700 du Code de procédure civile687. 586. Dans un arrêt de la Cour d’appel de Paris du 10 octobre 2014, l’usurpation d’identité d’un dirigeant d’entreprise a été reconnue. Le prévenu, son ancien associé, avait créé des fausses adresses e-mails, de faux profils Facebook688 et de fausses annonces dans le but de nuire au dirigeant d’entreprise à la suite d’un différend commercial. Le prévenu avait commencé par utiliser la messagerie électronique auquel il avait « normalement accès » et dont il avait ensuite modifié les paramètres d’accès. Par la suite, il avait créé à partir de ses coordonnées de fausses adresses de messageries électroniques ainsi que des faux profils Facebook sur lesquels il avait publié des propos diffamatoires et insultants. Par ailleurs, il avait passé de fausses annonces sur des sites de rencontres et des sites de vente entre particuliers. Le prévenu est condamné à dix mois d’emprisonnement et 30 000 € de dommages et intérêts. La partie civile avait établi « la réalité du préjudice économique, découlant directement de la commission de l’infraction » en rapportant la preuve de la perte de clients et un refus d’embauche du fait des photos et informations sur des sites Internet véhiculant une image très négative d’elle689. 587. Si l’établissement financier peut donc, en tant que personne morale, invoquer une usurpation d’identité à l’égard de toute personne qui reproduirait son site (dans une optique de « phishing » par exemple)690, il doit également prévoir les mesures permettant d’identifier les clients en vertu de ses obligations sur la connaissance client (Know Your Customer). Il s’agit d’un préalable nécessaire pour tous ceux qui entendent signer par voie électronique en agence, chez le client ou dans les contrats à distance. La vérification de l’identité, ou des identifiants si le client est déjà connu, est indispensable. Il en va de même de leur enregistrement et de l’inscription de leurs nom et prénom dans le certificat d’identification électronique qu’il soit standard (utilisable à plusieurs reprises pendant une durée d’un, deux ou trois ans) ou à usage unique. Au final, ce qu’il importe c’est de pouvoir vérifier la signature du contrat. La phase d’authentification des clients et des prospects est une étape cruciale et indispensable à toutes les opérations de banques et d’assurance digitales (v. partie I, chapitre II).
687. La décision est disponible sur le site : www.legalis.net 688. L’usurpation d’identité par la création de faux profils sur des réseaux sociaux peut être sanctionnée sur le fondement de l’atteinte à la vie privée et du droit à l’image (TGI Paris, 17e ch. civ., 24 nov. 2010, Com. com. électr. 2011, comm. 28, note A. Lepage). 689. CA Paris, 10 oct. 2014, n° 13/7387 ; Com. com. électr. 2015, comm. 9, note É. A. Caprioli. 690. L’application de l’article 226-4-1 du Code pénal au bénéfice des personnes morales victimes d’usurpation d’identité nous semble particulièrement nécessaire. Or, cet article est positionné au sein du Code pénal dans un titre relatif aux atteintes à la personne humaine.
de C.
la sécurité des systèmes d ’ information et de l ’ information
| 253
Fraude aux « faux ordres de virement internationaux » (FOVI)
588. Les « faux ordres de virement internationaux » se multiplient dans la vie des affaires et causent des pertes financières importantes qui, en 2014, étaient estimées à 300 millions d’euros691. Également appelé « fraude au Président », son mécanisme repose sur une usurpation d’identité. Le fraudeur se fait passer pour une personne haut placée (dirigeant de l’entreprise, directeur financier, etc.) ou pour un prestataire connu auprès d’un salarié de l’entreprise et sollicite de sa part la réalisation d’un ordre de virement. Les fonds sont en général destinés à un pays étranger, la demande doit être traitée en urgence et il est indiqué au salarié que l’opération est très confidentielle. Pour parvenir à ses fins, le fraudeur s’est au préalable renseigné de façon approfondie sur le fonctionnement de l’entreprise. Le fraudeur peut ainsi cibler les bons interlocuteurs et crédibiliser sa demande. Les chances de voir les plaintes pour escroquerie ou usurpation d’identité aboutir étant faibles ‒ les fraudeurs étant souvent basés à l’étranger ‒ la responsabilité de la banque est de plus en plus recherchée par les entreprises soucieuses d’obtenir le remboursement des sommes détournées. 1.
La responsabilité de la banque
589. Un virement réalisé à la suite de manœuvres frauduleuses peut être considéré comme dépourvu de consentement à l’opération et donc non autorisé (CMF, art. L. 133-7). L’établissement financier a alors l’obligation de rembourser ses clients si l’opération est signalée dans les treize mois suivant la date de débit, ce délai pouvant être contractuellement fixé pour les professionnels (CMF, art. L. 133-18 et L. 133-24). Cette obligation trouve également son fondement dans le contrat de dépôt, l’article 1937 du Code civil prévoyant que la dépositaire (la banque) ne doit restituer la chose déposée (les fonds) qu’à celui qui la lui a confiée (le client) ou à celui qui a été indiqué pour le recevoir (le bénéficiaire effectif d’un virement). 590. Ainsi, les juridictions ont-elles pu considérer que « l’exécution d’un ordre de virement qui n’émane pas du titulaire du compte engage la responsabilité de la banque indépendamment même de toute faute dans l’exécution de ses obligations contractuelles et légales »692. 591. Un virement réalisé à la suite de manœuvres frauduleuses peut également révéler une négligence de la banque au regard de son obligation générale de vigilance. Cette obligation impose de détecter toute « anomalie apparente » dans le cadre de l’exécution des ordres de paiement. Fondée sur la responsabilité civile693, elle ne doit pas être confondue avec l’obligation de vigilance prévue aux 691. Chiffres du ministère de l’Intérieur au 15 décembre 2014, « L’arnaque au président ou escroquerie aux faux ordres de virement (FOVI) » : http://www.police-nationale.interieur. gouv.fr/ 692. CA Paris, pôle 5, ch. 6, 19 févr. 2015, n° 13/21614 : Juris-Data n° 2015-003669. 693. Cass. com., 28 avr. 2004, n° 02-15.054 : Juris-Data n° 2004-023445 ; Bull. civ. IV, 2004, n° 72.
254 | B anque
et
a ssurance
digitales
articles L. 561-5 et suivants du Code monétaire et financier, qui visent la détection de transactions portant sur le blanchiment de capitaux (v. partie I, chapitre III, section I) et dont les manquements ne peuvent être sanctionnés que par les autorités de contrôle. L’« anomalie apparente » peut être considérée comme une notion floue dans le cadre d’une fraude : comment la détecter lorsque des manœuvres frauduleuses ont été élaborées afin de rendre une apparence de normalité à une opération qui ne l’est pas ? La situation s’apprécie dans son ensemble. 592. Un jugement du Tribunal de commerce de Paris du 30 octobre 2014 a retenu la négligence de la banque à la suite de virements frauduleux réalisés dans une entreprise. Un fraudeur s’était fait passer, au moyen d’un courrier électronique, pour la dirigeante de l’entreprise auprès d’une responsable administrative en utilisant une adresse électronique contenant le nom et le prénom de la directrice. Il lui avait demandé de passer des ordres de virement dans le cadre d’une offre publique d’achat d’une société basée à Chypre « strictement confidentielle ». La banque rejetait le premier ordre de virement de la salariée qui n’était pas revêtu de la signature de la dirigeante qui avait le pouvoir pour effectuer ce type d’acte. La salariée adressait alors à la banque un ordre rectificatif qui avait été communiqué par le fraudeur contenant le nom de la directrice et une signature manuscrite. Ce virement était validé par la banque après un contreappel téléphonique réalisé auprès de la salariée. Dans cette décision, le tribunal retenait la responsabilité de la banque en considérant qu’elle avait commis une faute en faisant preuve de négligence, de légèreté et de manque de vigilance (absence de comparaison de la signature de l’ordre avec celle figurant dans le dossier client, validation par téléphone auprès de la salariée qui n’avait pas de pouvoir en ce sens, montant inhabituellement élevé au bénéfice d’une société étrangère ne faisant pas partie des clients habituels de la société)694. 593. Un arrêt de la Cour d’appel de Paris du 19 février 2015, portant sur un virement effectué par téléphone et confirmé par fax, constitue un bon exemple des points de vigilance que la banque doit avoir : les erreurs sur l’adresse du titulaire du compte, la signature « foncée et entourée de plusieurs petits points n’apparaissent pas sur le reste du document, laissant penser à une technique de reproduction par scanner », le numéro incomplet du compte à débiter et ne comportant pas l’identification bancaire par l’IBAN, l’absence de preuve de vérifications lors des appels de l’identité du correspondant, l’absence d’appel au numéro de téléphone déclaré par le client, l’existence de deux virements d’un montant anormalement élevé 695. La fraude ne signifie pas forcément qu’il y a un défaut de vigilance de la banque mais elle peut être l’occasion de révéler d’autres manquements, comme les lacunes des services de la banque en matière de sécurité. 694. T. com. Paris, 6e ch., 30 oct. 2014, n° 2013075398, SAS Etna Industrie c/ CIC ; RDBF 2015, comm. 112, F.-J. Crédot et T. Samin, v. p. 36-38. 695. CA Paris, pôle 5, ch. 6, 19 févr. 2015, n° 13/21614.
de
la sécurité des systèmes d ’ information et de l ’ information
| 255
594. Dans un jugement du Tribunal de commerce de Paris du 9 avril 2015, les juges ont rejeté partiellement la demande d’un client de faire condamner BNP Paribas au remboursement de deux virements réalisés par la comptable de l’entreprise à partir du service de virement électronique. BNP Paribas avait mis en place une solution de virement baptisée NETCASH : le virement était effectué sur Internet et validé par un fax de confirmation du client. Lors d’une réunion entre BNP Paribas et le chef comptable d’une société, ce dernier avait évoqué le non-fonctionnement du service pour des virements hors Union européenne. Un e-mail du même jour confirmait au client qu’il serait recontacté pour trouver une solution. Cinq jours plus tard, une personne se présentant comme un salarié de BNP Paribas contactait par téléphone la comptable de l’entreprise pour résoudre le problème. Afin de tester l’efficacité de l’intervention, deux virements étaient réalisés à destination des États-Unis et de Chypre. La société était ensuite recréditée des sommes correspondantes. Quelques jours plus tard, deux nouveaux virements sont ordonnés par la comptable toujours à la demande de l’escroc. Ces virements ne seront jamais remboursés. Le Tribunal a considéré que la banque n’avait pas commis de faute en exécutant les virements puisqu’ils ont été ordonnés par Internet dans le cadre d’une procédure sécurisée et confirmés par fax : l’examen du fax ne constitue qu’un simple contrôle et le client ne peut se prévaloir des défauts affectant le fax pour contester les virements. En revanche, les juges ont considéré que « le recours au service télématique s’est avéré totalement inadapté » et que « BNP a donc concouru par sa négligence et des conseils inappropriés au préjudice de son client ». La banque est ainsi condamnée au remboursement du 3e virement. Le 4e reste à la charge du client en raison de ses propres imprudences (notamment le fait d’avoir ordonné le 4e virement sans que le 3e ait été préalablement remboursé)696. 595. L’établissement financier pourra s’exonérer de sa responsabilité en prouvant notamment la négligence du client. À titre d’exemple, pour les moyens de paiement revêtus de « dispositif de sécurité personnalisé »697, le client a pour obligation de prendre « toute mesure raisonnable » pour en préserver la sécurité (articles L. 133-4 et L. 133-15 du CMF). Dans le cas du virement en ligne, la négligence pourrait être reconnue à l’encontre du titulaire du compte lorsqu’il laisse à l’évidence ses identifiants à proximité de son ordinateur, dans son smartphone ou encore lorsqu’ils sont connus par des personnes non habilitées pour ce type d’opération. Toutefois, il reviendra à la banque de rapporter la preuve de la négligence du client dans la protection de ses identifiants.
696. T. com. Paris, 9 avr. 2015, n° 2014004916, SAS Swarowski France c/ SA BNP Paribas : Juris-Data n° 2015-024600 ; RDBF 2015, comm. 112, F.-J. Crédot et T. Samin ; Com. com. électr. 2015, comm. 102, v. p. 38 à 42, obs. É. A. Caprioli. 697. Ce dispositif s’entend « de tout moyen technique affecté par un prestataire de services de paiement à un utilisateur donné pour l’utilisation d’un instrument de paiement. Ce dispositif, propre à l’utilisateur de services de paiement et placé sous sa garde, vise à l’authentifier ».
256 | B anque
et
a ssurance
digitales
596. La Cour d’appel de Paris a jugé qu’une banque qui réalise un virement de 240 000 euros sans en avoir reçu l’ordre est responsable de plein droit et, à ce titre, elle doit rembourser son client des montants débités. En application de l’article 1937 du Code civil, l’exécution des faux ordres de virement n’est pas un paiement valable dès lors que les fonds ont été adressés à une personne qui n’avait pas le pouvoir de les recevoir. La banque n’avait pas été en mesure de rapporter la preuve que l’ordre de virement émanait du client, personne avec laquelle elle avait été en communication téléphonique. Le numéro de téléphone qu’elle avait appelé en Angleterre ne correspondait pas à celui dont la banque disposait. En tant que dépositaire des fonds, la banque a l’obligation de restituer les fonds698. 597. Le 2 octobre 2014, la Cour d’appel de Chambéry a rejeté la demande d’indemnisation formée par le client d’une banque qui estimait que cette dernière avait commis une faute en autorisant l’émission à partir de ses comptes bancaires de 3 virements prétendument frauduleux. Selon la cour d’appel, la banque n’a commis aucune faute dans la mesure où « l’authenticité des virements ne peut être démontrée que par l’utilisation combinée du code confidentiel et du numéro d’identifiant que seul le client détient » et où le contrat rappelle au client « qu’il doit veiller particulièrement à la conservation confidentielle de son code d’accès ». La cour d’appel souligne que le contrat stipulait que « toutes les opérations effectuées avec le code d’accès sont réputées avoir été effectuées par le client et/ou avec son consentement » et que les éléments en sa possession, y compris ceux des investigations pénales, ne permettent pas d’imputer une faute à la banque699. 2.
La sécurisation de l’accès
598. La sécurité apparaît comme un élément essentiel du point de vue de l’établissement financier sur qui pèse la charge de la preuve en cas de contestation de l’opération de paiement (CMF, art. L. 133-23). 599. Afin de prévenir, les risques associés à ces pratiques délictueuses, la Fédération des banques françaises ainsi que le MEDEF avec l’Office central pour la répression de la grande délinquance financière (OCRGDF) de la Police judiciaire ont publié en janvier 2015 un guide sur « les ordres de virements avec neuf réflexes de sécurité » et un livret de conseils intitulé, « Prévention des risques de fraudes aux entreprises »700. Il reste aux entreprises et aux banques à sensibiliser leurs personnels en ce sens et à durcir leurs procédures de contrôle des ordres de virements et de communication avec les clients. 698. CA Paris, Pôle 5, 6e ch., 18 déc. 2014, Juris-Data n° 2014-032119, LEDB 2015, n° 2, Note R. Routier ; RDBF 2015, comm. 112, F.-J. Crédot et T. Samin, v. p. 37. 699. CA Chambéry, 2e ch., 2 oct. 2014, n° 13/02403. 700. https://www.creditmutuel.fr/bcmne/fr/banques/telechargements/guide-securite-fraudeordres-virement.pdf ; http://www.idfo-tic.com/wp-content/uploads/2015/08/DAEJ-n%C2%B0087-du-04-aout-2015_Pr%C3%A9vention-de-risques-de-fraudes-aux-entreprises_Annexe_ OCRGDF.pdf.
de
la sécurité des systèmes d ’ information et de l ’ information
| 257
600. Afin de pouvoir lutter efficacement contre tout type de fraude, il semblerait important que les banques et les entreprises puissent conserver les numéros de téléphone des appels entrants et les adresses IP, spécialement lorsque ces adresses ne sont pas des données à caractère personnel701. Le futur pack de conformité pour le secteur bancaire, à l’image de ce qui existe chez les assureurs702, serait avisé d’apporter des précisions sur ces points, dans la mesure où la lutte contre la fraude devrait être abordée. D.
Les fuites d’information
601. Parmi les risques relatifs aux atteintes aux données constituant le patrimoine informationnel de l’entreprise, les fuites d’information représentent une part importante des attaques numériques. S’agissant des vols et fuites d’informations, le baromètre du Club des experts de la sécurité de l’information et du numérique (CESIN)703 indique que les entreprises interrogées estiment à 48 % avoir un risque d’exposition fort alors que seulement 28 % d’entre elles ont subi ce type d’attaque. Les atteintes peuvent être externes mais aussi internes. Afin de pallier les risques liés aux fuites d’information, les directions de la sécurité et RSSI installent des solutions dites de « Data Loss/Leak Prevention » (DLP) pour les fuites et les pertes d’informations704. 1.
« Data Loss Prevention » (DLP) : un moyen de protection des informations de l’entreprise
602. Le développement de la cybercriminalité a entraîné la prévention des fuites d’information qu’elles soient volontaires ou involontaires. Les solutions de DLP sont de nature logicielle, technique et organisationnelle. Elles visent à identifier, surveiller et protéger le patrimoine informationnel d’une entreprise ou d’une organisation, et ce peu importe que les informations soient en cours d’utilisation ou qu’elles soient archivées, stockées sur un serveur ou sur un support mobile (smartphone, ordinateur portable, tablette, clé USB)705. En pratique, les solutions de DLP se développent de plus en plus afin de prévenir les fuites internes d’informations et certaines entreprises se sont interrogées sur leur encadrement juridique.
701. CA Rennes, ch. com., 28 avr. 2015, n° 14/05708, SARL Cabinet Peterson c/ SARL Groupe Logisneuf, SARL C-Invest, SARL European Soft : Juris-Data n° 2015-020534 ; Com. com. électr. 2015, comm. 64, É. A. Caprioli. 702. Autorisation unique n° AU-039 : CNIL Délib. n° 2014-312, 17 juill. 2014 portant autorisation unique de traitements de données à caractère personnel ayant pour finalité la lutte contre la fraude à l’assurance mise en œuvre par les organismes d’assurance, de capitalisation, de réassurance, d’assistance et par les intermédiaires d’assurance : JO 31 juill. 2014. 703. http://www.cesin.fr/publications/document/display/121. 704. Dans la pratique, on retrouve les deux expressions. 705. V. le référentiel de bonnes pratiques de l’AFNOR, « Prévention et gestion de la fuite d’informations », BP Z90-001, déc. 2014.
258 | B anque
2.
et
a ssurance
digitales
Une première jurisprudence sur la pratique des DLP
603. La Cour d’appel de Paris, à l’occasion d’une décision du 12 mai 2016706, a annulé la sanction disciplinaire d’un salarié (licenciement). En contravention avec la charte informatique de son employeur (une grande banque française), ce dernier avait envoyé à partir de son poste de travail vers son e-mail personnel trois messages contenant cinq pièces jointes non chiffrées. Or, il s’agissait de documents professionnels identifiés comme étant « confidentiel ». La découverte des faits a été réalisée au moyen du dispositif de DLP. La Cour d’appel de Paris retient que le système de protection n’avait pas pour unique objet la sécurité du système d’information, mais qu’il servait également au contrôle de l’activité des salariés. 604. Selon les termes de la décision de la cour : « les systèmes de filtrage et de collecte d’information mis en place en application de l’article 4 de la charte d’utilisation des moyens de communication électronique concernent, s’agissant des messages sortants, qui sont l’objet du litige, un contrôle anti-viral, un filtrage des messages à destination d’un utilisateur ou d’un serveur manifestement hostile, ou encore des messages dont la taille est trop importante, et donc un filtrage s’exerçant en amont, et par ailleurs la collecte d’informations sur l’identification du compte de l’utilisateur, les coordonnées du destinataire ainsi que le volume, le format et la nature des pièces jointes. Il ressort des explications données par l’employeur en comité d’établissement que le système DLP ajoute à ces contrôles celui d’un “système de filtrage des méls sortants… afin de détecter d’éventuelles fuites d’informations ou données sensibles”. L’outil de sécurité du système d’information met donc en œuvre non plus seulement un contrôle anti-viral, du caractère hostile du destinataire, de la taille des messages ou encore du volume et de la nature des pièces jointes, ayant pour objet de bloquer certains messages, mais bien un contrôle de l’objet et du contenu même des messages et des pièces qui y sont jointes s’exerçant a posteriori. Il s’agit par conséquent d’un changement de finalité du contrôle caractérisant une modification substantielle du filtrage et de la collecte d’informations opérées par la (banque), nécessitant dès lors une déclaration modificative auprès de la CNIL, peu important à cet égard que l’article 4 de la charte prévoit la possibilité pour la (banque) de mettre en œuvre “plus généralement tout filtrage nécessaire pour préserver la sécurité du système d’information” ». 605. Ainsi, un tel changement nécessitait une déclaration modificative auprès de la CNIL et qu’en l’absence de cette déclaration et d’une information du comité d’entreprise, les données collectées au moyen de cet outil (le DLP) constituent des preuves illicites devant être écartées des débats. Le licenciement a été jugé sans cause réelle et sérieuse.
706. CA Paris, pôle 6, ch. 9, 12 mai 2016, n° 14/10477.
de 3.
la sécurité des systèmes d ’ information et de l ’ information
| 259
Quels enseignements retenir ?
606. Certes, si les outils de DLP ont pour but principal de protéger les informations, ils servent aussi à contrôler les salariés malveillants ou maladroits, et le cas échéant, à les sanctionner. En effet, les salariés sont susceptibles d’être les auteurs de la fuite comme c’était le cas dans cette affaire. Ceci explique pourquoi de tels systèmes de sécurité doivent faire l’objet de formalités préalables auprès de la CNIL et d’une information des instances représentatives du personnel. Il conviendra d’ajouter que leur utilisation impose de vérifier si la charte informatique l’autorise ; à défaut, une modification de la charte (annexée au règlement intérieur de l’entreprise)707 s’impose ! D’ailleurs, la charte informatique de la banque était relativement ancienne (à tout le moins avant l’introduction de solutions de DLP) et contenait des stipulations très générales et inadaptées aux moyens mis en œuvre. Pour motiver sa décision, la Cour a comparé la finalité des contrôles indiqués dans la charte informatique avec la finalité déclarée de l’outil afin de mettre en exergue le fait que la charte ne prévoyait pas la finalité de contrôle de l’activité des salariés par l’outil de DLP. De plus, dans un PV du comité d’entreprise, la banque affirmait : « il ne s’agit pas d’un outil de contrôle de l’activité des salariés. DLP est un outil de détection des fuites d’informations… ». En outre, la charte indiquait que la société peut mettre en œuvre « plus généralement tout filtrage nécessaire pour préserver la sécurité du système d’information », ce qui était très nettement insuffisant. 607. En tout état de cause, il est recommandé de réviser régulièrement la charte informatique si l’on entend assurer correctement la sécurité du patrimoine informationnel de l’entreprise et sanctionner les abus ; une révision tous les cinq ans semble une périodicité raisonnable. De plus, la mise en place d’un nouvel outil de sécurité (ex. : DLP, déchiffrement de flux https ; SOC) implique donc d’évaluer l’étendue de ses finalités ainsi que ses incidences techniques et juridiques. À défaut, l’entreprise risque de voir ses sanctions disciplinaires invalidées et ses traitements de données à caractère personnel non conformes aux règles relatives à la protection des données ! E.
Ransomware ou l’avènement de la prise d’otage numérique
608. La cybercriminalité se développe constamment que ce soit de façon quantitative ou qualitative. La société Symantec dans son rapport annuel de 2016 sur l’évolution des menaces informatiques dans le monde708 a souligné l’augmentation de plus de 36 % des logiciels malveillants par rapport à 2014 (en 10 ans, on serait passé d’environ 22 000 à 430 millions de logiciels malicieux). Cela peut aussi se traduire par du piratage de données plus ou moins sensibles comme, par exemple, Ashley Madison (site de rencontres extra-conjugales avec 37 millions d’utilisateurs concernés) en août 2015, où 9,7 gigaoctets de données piratées se sont retrouvés sur le dark Web ou le fabricant de jouets connectés 707. V. supra partie I, chapitre IV, section I - § 1. 708. https://www.symantec.com/fr/fr/security_response/publications/threatreport.jsp
260 | B anque
et
a ssurance
digitales
VTech fin 2015 où les noms, les adresses mail, les mots de passe chiffrés, la question ainsi que les réponses « secrètes », les adresses postales, mais également des photos d’enfants ou l’historique des messages envoyés à leurs parents ont été recueillis (soit 6,3 millions de profils d’enfants, dans le monde dont 1,2 million d’enfants français) sans parler des 500 millions de comptes Yahoo piratés en 2014. Paralysant le système d’information d’un hôpital aux USA en février 2016, les pirates ont réclamé une rançon de 3,4 millions de dollars en bitcoins en contrepartie du déblocage des données de ce centre médical709. Force est de constater que l’atteinte aux données médicales est largement dépassée, l’enjeu ici touchait à la sécurité des personnes. Fort heureusement, le système d’information du centre fonctionne de nouveau normalement. 609. OS Microsoft, Mac, Linux, Androïd, Apps, tous les terminaux (Ordinateurs fixes et mobiles, téléphones portables et smartphones, tablettes, IOT) et tous les systèmes sont visés par des « malwares ». Il n’en demeure pas moins que c’est bien la recrudescence des « ransomwares » qui marque cette année. Toujours selon Symantec, le nombre de ransomwares a augmenté de 35 % en 2016, dans lesquels, les cybercriminels utilisent le chiffrement pour leurs prises en otage des données des particuliers et des entreprises. Pour la France, le baromètre de la cyber-sécurité des entreprises de janvier 2016 du Club des experts de la sécurité de l’information et du numérique710 constate que 61 % des entreprises interrogées ont été victimes de demandes de rançons. On a recensé 391 000 attaques de ce type en France ! Et maintenant les ransomwares commencent à se propager sur les téléphones mobiles. 1.
Les contours du « Ransomware »
610. Le ransomware est un logiciel malveillant qui a la particularité de prendre en « otage » des données d’une entité en les chiffrant ou de bloquer l’accès à une machine à tout utilisateur. Pour déchiffrer les données avec une clé cryptographique ou disposer de l’équipement ou de la clé permettant de déverrouiller la machine, la victime doit verser une somme d’argent, qui, le plus souvent, s’effectue à l’aide de Bitcoins. En mars 2016, l’AFP a été victime de deux tentatives d’extorsion avec le ransomware Locky711 qu’elle a déjouées sans payer la rançon et en portant plainte. Mais, il convient de souligner que l’AFP avait pris des précautions en amont qui lui ont permis de recouvrer ses données (ex. : conservation des données off line). À côté de ces procédés reposant sur du chiffrement, il existe d’autres procédés apparentés, sans utilisation de produits cryptographiques qui, par exemple, orientent la victime vers des numéros gratuits mais qui sont en réalité surtaxés ou de faux techniciens supports de Microsoft qui imitent des pages d’erreurs et bloquent l’ordinateur avec une prise 709. http://www.lesechos.fr/17/02/2016/lesechos.fr/021704417085_des-hackers-prennent-enotage-le-systeme-informatique-d-un-hopital.htm 710. http://www.cesin.fr/publications/document/display/121 711. Ce malware est apparu en février 2016. V. sur ce malware le blog de Korben : http://korben. info/locky-quil-y-a-a-savoir-malware-moment.html
de
la sécurité des systèmes d ’ information et de l ’ information
| 261
de contrôle à distance par le biais de Team Viewer. Parmi les ransomwares les plus connus, on peut citer Cryptowall (actuellement la V.4.0) ou TeslaCrypt, et plus récemment Samsam qui s’attaque aux serveurs utilisant Jboss. 2.
Risques juridiques
611. Les risques juridiques sont de natures diverses. Parmi eux, on citera non seulement les pertes de données à caractère personnel, mais également la préservation de la sécurité des données à caractère personnel afin qu’elles ne soient pas déformées, endommagées ou que des tiers non autorisés y aient accès (article 34 de la loi du 6 janvier 1978) sous peine de sanctions de la CNIL (ex. : avertissement et amende) ou de sanctions pénales (article 226-17 du Code pénal : 300 000 euros d’amende et 5 ans de prison). 612. Ce risque a pris de la consistance lorsqu’un groupe de hackers a divulgué progressivement des données médicales de plus de 15 000 personnes qu’il avait piratées au laboratoire Labio car ce dernier avait refusé de payer les 20 000 euros demandés. Cependant, avec le nouveau règlement européen712, applicable à compter de mai 2018, tous les responsables de traitement des entreprises auront l’obligation de notifier les violations de données personnelles, contrairement à la loi de 1978 actuellement en vigueur qui ne vise que les fournisseurs de services de communications électroniques en vertu de l’article 34 bis, introduit suite à l’ordonnance du 24 août 2011713. Selon l’article 33 du RGPD, cette notification doit intervenir dans les 72 heures à compter de sa connaissance auprès de l’autorité de contrôle et lorsque la violation est susceptible d’engendrer un risque élevé pour les droits et libertés de la personne, la notification à la personne concernée doit s’opérer dans les meilleurs délais (article 34 du RGPD). 3.
Parades juridiques
613. Le droit n’est pas sans réponse. En effet, le Code pénal dispose d’un arsenal apte à répondre à ces menaces. À ce titre, il sera envisageable de réprimer les atteintes aux systèmes d’information visées aux articles 323-1 et 323-2 du 712. Règlement n° 2016/679/UE, règlement général sur la protection des données, JOUE n° L. 119, 4 mai 2016, p. 1, cf. partie I, chapitre II. 713. Ordonnance n° 2011-1012 du 24 août 2011 relative aux communications électroniques ; v. « Paquet Télécom » avec la directive n° 2009/140/CE du Parlement européen et du Conseil du 25 novembre 2009 modifiant les directives n° 2002/21/CE relative à un cadre réglementaire commun pour les réseaux et services de communications électroniques, n° 2002/19/CE relative à l’accès aux réseaux de communications électroniques et aux ressources associées, ainsi qu’à leur interconnexion, et n° 2002/20/CE relative à l’autorisation des réseaux et services de communications électroniques ; et avec la directive n° 2009/136/CE du Parlement européen et du Conseil du 25 novembre 2009 modifiant la directive n° 2002/22/CE concernant le service universel et les droits des utilisateurs au regard des réseaux et services de communications électroniques, la directive n° 2002/58/CE concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques et le règlement n° 2006/2004/CE relatif à la coopération entre les autorités nationales chargées de veiller à l’application de la législation en matière de protection des consommateurs.
262 | B anque
et
a ssurance
digitales
Code pénal : introduction, maintien frauduleux dans un système d’information, altération du fonctionnement du SI. Les sanctions varient entre 2 et 5 ans d’emprisonnement et entre 60 000 et 150 000 euros d’amende (sauf si c’est un SI de l’État, les sanctions sont plus fortes). Mais pour le ransomware, ce sera plutôt l’article 323-3 du Code pénal qui jouera : « le fait d’introduire frauduleusement des données » dans un SI, « d’extraire, de détenir, de reproduire, de transmettre, de supprimer ou de modifier frauduleusement les données qu’il contient », voire l’article 323-3-1 qui permet de sanctionner l’offre, l’importation, la détention, la mise à disposition ou la cession de programmes malveillants. De plus, ces infractions sont encore plus sévèrement sanctionnées dès lors que la préparation s’effectue en groupe ou qu’elles sont commises en bandes organisées, ce qui est souvent le cas des attaques de type ransomware (ex. : près de 325 millions de dollars ont profité au même groupe de cybercriminels avec cryptoWall 3.0). Enfin, signalons un autre délit plus sévèrement réprimé mais dont les éléments constitutifs sont difficiles à établir dans le cas du ransomware : l’extorsion de fonds (article 312-1 du Code pénal)714 ou le chantage715. 614. Les plaintes pénales, lorsqu’elles aboutissent à des poursuites judiciaires, durent plusieurs années avant qu’une condamnation n’intervienne. Or, pour y parvenir, encore faut-il, d’une part, identifier le (ou les) délinquant(s) qui se trouve(nt) souvent hors du territoire français et européen et à partir de plusieurs points d’un réseau et, d’autre part, réunir les éléments de l’ (ou des) infraction(s). Mais, au final, on constate que les tribunaux sanctionnent encore peu ce type d’activité criminelle. Le mal étant fait, les victimes paient souvent sans porter plainte (sans aucune garantie d’accéder à leurs données !), ce qui ne facilite pas la tâche des services de police. Or, certains spécialistes préconisent de ne pas payer la rançon pour différentes raisons : en premier lieu, la victime est en prise avec un criminel qui vole des fichiers et réclame une rançon ; en deuxième lieu, même si la victime paye, elle n’a aucune garantie de récupérer ses données qui peuvent rester chiffrées ; en troisième lieu, payer incite les criminels à renouveler une pratique qui a généré facilement de l’argent. 615. Si des mesures de sécurité techniques existent, notamment logicielles (telles que Malwarebytes et les solutions développées par des sociétés de sécurité informatique) ou de sécurité (analyse « Forensics », mettre à jour et entretenir ses systèmes, utiliser un anti-virus à jour et un pare-feu, procéder au nettoyage, au reformatage et à la restauration des données), la meilleure reste l’anticipation : procéder à la sauvegarde régulière des fichiers et données hors réseau ou sur un 714. « L’extorsion est le fait d’obtenir par violence, menace de violences ou contrainte soit une signature, un engagement ou une renonciation, soit la révélation d’un secret, soit la remise de fonds, de valeurs ou d’un bien quelconque. L’extorsion est punie de sept ans d’emprisonnement et de 100 000 euros d’amende ». 715. « Le chantage est le fait d’obtenir, en menaçant de révéler ou d’imputer des faits de nature à porter atteinte à l’honneur ou à la considération, soit une signature, un engagement ou une renonciation, soit la révélation d’un secret, soit la remise de fonds, de valeurs ou d’un bien quelconque. Le chantage est puni de cinq ans d’emprisonnement et de 75 000 euros d’amende ».
de
la sécurité des systèmes d ’ information et de l ’ information
| 263
support sécurisé et à la sensibilisation et au contrôle des utilisateurs. Plusieurs recommandations ont été établies pour éviter d’être infecté par les cryptoransomwares, mais surtout, il ne faut pas omettre de souscrire une assurance cyber-risques adaptée716 ! F.
Le vol de données
616. La question de la qualification de vol de données se pose depuis l’adoption de la loi Godfrain en 1988. En principe, le vol suppose la soustraction de la chose, alors que, dans le numérique, la chose (le bien incorporel) demeure ; ces données sont reproduites de façon illicite ou non autorisée. D’où la proposition doctrinale de consacrer le « vol-reproduction » à côté du « vol-soustraction ». La question vient tout juste d’être tranchée par la Cour de cassation dans une affaire qui concernait une extraction et une reproduction de données se trouvant dans le SI d’un opérateur d’importance vitale. 617. En utilisant le moteur de recherche Google, un blogueur a pu accéder « fortuitement » au serveur extranet de l’Agence nationale de sécurité sanitaire de l’alimentation, de l’environnement et du travail (ANSES). Malgré la découverte ultérieure d’un système d’authentification (identifiant et mot de passe), il a poursuivi sa navigation et il a téléchargé une quantité importante de documents. L’ANSES avait découvert cette attaque à la suite de la publication d’un article accompagné d’une partie de ces documents, lesquels étaient destinés à un usage restreint. L’enquête interne au sein de l’ANSES permettait de découvrir que 8 000 fichiers avaient été exfiltrés en deux jours. En parallèle, les enquêteurs découvraient l’existence d’un second article accompagné de documents publié sous le nom de « Bluetouff » qui affirmait détenir 7,7 gigaoctets de documents traitant de questions de santé publique. L’adresse IP a été localisée au Panama sur un serveur informatique hébergeant une solution VPN d’une société fondée et dirigée par le blogueur qui était alors poursuivie en justice. En première instance, la relaxe totale était prononcée717. 618. Après appel du Parquet, la cour d’appel a confirmé la relaxe du blogueur, mais uniquement pour l’accès frauduleux au STAD. En effet, elle a considéré que, outre le manque d’éléments probants, l’accès avait été permis par une « défaillance technique concernant l’identification existant dans le système ». Cependant, elle a condamné le prévenu à une amende de 3 000 euros pour le maintien frauduleux dans un STAD et vol de fichiers informatiques718. La cour confirme que les deux délits d’introduction et de maintien frauduleux sont distincts. La jurisprudence a statué en ce sens dès 1994 : « la loi incrimine également le maintien irrégulier dans un système de la part de celui qui y serait
716. J.-L. Santoni, « Cybercriminalité. Le ransomware est-il assurable ? », Expertises 2016, p. 219. 717. TGI Créteil, 11e ch. corr., 23 avr. 2013 : Com. com. électr. 2013, comm. 96, É. A. Caprioli. 718. CA Paris, pôle 4, ch. 10, 5 févr. 2014, n° 13/04833 : Com. com. électr. 2014, comm. 40, É. A. Caprioli.
264 | B anque
et
a ssurance
digitales
rentré par inadvertance ou de la part de celui qui, y ayant régulièrement pénétré, s’y serait maintenu frauduleusement »719. 619. Pour la Cour d’appel, le prévenu a « parfaitement reconnu qu’après être arrivé “par erreur” au cœur de l’extranet de l’ANSES, avoir parcouru l’arborescence des répertoires et être remonté jusqu’à la page d’accueil, il avait constaté la présence de contrôles d’accès et la nécessité d’une authentification par identifiant et mot de passe ; qu’il est ainsi démontré qu’il avait conscience de son maintien irrégulier dans le système de traitement automatisé de données visité où il a réalisé des opérations de téléchargement de données à l’évidence protégées ; que les investigations ont démontré que ces données avaient été téléchargées avant d’être fixées sur différents supports et diffusées ensuite à des tiers ; qu’il est, en tout état de cause, établi qu’Olivier L. a fait des copies de fichiers informatiques inaccessibles au public à des fins personnelles à l’insu et contre le gré de leur propriétaire ; que la culpabilité d’Olivier L. sera donc retenue des chefs de maintien frauduleux dans un système de traitement automatisé de données et de vol de fichiers informatiques au préjudice de l’ANSES ». 620. Enfin, la Cour de cassation a validé la décision d’appel en rejetant le pourvoi. Elle a retenu que le blogueur s’est « maintenu dans un système de traitement automatisé de données après avoir découvert que celui-ci était protégé et a soustrait des données qu’il a utilisées sans le consentement de leur propriétaire »720. Cette décision de la Haute Cour doit être mise en parallèle avec le nouvel article 323-3 du Code pénal721 opéré par la loi du 13 novembre 2014 relative à la lutte contre le terrorisme. Cet article réprime désormais le fait « (…) d’extraire, de détenir, de reproduire, de transmettre » frauduleusement les données contenues dans tout type de système d’information (STAD). Cette modification du Code pénal consacre indirectement le vol de données dès lors que cet article figure dans les atteintes aux systèmes d’information, contrairement à l’article 311-1 du Code pénal sur le vol. Et finalement, on peut se demander si le législateur n’a pas souhaité distinguer le vol de données du vol d’un bien corporel722. Au demeurant, la nouvelle infraction présente plusieurs intérêts étant donné qu’elle est plus sévèrement réprimée que le vol « classique » et qu’elle réprime les fuites d’information. Cette infraction est sanctionnée par trois ans d’emprisonnement et 45 000 euros d’amende alors que l’atteinte au STAD est réprimée par cinq ans d’emprisonnement et 150 000 euros d’amende723.
719. CA Paris, 5 avr. 1994 : D. 1994, inf. rap. p. 130 ; JCP éd. E, 1995, I, 461, obs. M. Vivant et C. Le Stanc. 720. Cass. crim., 20 mai 2015, n° 14-81.336, Juris-Data n° 2015-011834 ; Com. com. électr. 2015, comm. 74, obs. É. A. Caprioli. 721. Loi n° 2014-1353 du 13 novembre 2014 renforçant les dispositions relatives à la lutte contre le terrorisme, JO 14 nov. 2014, p. 19162. 722. « Rapport fait au nom de la commission des lois constitutionnelles, de la législation et de l’administration générale de la république sur le projet de loi (n° 2110) renforçant les dispositions relatives à la lutte contre le terrorisme », 22 juill. 2014. 723. L’amende a été augmentée avec la loi n° 2015-912 du 24 juillet 2015, (art. 4) sur le renseignement.
de
la sécurité des systèmes d ’ information et de l ’ information
| 265
621. Comme nous l’avons vu plus haut, il existe d’autres textes plus généraux pouvant être appliqués à la répression des atteintes (ou des tentatives comme avec le ransomware724) aux systèmes des banques et des assurances [escroquerie, contrefaçon (de marque, de site, etc.) ou encore l’usurpation d’identité (article 226-4-1 du Code pénal)] sur lesquels on peut s’appuyer pour sanctionner des délits comme ceux relatifs au « phishing » (v. partie I, chapitre IV, section III, B). 622. Il convient de ponctuer notre propos par une réflexion plus générale sur l’efficacité et l’effectivité du dispositif pénal. S’agissant des textes en vigueur, on constate qu’il n’y a plus de faille majeure dans notre système depuis l’introduction de la répression des fuites d’informations (article 323-3 du Code pénal) et la prochaine transposition de la directive n° 2016/943/UE du Parlement européen et du Conseil du 8 juin 2016 sur le secret des affaires725 qui étend les moyens d’action de l’entreprise à des informations, jusque-là non protégées. Reste à souhaiter que le texte de transposition ne se contente pas de prévoir des sanctions civiles, mais qu’il dotera également notre système de sanctions pénales. Pourtant la réalité judiciaire ne nous paraît pas être à la hauteur des dommages causés aux entreprises que ce soit en termes financier, humains ou en termes d’image. Bref, si le dispositif pénal semble complet au niveau des investigations judiciaires, des quantums des peines encourues, en revanche, les peines prononcées restent très souvent faibles, voire symboliques. La réponse judiciaire doit correspondre aux attentes des victimes, qu’elles soient banques ou assurance, mais plus généralement toute entreprise.
SECTION IV OBLIGATIONS RELATIVES À LA SÉCURITÉ DES SYSTÈMES D’INFORMATION 623. Face au développement des risques et des menaces générées par le numérique, les obligations relatives à la sécurité des systèmes d’information s’étoffent. Certaines de ces obligations se traduisent par des textes de nature légale et réglementaire (§ 1), alors que d’autres relèvent de la catégorie des normes ou des contrats (§ 2).
724. V. partie I, chapitre IV, section III. E 725. Directive n° 2016/943/UE du Parlement européen et du Conseil du 8 juin 2016 sur la protection des savoir-faire et des informations commerciales non divulgués (secrets d’affaires) contre l’obtention, l’utilisation et la divulgation illicites ; S. Schiller, « Secret des affaires et juristes d’entreprises », JCP éd. E et A n° 35, 1er sept. 2016, 1460 ; S. Marcellin et T. Manoir de Juay, Le secret des affaires, LexisNexis, 2016.
266 | B anque
et
a ssurance
digitales
§ 1 – Principaux textes et leurs applications
624. Les banques et les assurances ont des obligations strictes en termes de sécurisation des données qu’elles collectent auprès de leurs clients et qu’elles traitent dans leurs systèmes. Cependant, en cas d’atteinte aux systèmes d’information et aux données qu’ils contiennent ou plus généralement d’incidents de sécurité, les entreprises des secteurs de la banque et de l’assurance, à l’instar des autres entreprises, bénéficient d’un dispositif répressif de droit commun qui leur permet d’engager des poursuites sur le plan pénal comme nous avons pu l’analyser supra. Les incidents de sécurité sont des événements qui portent atteinte à l’une des trois composantes de la sécurité des systèmes d’information : la disponibilité, la confidentialité ou l’intégrité. On citera à titre d’exemples l’utilisation illégale d’un mot de passe pour se connecter, le vol d’équipements informatiques, ou encore le vol de données ou les intrusions dans un système, dans un fichier ou dans une application, etc. À ce titre, selon l’ANSSI dans son glossaire, « l’intrusion est le fait, pour une personne ou un objet, de pénétrer dans un espace (physique, logique, relationnel) défini où sa présence n’est pas souhaitée »726. La réglementation impose des obligations de sécurisation des systèmes d’information. Les principaux textes seront présentés ainsi que leurs applications par les tribunaux et les autorités de régulation, lorsqu’elles existent. A.
Obligations dans le cadre de la protection des données à caractère personnel
625. Les banques et les assurances sont des responsables de traitement, puisqu’elles fixent la finalité et les moyens des traitements mis en place dans le cadre de leurs activités. À ce titre, en application de la loi du 6 janvier 1978, l’article 34 les assujettit, en leur qualité de responsable de traitement727 à une obligation de sécurité vis-à-vis des données à caractère personnel qu’elles traitent : « le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès ». Cet article existe depuis l’origine de la loi « Informatique et libertés » en 1978. On retrouve cette obligation de sécurité aussi bien dans la Convention du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel de 1981728 que dans la directive
726. http://www.ssi.gouv.fr/entreprise/glossaire/i/ 727. Cet article figure au chapitre V de la loi « Obligations incombant aux responsables de traitement et droit des personnes ». 728. Convention STCE n° 108, 28 janv. 1981 : https://rm.coe.int/CoERMPublicCommonSearch Services/DisplayDCTMContent?documentId=0900001680078b39. V. l’article 7 – Sécurité des données : « Des mesures de sécurité appropriées sont prises pour la protection des données à caractère personnel enregistrées dans des fichiers automatisés contre la destruction accidentelle ou non autorisée, ou la perte accidentelle, ainsi que contre l’accès, la modification ou la diffusion non autorisés ».
de
la sécurité des systèmes d ’ information et de l ’ information
| 267
n° 95/46/CE du 24 octobre 1995729. On ne s’étonnera donc pas de la voir figurer en bonne place dans le règlement RGPD du 27 avril 2016 ; une section est consacrée à la « Sécurité des données à caractère personnel » (art. 32 à 34). 626. Généralement, l’obligation de sécuriser les données personnelles s’apprécie comme une obligation de moyens, voire de moyens renforcés. On observera qu’aux termes de la dernière phrase de l’article 17-1 de la directive n° 1995/46/ CE, non reprise dans la loi de 1978 : « ces mesures doivent assurer, compte tenu de l’état de l’art et des coûts liés à leur mise en œuvre, un niveau de sécurité approprié au regard des risques présentés par le traitement et de la nature des données à protéger ». Dans le dispositif légal actuel, outre les sanctions de la CNIL (amende d’un montant maximum de 150 000 euros, blocage du traitement, avertissement, publicité de la sanction, etc.), pénalement la sanction prévue en cas de manquement est de cinq ans d’emprisonnement et de 300 000 euros d’amende. La loi pour une République numérique a augmenté la sanction que peut prononcer la formation restreinte de la CNIL à un montant maximum de 3 000 000 euros730. Si le responsable de traitement est une personne morale, l’amende pourra être multipliée par cinq731. S’agissant de la délégation de cette responsabilité qui pèse sur le responsable de traitement, elle ne peut pas être déléguée, spécialement à un sous-traitant. Au contraire, le responsable de traitement, reste redevable de cette obligation de sécurisation des données alors même que les prestations de sécurité ou d’hébergement sont assurées par le sous-traitant. Selon l’article 35, alinéa 2, « toute personne traitant des données à caractère personnel pour le compte du responsable du traitement est considérée comme un sous-traitant au sens de la présente loi ». De plus, il doit s’assurer que le sous-traitant présente « des garanties suffisantes pour assurer la mise en œuvre des mesures de sécurité et de confidentialité mentionnées à l’article 34. Cette exigence ne décharge pas le responsable du traitement de son obligation de veiller au respect de ces mesures. » (Article 35, alinéa 3, de la loi du 6 janvier de 1978). La directive n° 95/46 contient une disposition équivalente732. C’est pourquoi, afin de pallier l’absence de sanction pénale à l’encontre du prestataire, il est toujours important que la banque 729. Directive n° 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, JOCE n° L. 281, 23 nov. 1995, p. 31. V. l’article 17, « Sécurité des traitements » : « 1. Les États membres prévoient que le responsable du traitement doit mettre en œuvre les mesures techniques et d’organisation appropriées pour protéger les données à caractère personnel contre la destruction accidentelle ou illicite, la perte accidentelle, l’altération, la diffusion ou l’accès non autorisés, notamment lorsque le traitement comporte des transmissions de données dans un réseau, ainsi que contre toute autre forme de traitement illicite. Ces mesures doivent assurer, compte tenu de l’état de l’art et des coûts liés à leur mise en œuvre, un niveau de sécurité approprié au regard des risques présentés par le traitement et de la nature des données à protéger ». 730. Loi n° 2016-1321 du 7 octobre 2016, JO 8 oct. 2016, v. l’article 65 qui modifie l’article 47 de la loi du 6 janvier 1978. 731. C. pén., art. 226-17. 732. Art. 17 : « (…) 2. Les États membres prévoient que le responsable du traitement, lorsque le traitement est effectué pour son compte, doit choisir un sous-traitant qui apporte des
268 | B anque
et
a ssurance
digitales
ou l’assurance introduise des clauses contractuelles. D’ailleurs, l’alinéa 4 de l’article 35 dispose : « le contrat liant le sous-traitant au responsable du traitement comporte l’indication des obligations incombant au sous-traitant en matière de protection de la sécurité et de la confidentialité des données et prévoit que le sous-traitant ne peut agir que sur instruction du responsable du traitement ». Dans la banque et l’assurance, la plupart des contrats de soustraitance informatique contiennent des dispositions en conformité avec cet article. D’ailleurs, le règlement européen prévoit la même chose. 627. En pratique, la CNIL a prononcé un avertissement envers la filiale d’une banque par une délibération n° 2012-176 du 21 juin 2012 en vertu du manquement à l’obligation d’assurer la sécurité et la confidentialité des données du fait du partage du système d’information entre plusieurs entités au sein du groupe. Suite à une fusion, une de ces entités n’avait que des activités médias. Les journalistes avaient accès aux données des clients du groupe bancaire733 et ces faits étaient relatés dans un article publié dans le journal. Ces données bancaires étaient confidentielles et, par conséquent, protégées par le secret bancaire. Les salariés du journal n’avaient pas vocation à avoir accès aux informations des clients bancaires. La formation restreinte de la CNIL considère ces données comme sensibles et en grand nombre et que le manquement était particulièrement grave. Elle condamne ce manque d’étanchéité pris sans égard pour la conformité bancaire734. La décision prononce un avertissement contre le prestataire de services du groupe bancaire en application de l’article 45 de la loi de 1978 ; elle a été rendue publique sur le site de la CNIL et sur celui de Légifrance. 628. Par une délibération du 7 août 2014, la CNIL a prononcé un avertissement public à l’encontre de la société Orange pour manquement à son obligation de sécurité en vertu de l’article 34 de la loi de 1978. À la suite de la notification à la garanties suffisantes au regard des mesures de sécurité technique et d’organisation relatives aux traitements à effectuer et qu’il doit veiller au respect de ces mesures. 3. La réalisation de traitements en sous-traitance doit être régie par un contrat ou un acte juridique qui lie le sous-traitant au responsable du traitement et qui prévoit notamment que : – le sous-traitant n’agit que sur la seule instruction du responsable du traitement, – les obligations visées au paragraphe 1, telles que définies par la législation de l’État membre dans lequel le sous-traitant est établi, incombent également à celui-ci. 4. Aux fins de la conservation des preuves, les éléments du contrat ou de l’acte juridique relatifs à la protection des données et les exigences portant sur les mesures visées au paragraphe 1 sont consignés par écrit ou sous une autre forme équivalente ». 733. Dans la délibération, il est fait état des informations suivantes : « actions, comptes en Suisse et projets d’optimisation fiscale », « des fichiers nominatifs, tamponnés par le fisc », « des protestations des clients mécontents » ou encore une « liste nominative de 400 clients ayant acheté de l’or ». Selon l’article, ces journalistes ont ainsi pu avoir libre accès à des « renseignements confidentiels, de relevés d’identité bancaire, de contrats d’assurance, de courriels privés, de conseils fiscaux, de transactions ou d’achats de titres ». 734. Délibération n° 2012-176 du 21 juin 2012 portant avertissement à l’encontre de la société européenne de traitement de l’information (groupe Crédit Mutuel – CIC), disponible sur : http://www.cnil.fr/fileadmin/documents/approfondir/deliberations/Formation_contentieuse/ D2012-176_EURO_INFORMATION.pdf
de
la sécurité des systèmes d ’ information et de l ’ information
| 269
CNIL d’une violation de données à caractère personnel (des données clients avec un accès illicite à plus de 1,3 million de données), la CNIL a diligenté trois contrôles sur place aux termes desquels elle a constaté : qu’aucun audit de sécurité sur l’application technique ayant subi l’atteinte n’avait été réalisé préalablement à sa mise en production, que les communications de fichiers clients au prestataire technique se faisaient de manière non sécurisée et qu’enfin, aucune clause spécifique de sécurité et de confidentialité des données ne liait le sous-traitant secondaire. La CNIL a alors considéré que l’insuffisance des mesures de sécurité mises en œuvre a contribué à la réalisation du risque, à savoir l’accès non autorisé d’un tiers aux données à caractère personnel des clients735. 629. Dans le prolongement de cet avertissement public de la CNIL, le 30 décembre 2015736, le Conseil d’État a confirmé la sanction. En premier lieu, il affirme que le respect de la procédure de notification d’une violation de données à caractère personnel ne fait pas obstacle à ce qu’une sanction soit prononcée pour manquement à l’obligation de sécurité. En deuxième lieu, le Conseil rappelle que le recours à des sous-traitants ne décharge pas le responsable de traitement de ses obligations en la matière. Dans cette perspective, il relève : l’absence d’audit de sécurité des sous-traitants d’Orange, l’utilisation de moyens de communication non sécurisés, les mentions contractuelles insuffisantes et l’absence de suivi des dispositions contractuelles à destination du second prestataire. En confirmant l’analyse de la CNIL, cet arrêt indique clairement la nécessité pour le responsable de traitement de s’assurer de l’effectivité de la sécurité des données personnelles qui doit être garantie par ses sous-traitants. D’une part, l’audit de sécurité paraît incontournable et un soin particulier devra être apporté aux clauses relatives à la protection des données personnelles dans les contrats de sous-traitance, y compris dans l’hypothèse où interviendraient des sous-traitances en cascade. 630. Dans une délibération du 5 novembre 2015, la CNIL a prononcé une sanction pécuniaire publique de 50 000 euros à l’encontre de la société Optical Center pour manquement à son obligation de sécurité en se fondant sur les articles 34 et 35 de la loi. À la suite d’une plainte, un premier contrôle de la CNIL avait abouti à une mise en demeure de la société Optical Center lui enjoignant, entre autres, d’assurer la sécurité et la confidentialité des données. Suspectant une mise en conformité partielle, la CNIL a procédé à un second contrôle. Outre la durée excessive de conservation des données, la sanction se fonde sur la persistance de manquements à la sécurité des données dont l’absence de politique de gestion des mots de passe (pour les accès aux comptes clients et aux postes des salariés), leur vulnérabilité (robustesse insuffisante) et les lacunes du contrat de
735. Délibération n° 2014-298 du 7 août 2014. Délibération de la formation restreinte n° 2014-298 du 7 août 2014 prononçant un avertissement à l’encontre de la société Orange, disponible à l’adresse : http://www.legifrance.gouv.fr/affichCnil.do?id=CNILTEXT000029406662 736. CE 30 déc. 2015, affaire Orange, 10e / 9e SSR, n° 385019, « Procès équitable et obligation d’information de la CNIL », AJDA 2016, p. 644.
270 | B anque
et
a ssurance
digitales
sous-traitance (aucune clause sur la sécurité en général et plus particulièrement sur la sécurité des données à caractère personnel)737. Récemment, à la suite d’un contrôle réalisé en ligne par la CNIL sur le site de la société Ricard, la formation restreinte de cette dernière a prononcé un avertissement public738, ayant constaté que la société avait manqué à son obligation de veiller à la sécurité et à la confidentialité des données. Il était question des données à caractère personnel de milliers de clients, comprenant les noms, prénoms, adresses et numéros de cartes bancaires accessibles sur le site. La CNIL a rappelé que l’existence d’une sous-traitance (hébergement et gestion du site) n’exonérait pas la société Ricard de ses obligations légales telles qu’énoncées à l’article 34 de la loi. La CNIL rajoute que le seul fait de constater l’absence de mise en œuvre de mesures visant à garantir la sécurité des données suffit à caractériser le manquement à l’obligation de sécurité sans qu’il ne soit nécessaire de prouver un quelconque préjudice pour la personne concernée. 631. Il est rare que la sanction porte sur un seul manquement à la loi du 6 janvier 1978, car souvent le manquement à l’obligation de sécurité est un manquement parmi d’autres. Pour étayer notre propos, on se reportera avec intérêt à une sanction récente de la CNIL. Dans cette affaire, la société Brandalley vendait en ligne des produits de prêt-à-porter, de beauté et de maison, neufs et d’occasion à l’attention des consommateurs. En janvier 2015, la CNIL a effectué, un contrôle sur place auprès de la société, notamment les traitements concernant la gestion des comptes clients et prospects (plusieurs millions de comptes). De nombreux manquements à la loi ont été relevés et la présidente de la CNIL a mis en demeure la société de prendre les mesures adéquates afin de se mettre en conformité avec la loi « Informatique et Libertés ». Or, les manquements ont perduré. D’où l’ouverture d’une procédure. La formation restreinte de la CNIL a prononcé une sanction pécuniaire de 30 000 euros rendue publique pour les manquements suivants : défaut de demande d’autorisation pour un traitement de lutte contre la fraude et les transferts vers des sous-traitants hors Union européenne (Maroc et Tunisie), non-définition d’une durée de conservation et pas de purge, défaut d’infos sur les cookies, défaut de sécurité et de confidentialité dans la mesure où la société n’avait pas mis en œuvre de protocole sécurisé (ex. : « https ») sur les pages du site sur lesquelles transitaient des données personnelles739. 632. Le règlement européen encadrant la protection des données à caractère personnel du 27 avril 2016 (v. partie I, chapitre II) prévoit un certain nombre de 737. Délibération de la formation restreinte n° 2015-379 du 5 novembre 2015, prononçant une sanction pécuniaire à l’encontre de la société Optical Center, disponible à l’adresse : http://www.cnil.fr/fileadmin/documents/approfondir/deliberations/Formation_ contentieuse/2015-379_sanction_OPTICALCENTER.pdf 738. Délibération de la formation restreinte n° 2016-108 du 21 avril 2016 prononçant un avertissement (public) à l’encontre de la société Ricard : www.cnil.fr/sites/default/files/atoms/ files/deliberation-formation-restreinte-avertissment-public-ricard_ananonymisee.pdf 739. Délibération de la formation restreinte n° 2016-204 du 7 juillet 2016 prononçant une sanction pécuniaire à l’encontre de la société Brandalley.
de
la sécurité des systèmes d ’ information et de l ’ information
| 271
règles strictes conduisant à appuyer cette obligation de sécurisation (analyse de risques, traçabilité des mesures prises, documentation, ou encore la notification des violations de données personnelles) sans toutefois en modifier les principes. Une fois qu’il sera entré en vigueur (mai 2018), ce règlement est censé remplacer la loi « Informatique et Libertés » actuelle. En tout état de cause, la sécurité et la confidentialité des données personnelles sont des problématiques centrales du recours aux solutions de « Cloud computing ». B.
Obligations dans le cadre de la protection des intérêts de la Nation
1.
Obligations issues de la loi de programmation militaire740
633. Si les textes issus de la loi de programmation militaire et ses décrets d’application741 trouvent leur inspiration dans la directive SRI dont le projet a été publié en 2013, le sujet était déjà à l’ordre du jour dans le projet de directive n° 2013/40/UE742. Son considérant n° 4 disposait : « il existe plusieurs infrastructures critiques dans l’Union, dont l’arrêt ou la destruction aurait un impact transfrontalier significatif. Compte tenu de la nécessité de renforcer la capacité de protection des infrastructures critiques au sein de l’Union, il est devenu manifeste que les mesures de lutte contre les cyberattaques devraient s’accompagner de sanctions pénales sévères, reflétant la gravité de ces attaques. Une infrastructure critique pourrait s’entendre comme un point, un système ou une partie de celui-ci, situé dans des États membres, qui est indispensable au maintien des fonctions vitales de la société, de la santé, de la sûreté, de la sécurité et du bien-être économique ou social des citoyens, comme les centrales électriques, les réseaux de transport et les réseaux publics, et dont l’arrêt ou la destruction aurait un impact significatif dans un État membre du fait de la défaillance de ces fonctions ». S’agissant des principes édictés en matière de recherche d’un haut niveau de sécurité pour les réseaux et systèmes d’information dans l’Union européenne, en ce y compris les opérateurs d’importance vitale, on peut se reporter au Livre blanc « Défense et sécurité nationale » et son fondement juridique dans la directive n° 2016/1148 du Parlement et du Conseil du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de
740. Loi n° 2013-1168 du 18 décembre 2013 relative à la programmation militaire pour les années 2014 à 2019 et portant diverses dispositions concernant la défense et la sécurité, JO 19 déc. 2013. 741. Décret n° 2015-349 du 27 mars 2015 relatif à l’habilitation et à l’assermentation des agents de l’autorité nationale de sécurité des systèmes d’information et pris pour l’application de l’article L. 2321-3 du Code de la défense, JO 29 mars 2015 ; Décret n° 2015-350 du 27 mars 2015 relatif à la qualification des produits de sécurité et des prestataires de services de confiance pour les besoins de la sécurité nationale, JO 29 mars 2015 ; Décret n° 2015-351 du 27 mars 2015 relatif à la sécurité des systèmes d’information des opérateurs d’importance vitale et pris pour l’application de la section II du chapitre II du titre III du livre III de la première partie de la partie législative du Code de la défense, JO 29 mars 2015. 742. Directive n° 2013/40/UE du Parlement européen et du Conseil du 12 août 2013 relative aux attaques contre les systèmes d’information et remplaçant la décision-cadre n° 2005/22, JOUE n° L. 218, 14 août 2013, p. 8.
272 | B anque
et
a ssurance
digitales
sécurité des réseaux et des systèmes d’information (SRI) dans l’Union743. Ce texte devra être transposé par les États membres au plus tard le 9 mai 2018. On peut estimer qu’avec la loi et les règlements adoptés, la France aura quasiment réalisé l’intégration des dispositions de la directive en droit interne. Cette directive entend que le niveau de sécurité soit garanti et opérationnel au sein du marché intérieur. Le champ d’application de la directive est étendu aux opérateurs de services essentiels et les fournisseurs de service numérique (dont les places de marché en ligne, les moteurs de recherche en ligne et les services d’informatique en nuage). Les dispositions adoptées posent et renforcent également les obligations de surveillance, de suivi, de consultation et de coordination des actions menées dans l’objectif d’un niveau de sécurité élevé commun (en instituant un réseau des Centres de réponse aux incidents de sécurité informatique). 2.
Principales obligations à la charge des OIV
634. En France, la loi n° 2013-1168 du 18 décembre 2013 relative à la programmation militaire pour les années 2014 à 2019 et portant diverses dispositions concernant la défense et la sécurité nationale définit les règles à respecter en la matière pour les opérateurs d’importance vitale (OIV). Les législations spécifiques – européennes et nationales telles que dans le domaine bancaire par exemple – restent cependant applicables si un niveau de sécurité équivalent à celui recherché par ladite directive est atteint. D’un point de vue opérationnel, les acteurs nouvellement concernés devraient anticiper l’évolution à venir et s’assurer que leurs différents documents (ex. : Politique de sécurité des systèmes d’information, Plan de reprise d’activité, Plan de continuité d’activité ainsi que les procédures et directives associées) répondent aux exigences que le législateur français va fixer : « La doctrine nationale de réponse aux agressions informatiques majeures repose sur le principe d’une approche globale fondée sur deux volets complémentaires : – systèmes d’information de l’État, des opérateurs d’importance vitale et des industries stratégiques, couplée à une organisation opérationnelle de défense de ces systèmes, coordonnée sous l’autorité du Premier ministre, et reposant sur une coopération étroite des services de l’État, afin d’identifier et de caractériser au plus tôt les menaces pesant sur notre pays ; – une capacité de réponse gouvernementale globale et ajustée face à des agressions de nature et d’ampleur variées faisant en premier lieu appel à l’ensemble des moyens diplomatiques, juridiques ou policiers, sans s’interdire l’emploi gradué de moyens relevant du ministère de la Défense, si les intérêts stratégiques nationaux étaient menacés »744.
743. JOUE n° L. 194, 19 juill. 2016, p. 1. 744. Livre blanc Défense et sécurité nationale, Direction de l’information légale et administrative (DILA), 2013, p. 106-107.
de
la sécurité des systèmes d ’ information et de l ’ information
| 273
635. Ils ont introduit dans le Code de la défense un certain nombre d’obligations relatives à la sécurisation des systèmes d’information des « opérateurs d’importance vitale » ainsi que « les opérateurs publics ou privés qui participent à ces systèmes ». Ces textes ont une incidence, directe ou indirecte sur les acteurs de la banque et de l’assurance digitales, à savoir ceux qui sont déclarés comme étant des « Opérateurs d’importance vitale » ainsi que leurs prestataires. Des obligations pèsent sur ces entités, car celles qui ne les respectent pas risquent une sanction de 150 000 euros pour les dirigeants et 750 000 euros d’amende pour les personnes morales745. 636. Elles doivent : – respecter à leur frais les règles de sécurité fixées par le Premier ministre – il s’agit en l’occurrence de l’ANSSI – qui peut prescrire que « les opérateurs mettent en œuvre des systèmes qualifiés de détection des événements », exploités sur le territoire national « susceptibles d’affecter la sécurité de leurs systèmes d’information » conformément aux articles L. 1332-6-1, R. 1332-41-1 et R. 1332-41-3 du Code de la défense. Cette obligation implique de réaliser une cartographie des systèmes d’information internes et externes considérés comme d’importance vitale et dont la liste devra être communiquée à l’ANSSI en vertu de l’article R. 1332-41-2 du Code de la défense. Obligation également applicable aux « opérateurs publics ou privés qui participent à ces systèmes », l’opérateur d’importance vitale devra prendre les mesures nécessaires « notamment par voie contractuelle, pour garantir l’application » de ces dispositions746 ; – surtout, pour les opérateurs d’importance vitale, « informent sans délai le Premier ministre des incidents affectant le fonctionnement ou la sécurité » de leurs systèmes d’information (article L. 1332-6-2 du Code de la défense). La notification devra intervenir dès la prise de connaissance de l’incident, des compléments d’informations pouvant ensuite être fournis au fur et à mesure selon le résultat des investigations menées747 ; – de soumettre leurs « systèmes d’information à des contrôles » pour vérifier le niveau de sécurité et le respect de ces règles748 étant entendu que l’ANSSI aura le pouvoir de saisir les autorités judiciaires afin de voir sanctionner le non-respect de ces mesures749 ; – enfin, « pour répondre aux crises majeures menaçant ou affectant la sécurité des systèmes d’information, le Premier ministre peut décider des mesures que les opérateurs mentionnés aux articles L. 1332-1 et L. 1332-2 doivent mettre en œuvre (article L. 1332-6-4 du Code de la défense) ». 745. 746. 747. 748. 749.
V. l’article L. 1 332-7 du Code de la défense. V. les articles L. 1 332-6-1, R. 1 332-41-2 et R. 1 332-41-19 du Code de la défense. V. l’article R. 1 332-41-19 du Code de la défense. V. les articles L. 1 332-6-3 et R. 1 332-41-12 du Code de la défense. V. les articles L. 1 332-7 et R. 1 332-41-23 du Code de la défense.
274 | B anque
et
a ssurance
digitales
637. Les secteurs d’activité d’importance vitale sont les suivants : activités civiles de l’État ; activités judiciaires ; activités militaires de l’État ; alimentation ; communications électroniques, audiovisuel et information ; énergie ; espace et recherche ; finances ; gestion de l’eau ; industrie ; santé ; transports750. Un ou plusieurs arrêtés sectoriels à paraître précisent les obligations applicables (article R. 1332-41-1 du Code de la défense)751. C.
Les notifications des failles de sécurité
638. Le sujet des notifications des failles de sécurité, et des violations de données à caractère personnel est apparu en Europe avec ce que l’on a appelé le « Paquet Télécom »752. On parle à ce propose d’incidents de sécurité que l’on peut définir, à la suite de Mme Sabine Marcellin, comme « un évènement intéressant la sécurité de l’information, qui est indésirable ou inattendu, et présente une probabilité forte de menacer la sécurité de l’information et de compromettre les opérations liées
750. Ces secteurs d’activité sont définis par l’arrêté du 2 juin 2006 fixant la liste des secteurs d’activité d’importance vitale et désignant les ministres coordonnateurs desdits secteurs, JO 4 juin 2006, p. 8502. 751. Arrêté du 10 juin 2016 fixant les règles de sécurité et les modalités de déclaration des systèmes d’information d’importance vitale et des incidents de sécurité relatives au soussecteur d’activités d’importance vitale « Produits de santé » JO 23 juin 2016 ; Arrêté du 17 juin 2016 fixant les règles de sécurité et les modalités de déclaration des systèmes d’information d’importance vitale et des incidents de sécurité relatives au secteur d’activités d’importance vitale « Alimentation » JO 23 juin 2016 ; Arrêté du 17 juin 2016 fixant les règles de sécurité et les modalités de déclaration des systèmes d’information d’importance vitale et des incidents de sécurité relatives au secteur d’activités d’importance vitale « Gestion de l’eau » JO 23 juin 2016 ; Arrêté du 11 août 2016 fixant les règles de sécurité et les modalités de déclaration des systèmes d’information d’importance vitale et des incidents de sécurité relatives au soussecteur d’activités d’importance vitale « Approvisionnement en énergie électrique » JO 25 août 2016 ; Arrêté du 11 août 2016 fixant les règles de sécurité et les modalités de déclaration des systèmes d’information d’importance vitale et des incidents de sécurité relatives au soussecteur d’activités d’importance vitale « Approvisionnement en hydrocarbures pétroliers » JO 25 août 2016 ; Arrêté du 11 août 2016 fixant les règles de sécurité et les modalités de déclaration des systèmes d’information d’importance vitale et des incidents de sécurité relatives au sous-secteur d’activités d’importance vitale « Approvisionnement en gaz naturel » JO 25 août 2016 ; Arrêté du 11 août 2016 fixant les règles de sécurité et les modalités de déclaration des systèmes d’information d’importance vitale et des incidents de sécurité relatives au sous-secteur d’activités d’importance vitale « Transport aérien » JO 25 août 2016 ; Arrêté du 11 août 2016 fixant les règles de sécurité et les modalités de déclaration des systèmes d’information d’importance vitale et des incidents de sécurité relatives au sous-secteur d’activités d’importance vitale « Transports maritime et fluvial » JO 25 août 2016 ; Arrêté du 11 août 2016 fixant les règles de sécurité et les modalités de déclaration des systèmes d’information d’importance vitale et des incidents de sécurité relatives au soussecteur d’activités d’importance vitale « Transports terrestres » JO 25 août 2016 ; Arrêté du 28 novembre 2016 fixant les règles de sécurité et les modalités de déclaration des systèmes d’information d’importance vitale et des incidents de sécurité relatives au secteur d’activités d’importance vitale « Finances » et pris en application des articles R. 1332-41-1, R. 1332-41-2 et R. 1332-41-10 du Code de la défense, JO 3 décembre 2016. 752. É. A. Caprioli et I. Cantero, « Les données à caractère personnel au cœur de la sécurité et des libertés numériques », MagSecur 2012, n° 36, p. 29.
de
la sécurité des systèmes d ’ information et de l ’ information
| 275
à l’activité de l’organisation »753. Historiquement, c’est dans l’État de Californie aux États-Unis d’Amérique que ce type d’obligation (de révélation des violations de sécurité ou « data breach notification ») est apparu en premier avec une loi du 12 février 2002. Cette loi est intervenue après la dissémination de données relatives aux salaires de 200 000 fonctionnaires. Ainsi, en cas de vol ou de perte de données, l’entité victime a l’obligation de notifier la violation de sécurité à son régulateur, voire directement aux personnes titulaires de ces données, puisque, in fine, les risques qui pèsent sur elles sont le vol et l’usurpation d’identité, et donc une large palette de fraudes. En terme économique, selon le Ponemon Institute en 2009754, la notification représenterait environ 202 dollars US par incident et par client. Mais plus grave encore, ce sont les risques juridiques que représente la mise en jeu de la responsabilité des entités victimes ou des actions de groupe engagées à leur encontre (« class action »). Ensuite, la grande majorité des États américains s’est dotée de législations identiques à celle de la Californie. Puis, ce sont d’autres États comme l’Autriche qui se sont inspirés du texte précurseur. 639. Le considérant n° 12 de la directive relative aux attaques informatiques755 mentionne : « la détection et la notification des menaces et des risques liés aux cyberattaques, ainsi que de la vulnérabilité des systèmes d’information à cet égard, sont des éléments pertinents pour prévenir les cyberattaques et y répondre de manière efficace, et pour améliorer la sécurité des systèmes d’information. Prévoir des mesures incitant à notifier les failles en matière de sécurité pourrait y contribuer. Les États membres devraient s’efforcer de prévoir les possibilités de détecter et de notifier de manière légale des failles en matière de sécurité ». 640. Ces mesures étaient déjà prévues dans la proposition de directive sur la sécurité des réseaux et des informations du 7 février 2013, ainsi que dans la proposition de règlement sur la protection des données à caractère personnel du 25 janvier 2012. En outre, la directive souligne in fine du considérant n° 26 que « les États membres sont encouragés à prévoir, dans le cadre de leur droit national, des mesures pertinentes permettant d’engager la responsabilité des personnes morales, lorsque celles-ci n’ont de toute évidence pas assuré un niveau de protection suffisant contre les cyberattaques ». Une telle recommandation n’est pas anodine, elle devrait conduire les banques et les assurances à une vigilance extrême quant à la sécurisation efficace de leurs SI.
753. S. Marcellin, « Cybersécurité : notifications des incidents de sécurité », Banque & Droit, n° 161, mai-juin 2015, p. 7. 754. V. US Cost of Data Breach Study. V. égal. P. Agosti et F. Coupez, « Sécurisation des systèmes d’information : la pression juridique s’accroît, les sanctions financières aussi » : www. journaldunet.com 755. Directive n° 2013/40/UE du Parlement européen et du Conseil du 12 août 2013 relative aux attaques contre les systèmes d’information et remplaçant la décision-cadre n° 2005/222/ CE, JOUE n° L. 218, 14 août 2013, p. 8. Adoption par le Parlement européen d’une nouvelle directive relative aux attaques visant les systèmes d’information, Com. com. électr. 2013, comm. 120, note É. A. Caprioli.
276 | B anque
et
a ssurance
digitales
641. Les directives du « Paquet Télécom », la directive n° 2009/136/CE du Parlement européen et du Conseil du 25 novembre 2006756 et la directive n° 2009/140/CE du Parlement européen et du Conseil du 25 novembre 2009757 ont mis en lumière deux aspects très importants pour la sécurité des SI. En premier lieu, l’obligation de notification prévue dans ce « paquet » s’adresse à deux catégories très particulières d’acteurs économiques : d’une part, les opérateurs fournissant un accès à un réseau de communications électroniques au public (téléphonie, accès à l’Internet, messagerie électronique, etc.) et, d’autre part, les opérateurs fournissant ledit réseau en lui-même. En second lieu, c’est à partir de 2009, que la Commission européenne a souhaité étendre ces obligations de notification à tous les acteurs économiques, dès lors qu’ils traitent des données à caractère personnel. Cela devait s’opérer à l’occasion de la mise à jour de la directive n° 1995/46 qui est devenue le 27 avril 2016, le RGPD758. Ainsi, cela permettrait de faire converger cette obligation d’un texte européen avec l’obligation de notification telle qu’elle existe déjà dans quelques États membres (ex. : Allemagne). 642. En l’occurrence, les deux directives du « Paquet Télécom » prennent en compte, pour l’une, la protection et la sécurité des réseaux en eux-mêmes avec la notification des failles de sécurité, et l’autre, la protection des données à caractère personnel759 et l’obligation de notifier les violations de données à caractère personnel pour les fournisseurs « au public de services de communications électroniques sur les réseaux de communications électroniques ouverts au public, y compris ceux prenant en charge les dispositifs de collecte de données et d’identification »760. Chacune de ces deux obligations de notification dispose d’un régime juridique spécifique, même si au final on peut considérer que les failles de sécurité sont plus générales et qu’elles englobent les violations de données à caractère personnel, alors que le contraire n’est pas vrai.
756. Directive n° 2009/136/CE du Parlement européen et du Conseil du 25 novembre 2006, JOUE n° L. 337, 18 déc. 2009, p. 11. 757. Directive n° 2009/140/CE du Parlement européen et du Conseil du 25 novembre 2006, JOUE n° L. 337, 18 déc. 2009, p. 37. 758. V. ainsi le considérant 59 de la directive n° 2009/136/CE : « L’intérêt des utilisateurs à être informés ne se limite pas, à l’évidence, au secteur des communications électroniques, et il convient dès lors d’introduire de façon prioritaire, au niveau communautaire, des exigences de notification explicites et obligatoires, applicables à tous les secteurs ». 759. Y. Poullet, « Une nouveauté en matière de protection des données : la réglementation des “Security Breaches” au détour d’une modification de la directive e-privacy », RDTI, n° 40/2010, p. 103 et s. 760. C’est ce qui figure à l’article 34 bis de la loi du 6 janvier 1978, suite à la modification opérée par l’ordonnance n° 2011-1012 du 24 août 2011 (art. 38).
de
la sécurité des systèmes d ’ information et de l ’ information
| 277
643. Les deux directives devaient être transposées dans les États membres avant le 25 mai 2011. Or, c’est l’ordonnance du 24 août 2011 qui a opéré la transposition. Nous n’examinerons, cependant, que la notification des failles de sécurité (1), étant précisé que cette obligation concerne, à titre principal761 les fournisseurs d’accès à l’Internet, les opérateurs de téléphonie mobile et leurs MVNO (« Mobile Virtual Network Operator »)762. D’un autre côté, il faut examiner les notifications des failles de sécurité telles qu’elles résultent de la loi de programmation militaire et de la directive SRI récemment publiée (2). 1.
Les notifications des failles de sécurité dans l’ordonnance du 24 août 2011
644. Parallèlement à l’obligation de notification des violations de données à caractère personnel, une autre obligation a été créée : la notification des atteintes à la sécurité ou perte d’intégrité ayant eu un impact significatif sur le fonctionnement des réseaux ou des services. Cette nouvelle obligation s’inscrit dans le cadre de la transposition de la directive n° 2009/140/CE du 25 novembre 2009 modifiant la directive « cadre » n° 2002/58/CE et sa transposition a été réalisée par l’ordonnance n° 2011-1012 du 24 août 2011763 complétée par le décret n° 2012-488 du 13 avril 2012764 modifiant les obligations des opérateurs de communications électroniques conformément au nouveau cadre réglementaire européen. 645. Une telle obligation est distincte de l’obligation figurant à l’article 34 bis de la loi du 6 janvier 1978, en ce sens qu’elle est applicable à tous les types de données (y compris celles à caractère personnel). De la sorte, elle est strictement circonscrite à la sécurité des infrastructures (réseaux de communications publics ou des services de communications électroniques accessibles au public). S’agissant du critère d’application de la notification, il faut que la violation ait un impact significatif sur le fonctionnement des réseaux et des services. La réglementation impose également une obligation de sécurité à la charge des opérateurs.
761. V. pour une application extensive : CA Paris, 14e ch., sect. B, 4 févr. 2005, n° 04/20259, SA BNP Paribas c/ Sté World Press Online : Juris-Data n° 2005-268442. V. É. A. Caprioli, La qualité de fournisseur d’accès à l’Internet : un nouveau risque juridique pour l’entreprise : www.caprioliavocats.com. La question de l’application de l’obligation se pose notamment aux entreprises qui offrent un point d’accès à l’Internet via une borne Wifi aux visiteurs (ex. : hôpitaux), clients (ex. : banques ou entreprises de distribution rapide de nourriture) ou prospects dans les halls ou accueil. Tout va dépendre de la qualification qui sera donnée : fournisseur d’accès à l’Internet ouvert au public ou non. 762. Pour un commentaire de l’ordonnance sur ce point, v. É. A. Caprioli : Com. com. électr. 2011, comm. 116. 763. Sur l’ordonnance, v. Com. com. électr. 2011, comm. 116, note É. A. Caprioli ; C. Chassigneux, Com. com. électr. 2011, étude 23. 764. JO 15 avr. 2012, p. 6919.
278 | B anque a.
et
a ssurance
digitales
Obligation de notification765
646. La notification doit intervenir dès que l’opérateur a « connaissance » d’une telle atteinte de sécurité ou perte d’intégrité auprès : – du ministre de l’Intérieur (qui en informera le ministre chargé des Communications électroniques, le cas échéant) ; – de l’ANSSI en tant qu’autorité nationale de défense des Systèmes d’Information (fonction conférée par le décret n° 2011-170 du 11 février 2011) dans l’hypothèse où l’atteinte à la sécurité / la perte d’intégrité « résulte ou est susceptible de résulter d’une agression informatique »766. L’information porte sur les causes et les conséquences des atteintes à la sécurité/ la perte d’intégrité et des mesures prises pour éviter leur renouvellement. Le ministre de l’Intérieur dispose de la possibilité de demander à l’opérateur d’informer le public à cette occasion. Ainsi, « la notification à l’Autorité nationale de défense des systèmes d’information n’est prévue que dans les hypothèses où l’atteinte à la sécurité ou la perte d’intégrité seraient susceptibles de résulter d’une agression informatique. Il est également prévu, dans le cadre d’une coopération entre les pays membres de l’Union européenne, de prévenir les services compétents des pays qui seraient éventuellement concernés par les atteintes survenues. Des mesures particulières sont enfin prises au profit des utilisateurs handicapés qui doivent pouvoir profiter des tarifs abordables et de produits et services adaptés (D. n° 2012-488, 13 avr. 2012, art. 8, créant CPCE, art. D. 98-13)767 ». L’information sera ensuite transmise à l’Agence européenne chargée de la sécurité des réseaux et de l’information (ENISA) ainsi qu’aux États de l’Union européenne où la faille serait susceptible d’avoir « un impact significatif ». b.
Le contenu de l’obligation de sécurité
647. Le Code des Postes et des communications électroniques contient désormais de nouvelles dispositions sur la sécurité qui pèsent sur les opérateurs en matière : – de secret des correspondances et de neutralité768 ; 765. É. A. Caprioli, « Les décrets n° 2012-436 et 2012-488 relatifs au nouveau cadre réglementaire européen en matière de notifications des violations des données personnelles et des failles de sécurité », Com. com. électr. 2012, comm. 138. 766. CPCE, art. D. 98-5, III : « Dès qu’il en a connaissance, l’opérateur informe le ministre de l’intérieur de toute atteinte à la sécurité ou perte d’intégrité ayant un impact significatif sur le fonctionnement de ses réseaux ou de ses services. Ce dernier en informe le ministre chargé des Communications électroniques ainsi que les services de secours et de sécurité susceptibles d’être concernés. Lorsque l’atteinte à la sécurité ou la perte d’intégrité résulte ou est susceptible de résulter d’une agression informatique, l’opérateur en informe également l’autorité nationale de défense des systèmes d’information ». 767. É. A. Caprioli, « Les décrets n° 2012-436 et 2012-488 relatifs au nouveau cadre réglementaire européen en matière de notifications des violations des données personnelles et des failles de sécurité », art. préc., v. n° 3 in fine. 768. CPCE, art. D. 98-5 I.
de
la sécurité des systèmes d ’ information et de l ’ information
| 279
– de traitement des données à caractère personnel en assurant la protection de l’intégrité et de la confidentialité de ces données par exemple en prenant des mesures de protection adéquates et mettant en œuvre une politique de sécurité769 ; – de sécurité des communications électroniques770. 648. À cette fin, le ministre chargé des Communications électroniques en vertu de l’article L. 33-10 du Code des Postes et des communications électroniques peut « imposer à tout opérateur de soumettre ses installations, réseaux ou services à un contrôle de leur sécurité et de leur intégrité, effectué par un service de l’État ou un organisme qualifié indépendant désigné par le ministre chargé des Communications électroniques et de lui en communiquer les résultats ». 649. Par ailleurs, conformément à l’article D. 98-5 III du Code des Postes et des communications électroniques, l’opérateur doit procéder à une double information de ses clients : – « des services existants permettant, le cas échéant, de renforcer la sécurité des communications » (CPCE, art. D. 98-5 III, al. 2) ; – lorsqu’il existe « un risque particulier de violation de la sécurité du réseau, l’opérateur informe les abonnés de ce risque ainsi que de tout moyen éventuel d’y remédier et du coût que cela implique » (CPCE, art. D. 98-5 III, al. 3). 2.
Les notifications dans la directive Sécurité des réseaux informatiques et la LPM
650. Une proposition de directive concernant la sécurité des réseaux et de l’information (SRI) avait été publiée le 7 février 2013771. Finalement, cette directive n° 2016/1148 du Parlement européen et du Conseil concernant des mesures destinées à assurer un niveau commun de sécurité des réseaux et des systèmes d’information dans l’Union a été publiée en date du 6 juillet 2016772. Entre-temps, la loi de programmation militaire (LPM) a anticipé le dispositif pour imposer de nouvelles obligations de sécurité aux opérateurs d’importance vitale. Cependant, la directive devra être complétée dans la mesure où elle ne vise pas que les OIV ; elle s’étend également aux moteurs de recherche, aux plateformes de commerce électronique. Ainsi, « un régime spécial de la notification d’incident est créé à destination des Opérateurs d’Importance Vitale, puisqu’en vertu du nouvel article L. 1332-6-2 du Code de la défense, ceux-ci sont tenus d’informer
769. CPCE, art. D. 98-5 II. 770. CPCE, art. D. 98-5 III. 771. COM (2013) 48 final, n° 2013/0027 : http://ec.europa.eu. V. É. A. Caprioli, « Publication d’une proposition de directive européenne concernant la sécurité des réseaux et de l’information (SRI) », Com. com. électr. 2013, comm. 48. 772. JOUE n° L. 194, 19 juill. 2016, p. 1.
280 | B anque
et
a ssurance
digitales
sans délai le Premier ministre des “incidents affectant le fonctionnement ou la sécurité des systèmes d’information” »773. 651. Le décret en Conseil d’État n° 2015-351 du 27 mars 2015 a créé l’article R. 1332-41-10 du Code de la défense afin de préciser les conditions et limites d’application de ces nouvelles dispositions774 : « Les opérateurs d’importance vitale communiquent à l’Agence nationale de la sécurité des systèmes d’information les informations relatives aux incidents affectant la sécurité ou le fonctionnement de leurs systèmes d’information d’importance vitale. Les opérateurs communiquent les informations dont ils disposent dès qu’ils ont connaissance d’un incident et les complètent au fur et à mesure de leur analyse de l’incident. Ils répondent aux demandes d’informations complémentaires de l’Agence nationale de la sécurité des systèmes d’information concernant l’incident. Le Premier ministre précise par arrêté, en distinguant le cas échéant selon le secteur ou le type d’activité de l’opérateur, les informations qui doivent être communiquées, les modalités de leur transmission ainsi que les types d’incident auxquels s’applique l’obligation prévue à l’article L. 1332-6-2. Lorsque l’arrêté n’est pas publié, il est notifié aux personnes ayant besoin d’en connaître ». D’autres obligations de sécurité pèsent sur les OIV, spécialement lorsqu’ils sont dans le secteur de la banque775 et de l’assurance. 3.
La DSP 2
652. L’obligation de notification des incidents de sécurité est renforcée via la directive sur les services de paiement dite « DSP 2 » pour les prestataires de services de paiement (« PSP »). Le texte prévoit, en effet, qu’en « cas d’incident opérationnel ou de sécurité majeur, les prestataires de services de paiement informent sans retard injustifié l’autorité compétente dans l’État membre d’origine du prestataire de services de paiement » (article 96). Le PSP devra notifier « sans retard injustifié », les utilisateurs des services de paiement « lorsque l’incident a ou est susceptible d’avoir des répercussions sur les intérêts financiers de ses utilisateurs de services de paiement » et les informer « des mesures disponibles qu’ils peuvent prendre pour atténuer les effets dommageables de l’incident ». L’autorité compétente devra communiquer « sans retard injustifié les détails importants de l’incident à l’ABE776 et à la BCE777 ». 773. É. A. Caprioli, « La loi de programmation militaire et sécurité de l’information », Com. com. électr. 2014, comm. 50. Selon l’article L. 1 332-6-2 du Code de la défense : « Les opérateurs mentionnés aux articles L. 1332-1 et 1332-2 informent sans délai le Premier ministre des incidents affectant le fonctionnement ou la sécurité des systèmes d’information mentionnés au premier alinéa de l’article L. 1 332-6-1 ». 774. JO 29 mars 2015. 775. V. S. Marcellin, « Cybersécurité : notifications des incidents de sécurité », Banque & Droit, n° 161, mai-juin 2015, p. 7. 776. Autorité bancaire européenne. 777. Banque centrale européenne.
de
la sécurité des systèmes d ’ information et de l ’ information
| 281
653. Cette obligation doit être mise en parallèle avec l’obligation de notifier les violations de données à caractère personnel, applicable pour l’instant aux opérateurs de communications électroniques, conformément à l’article 34 bis de la loi « Informatique et Libertés », modifiée suite à l’ordonnance du 24 août 2011, obligation étendue à tout responsable de traitement (et soustraitant) indépendamment de son activité en vertu du règlement européen sur la protection des données à caractère personnel du 27 avril 2016 (v. partie I, chapitre II). D.
Obligations de sécurité dans le règlement général de l’AMF
654. Le règlement général de l’AMF est applicable aux entreprises qui offrent une prestation de compte conservateur. Ce règlement contient les articles 322-12 et suivants du livre III, titre II, chapitre II, qui traitent de la sécurité informatique778. Les articles 322-17 et 322-18 concernent les moyens informatiques et disposent successivement : « le teneur de compte-conservateur établit et maintient opérationnels des systèmes et procédures permettant de sauvegarder la sécurité, l’intégrité et la confidentialité des informations de manière appropriée eu égard à la nature des informations concernées » et « le teneur de compte-conservateur établit et maintient opérationnels des plans de continuité de l’activité afin de garantir, en cas d’interruption de ses systèmes et procédures, la sauvegarde de ses données et fonctions essentielles et la poursuite de ses activités de tenue de compte-conservation ou, en cas d’impossibilité, afin de permettre la récupération en temps utile de ces données et fonctions et la reprise en temps utile de ses activités »779. 655. Ces obligations imposent que les procédures soient formalisées par écrit (PCA, politique de sécurité, procédure d’habilitation d’accès aux systèmes d’information ; ainsi que la « mise en place d’indicateurs de suivi de la qualité et la sécurité de la production informatique, ainsi qu’un suivi des incidents avec leur gravité, leur origine et leur plan d’éradication »780). § 2 – Normes techniques et mesures de sécurité
656. Prendre des mesures de sécurisation suffisantes suppose que la banque ou l’assurance soit conforme à un état de l’art, à une norme technique de référence qui est appliquée dans un domaine donné de la sécurité des systèmes d’information. Or, lorsqu’on parle de sécurité numérique dans la banque (ou dans l’assurance), on pense immanquablement à différentes méthodes comme Marion, Melisa, CRAMM ou encore pour une méthode plus récente Mehari781. Or, il ne sera pas question dans cet ouvrage de procéder à l’analyse détaillée 778. S. Marcellin, « Cybersécurité : notifications des incidents de sécurité », Banque & Droit, n° 161, mai juin 2015, v. spéc. p. 12. 779. Le règlement est disponible sur le site de l’AMF : www.amf-france.org 780. S. Marcellin, « Cybersécurité : notifications des incidents de sécurité », art. préc., v. p. 12. 781. Méthode harmonisée d’analyse des risques, dont la dernière version date de janvier 2010.
282 | B anque
et
a ssurance
digitales
de tous les textes des méthodes d’audit des SI782. On retiendra toutefois, celles qui, bien que non spécifiques à la banque ou à l’assurance, demeurent les plus emblématiques : d’une part, les normes ISO/EIC 27001 à 27006 sur le management de la sécurité des systèmes d’information783. Avec la norme ISO 27001, maîtriser les risques implique au préalable de disposer d’une analyse des risques, mais aussi, pour que cela perdure, de suivre une méthode « roue de Deming » avec une démarche d’amélioration continue de type PDCA (« Plan, Do, Check, Act »), ce qui correspond à : planifier, réaliser, vérifier, ajuster. Ou bien, pour la gestion des risques de sécurité des systèmes d’information, il y a aussi la méthode EBIOS (Expression des besoins et identification des objectifs de sécurité), développée et mis à jour par l’ANSSI depuis 1995784, qui est conforme au RGS et aux normes ISO 27001, 27500 et 31000. 657. Plus globalement, la sécurité numérique se compose d’outils et de services, sur la base et en application desquels les meilleures pratiques prennent corps dans un milieu professionnel donné comme ceux de la banque ou de l’assurance. Pour la sécurité des échanges et des sites Internet, de nombreux établissements, à l’image d’autres entreprises dans d’autres secteurs d’activité, utilisent des certificats d’authentification de sites Web, des firewalls, des connexions sécurisées en mode SSL (« Secure sockets layer ») ou en TLS (« Transport layer security »), ce dernier protocole ayant été développé par l’IETF (« Internet engineering task force »). A.
Application des normes professionnelles785
658. Les normes professionnelles ont pour but de garantir la fiabilité et la qualité de services ; ces normes sont censées refléter l’état de l’art technique, ce qui pose la question de leur valeur juridique786. 659. En principe, une norme est facultative ce que corrobore l’article 17, alinéa 1er, du décret n° 2009-697 du 16 juin 2009787 : « les normes sont d’application volontaire ». Elles n’ont donc pas de force contraignante. La 782. V. A. Carlier, Stratégie appliquée à l’audit des SI, Lavoisier, 2006. 783. ISO/IEC 27001 – Management de la sécurité de l’information, disponible sur le site : http://www.iso.org/iso/fr/home/standards/management-standards/iso27001.htm ; A. FerandezToro, Management de la sécurité de l’information, Eyrolles, 2016, 3e éd. 784. La méthode EBIOS (Expression des besoins et identification des objectifs de sécurité) est une méthode de gestion des risques qui a été élaborée à l’ANSSI, disponible gratuitement sur le site : http://www.ssi.gouv.fr/guide/ebios-2010-expression-des-besoins-et-identification-desobjectifs-de-securite/. Cette méthode est notamment préconisée par la CNIL pour les analyses des risques informatiques. V. CNIL, « Étude d’impact sur la vie privée » (EIVP) ; « Privacy Impact Assessment » (PIA), juin 2015 : https://www.cnil.fr/sites/default/files/typo/document/CNILPIA-1-Methode.pdf 785. FNTC, « Guide normes et labels de la dématérialisation », 2013, disponible sur le site : https://fntc-numerique.com/upload/file/guides-fntc/Guide_Normes_et_Labels.pdf 786. Sur les normes, v. A. Penneau, Règles de l’art et normes techniques, LGDJ, coll. Bibl. dr. pr., 1989. 787. Article 17 du décret n° 2009-697 du 16 juin 2009 relatif « à la normalisation », JO 17 juin 2009.
de
la sécurité des systèmes d ’ information et de l ’ information
| 283
jurisprudence a suivi cette position : « le seul fait de ne pas se conformer à une norme que certains professionnels ont librement décidé d’instaurer entre eux sans qu’elle s’impose en droit à tous les opérateurs du marché ne peut être constitutif de concurrence déloyale (…) »788. De plus, le non-respect d’une norme facultative ne peut donner lieu à l’engagement de la responsabilité civile ou pénale du professionnel789. Le Conseil d’État790, puis la Cour de cassation dans un arrêt du 20 décembre 1978791, ont confirmé ce principe. 660. Cependant, le fait de respecter une norme technique constitue un indicateur utile quant à l’appréciation de la diligence du professionnel. La Cour de cassation a jugé : « Attendu, enfin que la cour d’appel énonce à juste titre que la norme NF P 45 201 n’avait pas à l’époque des faits, de caractère réglementaire, elle constituait néanmoins l’expression de l’état de l’art et de sécurité minimum qui s’imposait à l’ensemble des professionnels »792. D’autres décisions plus récentes vont dans le même sens793. 661. Toutefois, une norme peut devenir obligatoire de deux façons : d’une part, par la voie réglementaire794 et de seconde part, par le biais du contrat conformément à l’article 1103 du Code civil (ancien article 1134)795. Concernant les archives publiques, un arrêté du 4 décembre 2009 a complété le cadre juridique. Ainsi, depuis le décret n° 2009-1124 du 17 septembre 2009 relatif à la compétence et aux coopérations entre services d’archives publics et de la coopération entre les administrations pour la collecte, la conservation et la
788. Cass. com., 23 avr. 2003, n° 01-10.623, Juris-Data n° 2003-018865. 789. A. Penneau, « Respect de la norme et responsabilités civile et pénale de l’homme de l’art », LPA n° 18, p. 28, 1er févr. 1998. 790. CE, sect., 29 mai 1970, Société Lamaraud et Cie et Perron, n° 73885, Rec. Lebon, p. 1104, précisant qu’« aucune stipulation des clauses contractuelles n’a rendu applicable au marché l’alinéa 1.545 de la norme Afnor p. 03001 ». 791. Cass. civ. 3e, 20 déc. 1978, Gaz. Pal. 1979, 1, p. 118-119 : « (u)ne cour d’appel ne s’est pas contredite en énonçant qu’à défaut de stipulation spéciale du marché relativement aux effets de la double réception, il était d’usage pour les contractants de se référer à la norme Afnor p. 03001 mais qu’en l’absence de référence contractuelle à cette norme, celle-ci, n’ayant pas de valeur légale ou réglementaire, ne pouvait suppléer le silence des parties ». 792. Cass. civ. 3e, 4 févr. 1976, Bull. civ. III, n° 49. 793. CA Aix-en-Provence, 15 sept. 2016, pour l’application de la norme d’élaboration des constats d’huissier par voie électronique : « Un tel acte ne peut être effectué par un huissier de justice qu’à la condition de respecter la norme NF Z67-147 de septembre 2010, dont les articles 4.2.1 et 4.2.2 détaillent sur 2 pages entières un certain nombre de travaux ; or le procès-verbal de constat sur internet effectué le 4 août 2011 à la requête de M. X. sur le site http://www. anastacia-beachwear.com de la société ANASTACIA ne comporte aucune mention de ces travaux obligatoires tels que la mention de l’adresse IP qui identifie le matériel, la suppression des caches avant consultation, la vérification que l’ordinateur est connecté un serveur PROXY, la preuve de l’existence de liens hypertextes vers les pages litigieuses, la suppression des cookies, et l’heure de début, ce qui démontre une violation de cette norme puisque l’huissier de justice s’est contenté de faire usage du moteur de recherches Google comme tout un chacun ». 794. V. l’article 17, alinéa 2, du décret n° 2009-697 du 16 juin 2009 relatif « à la normalisation » (JO 17 juin 2009), qui dispose que « toutefois, les normes peuvent être rendues d’application obligatoire par arrêté signé du ministre (…) ». 795. « Les contrats légalement formés tiennent lieu de loi à ceux qui les ont faits ».
284 | B anque
et
a ssurance
digitales
communication des archives publiques peuvent être confiées à des prestataires externes sous réserve d’une procédure d’agrément. Conformément à un arrêté du 4 décembre 2009796, ces prestataires de services d’archivage doivent respecter certaines normes (AFNOR) : la NF Z 40-350 pour l’archivage papier ; la NF Z42-013 pour l’archivage électronique (de mars 2009). 662. S’agissant à présent du contrat, il peut donner force obligatoire au respect d’une norme technique entre les parties. Dès lors, son non-respect sera analysé comme un manquement contractuel et la responsabilité du fautif pourra être engagée, spécialement si c’est un prestataire de services. 663. Si l’on se place du point de vue du risque de non-conformité dans le secteur bancaire et financier, il est important de souligner que l’article 10 p) de l’arrêté de l’arrêté du 3 novembre 2014797, intitulé « Risque de non-conformité » indique « le risque de sanction judiciaire, administrative ou disciplinaire, de perte financière significative ou d’atteinte à la réputation, qui naît du non-respect de dispositions propres aux activités bancaires et financières, qu’elles soient de nature législative ou réglementaire, nationales ou européennes directement applicables, ou qu’il s’agisse de normes professionnelles et déontologiques, ou d’instructions des dirigeants effectifs prises notamment en application des orientations de l’organe de surveillance ». Ainsi, ce texte établit clairement, en reprenant une rédaction identique à celle de l’article 4P du CRBF n° 97-02, que le non-respect des normes professionnelles et déontologiques constitue un risque de non-conformité. 664. Dans un autre domaine d’application (les signatures électroniques et les certificats associés), on peut citer la Politique d’acceptation commune (PAC) du CFONB798, qui « définit, pour la communauté bancaire, des critères communs de qualité et de sécurité pour des familles de certificats susceptibles d’être utilisés par une application bancaire. La PAC propose une classification selon 3 niveaux liés à la gestion du risque supporté par les applications utilisatrices. Les critères sont d’ordres techniques et juridiques et précisent les engagements et responsabilités respectifs des différents acteurs (autorité de certification ‒ AC, gestionnaire d’application, utilisateurs…) »799. B.
Le standard PCI DSS
665. Lorsqu’on se situe dans le cadre de la sécurité des paiements par carte, la norme incontournable est PCI DSS (« Payment Card Industry Data Security Standard »). Elle a été initialement développée en septembre 2006 par le PCI Security Standards Council réunissant des grands réseaux d’émetteurs de cartes 796. JO 12 déc. 2009, p. 21505. 797. JO 5 nov. 2014. 798. Comité français d’organisation et de normalisation bancaires (CFONB). La PAC actuellement en vigueur est la V. 3.1 du 29 septembre 2015. Elle est disponible à l’adresse suivante : http://www.cfonb.org/fichiers/20160324171128_CFONB_PAC_V3.1_FR.pdf 799. V. CFONB, FAQ sur la Politique d’acceptation commune (PAC), Version 1.1.
de
la sécurité des systèmes d ’ information et de l ’ information
| 285
comme Visa International, MasterCard Worldwide et American Express800. La dernière version est régulièrement mise à jour : actuellement, il s’agit de la version 3.1 du 15 avril 2015. L’objectif était de renforcer la sécurité des données des titulaires de cartes et de faciliter l’adoption de mesures de sécurité uniformes au niveau planétaire. 666. Le respect de la norme PCI DSS est imposé par le biais des contrats qui sont conclus entre les banques et les commerçants (et les fournisseurs de services de paiement). Des audits réguliers sont obligatoires. « Elle s’organise en douze “conditions” qui relèvent des six domaines suivants801 : 1. 2. 3. 4. 5. 6.
Création et gestion d’un réseau sécurisé ; Protection des données des titulaires de cartes de crédit ; Mise à jour d’un programme de gestion des vulnérabilités ; Mise en œuvre de mesures de contrôle d’accès strictes ; Surveillance et tests réguliers des réseaux ; Gestion d’une politique de sécurité des informations ».
Le manquement aux exigences de la norme peut avoir pour sanction maximale le retrait de l’agrément du réseau de l’émetteur de la carte et d’importantes pénalités financières prévues au contrat. 667. La CNIL a adopté une recommandation sur le traitement des données relatives à la carte de paiement en matière de vente ou de fourniture de services à distance, le 14 novembre 2013. Concernant la conformité de ces traitements aux articles 34 et 35 de la loi et à l’état de l’art, la délibération cite comme exemple la norme PCI DSS : « les responsables de traitements utilisent uniquement des services de paiement en ligne sécurisés et conformes à l’état de l’art et à la réglementation applicable. À cet égard, seuls les dispositifs conformes à des référentiels reconnus en matière de sécurisation de données relatives à la carte au niveau européen ou international (par exemple le standard PCI DSS) doivent être utilisés. Le responsable doit également s’assurer de la conformité du traitement aux exigences des articles 34 et 35 de la loi du 6 janvier 1978 modifiée, au travers notamment de la mise en œuvre d’une démarche de gestion des risques de manière à déterminer les mesures de sécurité organisationnelles et techniques nécessaires »802. L’article 5 de la délibération traite des mesures de sécurité, dont l’authentification renforcée du titulaire de la carte.
800. Il existe également la norme PA DSS, « Payment Application Data Security Standards » relative aux spécifications des logiciels utilisés. 801. É. A. Caprioli, Signature électronique et dématérialisation, LexisNexis, 2014, v. n° 46. 802. Délibération n° 2013-358 du 14 novembre 2013 portant adoption d’une recommandation concernant le traitement des données relatives à la carte de paiement en matière de vente de biens ou de fourniture de services à distance et abrogeant la délibération n° 2003-034 du 19 juin 2003, v. https://www.legifrance.gouv.fr/affichCnil.do?id=CNILTEXT000028276388 La délibération a été publiée le 7 décembre 2013 sur : www.legifrance.gouv.fr
286 | B anque
et
a ssurance
digitales
668. Cette norme originaire des grands réseaux nord-américains entend sécuriser les systèmes d’information des entreprises de commerce électronique proposant les paiements par carte en ligne, ainsi que des prestataires de services de paiement. Mais le contrôle de la conformité du SI à la norme génère des coûts importants. Au surplus, le respect des exigences de sécurité ne garantit pas que le SI d’une entreprise certifiée PCI DSS ne fera pas l’objet d’une atteinte quelconque (intrusion, altération et/ou extraction, reproduction de données…), dès lors que la conformité s’apprécie au moment de l’audit. Or, par définition, une faille de sécurité et/ou une violation de données à caractère personnel (numéro de carte…) entraîne un constat implacable : le commerçant ou le prestataire n’était plus conforme à la norme PCI DSS. En conséquence de quoi, le certifié risque de se voir retirer son précieux sésame. 669. Pour illustrer ce point, on citera « l’exemple en avril 2012 de la compromission chez Global Payments de données non nominatives de 1,5 million de cartes à piste magnétique distribuées aux États-Unis est ainsi marquant. Cette société a évalué dans ses comptes un coût total de 84,4 millions de dollars du fait de la compromission, incluant les investigations nécessaires, les audits pour rétablir la conformité PCI DSS, les pénalités financières des émetteurs de carte, le coût des assurances sur la protection de l’identité fournie gratuitement aux victimes, etc. »803. 670. Les banques et les assurances digitales, que leurs services soient distribués en ligne ou dans une relation physique (agences, points de vente, domicile) relèvent de secteurs économiques qui manipulent des données particulièrement sensibles, à caractère personnel, couvertes par le secret bancaire ou médical. Leurs SI, ainsi que les données qu’ils traitent, doivent être sécurisés, ce qui implique qu’un soin spécifique et exigeant soit porté à la confidentialité et aux divers contrôles d’accès. C’est pourquoi les banques et les assurances sont assujetties à des obligations nombreuses et très strictes en termes de sécurité de l’information et du numérique.
803. É. A. Caprioli (ss dir.), I. Cantero, I. Choukri, P. Agosti et F. Coupez, La banque en ligne et le droit, RB Édition, 2014, v. p. 56-57.
CHAPITRE V Les aspects contractuels de l’assurance et de la banque digitale 671. De nombreux clients recourent régulièrement aux services de banque ou d’assurance digitales, que les services bancaires soient en ligne ou constituées en agences bancaires, ou sur le lieu de vente en présence physique. Le souci de protéger le client se manifeste particulièrement dans le domaine des contrats bancaires et des contrats d’assurance conclus par voie digitale dans la mesure où il s’agit de contrats d’adhésion804, les clauses étant rédigées par les seules banques ou les assurances. Or, l’utilisation du support digital peut constituer un vivier de clauses abusives à cette utilisation. Les conditions contractuelles relatives à la banque et à l’assurance digitales restent régies par le droit commun des contrats805. Au préalable, elles doivent donc être portées à la connaissance et acceptées par les clients. Le cadre juridique a été modifié (section I) et certaines clauses ont évolué (section II).
SECTION I LE CADRE JURIDIQUE APPLICABLE À LA BANQUE DIGITALE § 1 – Droit de la consommation et banque digitale
672. L’exercice de l’activité bancaire peut, en elle-même, conduire à l’identification de clauses abusives au sein des contrats bancaires. Certains points comme le support durable (v. supra partie I, chapitre I, section III), les clauses abusives (v. supra partie I, chapitre I, section V) ou l’authentification (v. supra partie I, chapitre IV, section II) constituent des éléments importants à prendre en compte, spécialement lorsqu’il s’agit d’un espace de banque en ligne. 804. V. Ledoux, « Le nouveau déséquilibre significatif dans les contrats d’adhésion », Journal des sociétés, sept. 2016, p. 10 ; Th. Revet, « Les critères du contrat d’adhésion », D. 2016, 1771. 805. L’objectif de ce chapitre n’est pas de préciser les clauses particulières pour un contrat portant sur un produit ou un service financier mais de déterminer les conditions relatives à la digitalisation qui doivent figurer dans les documents contractuels.
288 | B anque
et
a ssurance
digitales
673. Le pouvoir discrétionnaire du juge de la consommation pour se saisir d’office du caractère abusif ou non d’une clause constitue une inconnue dans le traitement des litiges portant sur la banque et l’assurance digitales. Ainsi, en matière de clause abusive, la directive n° 93/13/CEE du 5 avril 1993, mais surtout la jurisprudence de la CJCE qui en a été retirée, ont permis progressivement une extension des pouvoirs du juge quant à l’examen du caractère abusif d’une clause. 674. Ainsi, l’arrêt de la CJCE du 4 juin 2009 affirme que le juge national est tenu d’examiner d’office le caractère abusif d’une clause contractuelle dès qu’il dispose des éléments de droit et de fait nécessaires à cet effet806. On notera que cette obligation du juge national n’est pas limitée par le délai de forclusion comme l’a précisé la CJCE dans un arrêt du 21 novembre 2002807 suite aux interrogations du Tribunal d’instance de Vienne808. 675. Cependant, la CJUE dans un arrêt du 21 février 2013809 vient de préciser que le juge qui se saisit d’office sur le caractère abusif des clauses figurant dans un contrat doit tout de même respecter le principe du contradictoire. À ce titre, il doit donc en informer les parties et leur donner la possibilité d’en débattre
806. CJCE, 4 juin 2009, aff. C-243/08, D. 2009. 2312, note G. Poissonnier ; ibid. 2010, pan. 169, obs. N. Fricero ; ibid. 797, obs. E. Poillot : JCP éd. G 2009, n° 42, p. 33, note G. Paisant ; JCP éd. E 2009, n° 42, p. 26, note L. Raschel ; Gaz. Pal. 2010, 421, obs. S. Piedelièvre : « Le juge national est tenu d’examiner d’office le caractère abusif d’une clause contractuelle dès qu’il dispose des éléments de droit et de fait nécessaires à cet effet. Lorsqu’il considère une telle clause comme étant abusive, il ne l’applique pas, sauf si le consommateur s’y oppose. Cette obligation incombe au juge national également lors de la vérification de sa propre compétence territoriale ». 807. CJCE, 21 nov. 2002, aff. C-473/00 : Rec. CJCE 2002, I, p. 10875 ; Contrats, conc., consom. 2003, comm. 31, obs. G. Raymond ; JCP éd. E 2003, 321 : « La directive n° 93/13/CEE du Conseil, du 5 avril 1993, concernant les clauses abusives dans les contrats conclus avec les consommateurs, s’oppose à une réglementation interne qui, dans une action intentée par un professionnel à l’encontre d’un consommateur et fondée sur un contrat conclu entre eux, interdit au juge national à l’expiration d’un délai de forclusion de relever, d’office ou à la suite d’une exception soulevée par le consommateur, le caractère abusif d’une clause insérée dans ledit contrat ». 808. TI Vienne, 15 déc. 2000. 809. CJUE 21 févr. 2013, aff. C-472/11 : « 1) Les articles 6, paragraphe 1, et 7, paragraphe 1, de la directive n° 93/13/CEE du Conseil, du 5 avril 1993, concernant les clauses abusives dans les contrats conclus avec les consommateurs, doivent être interprétés en ce sens que le juge national qui a constaté d’office le caractère abusif d’une clause contractuelle n’est pas tenu, afin de pouvoir tirer les conséquences de cette constatation, d’attendre que le consommateur, informé de ses droits, présente une déclaration demandant que ladite clause soit annulée. Toutefois, le principe du contradictoire impose, en règle générale, au juge national qui a constaté d’office le caractère abusif d’une clause contractuelle d’en informer les parties au litige et de leur donner la possibilité d’en débattre contradictoirement selon les formes prévues à cet égard par les règles nationales de procédure. 2) Le juge national doit, afin de porter une appréciation sur le caractère éventuellement abusif de la clause contractuelle qui sert de base à la demande dont il est saisi, tenir compte de toutes les autres clauses du contrat ».
l es
aspects contractuels de l ’ assurance et de la Banque digitale
| 289
contradictoirement. Cet arrêt précise aussi que le juge doit « tenir compte de toutes les autres clauses du contrat ». Ainsi, le juge doit-il se saisir d’office même sur les clauses sur lesquelles il n’est pas saisi par les parties. 676. Cette interprétation est renforcée par l’article L. 141-4 du Code de la consommation810. Il permet au juge de soulever d’office toutes les dispositions du Code de la consommation pour les litiges nés de son application. Ainsi, face à un processus de contractualisation électronique, un juge peut décider de rouvrir les débats en s’appuyant non sur une défaillance de procédé de signature électronique (Partie II, Chapitre IV), mais sur une mauvaise remise de l’exemplaire signé ou l’inexistence d’un bordereau de rétractation électronique. § 2 – La réforme du Code civil et la banque digitale
677. La réforme du droit des obligations811 poursuit deux objectifs : d’une part, la sécurité juridique en vue de rendre plus lisible et plus accessible le droit des contrats, le régime général et la preuve des obligations, mais aussi, d’autre part, le renforcement de l’attractivité du droit français. 678. Elle a un impact certain sur les contrats bancaires mais aussi de l’assurance, qu’ils soient ou non sous forme digitale812, sans pour autant les révolutionner. Le nouvel article 1105, alinéa 3, du Code civil dispose : « les règles générales s’appliquent sous réserve de [ces] règles particulières [à certains contrats] », ce qui signifie que le Code monétaire et financier, le Code des assurances et le Code de la consommation devront être pris en compte. Dès lors, les contrats conclus avec les consommateurs étant déjà largement encadrés par le Code de la consommation (v. partie I, chapitre I), ils devraient peu évoluer à l’aune de cette réforme. Il n’en va pas de même pour les contrats avec les clients
810. Issu de l’article 34 de la loi n° 2008-3 du 3 janvier 2008, JO 4 janv. 2008. 811. Ordonnance n° 2016-131 du 10 février 2016 portant réforme du droit des contrats, du régime général et de la preuve des obligations, JO 11 févr. 2016. V. notamment N. Molfessis, « Droit des contrats : que vive la réforme » ; JCP éd. G 2016, doctr. 180 ; A. Bénabent et L. Aynès, « Réforme du droit des contrats et des obligations : aperçu général », D. 2016, p. 434 ; D. Mazeaud, « Présentation de la réforme du droit des contrats », Gaz. Pal. 23 févr. 2016, n° 8, p. 15 ; M. Mekki, « L’ordonnance n° 2016-131 du 10 février 2016 portant réforme du droit des contrats, du régime général et de la preuve des obligations. Le volet droit des contrats : l’art de refaire sans défaire », D. 2016, p. 494. 812. V. en ce sens, J. Lasserre Capdeville, « Conséquence de la réforme du droit des obligations sur le droit bancaire – Étude prospective », JCP éd. E et A, 21 juill. 2016, 1434 ; J.-J. Daigre, « Le projet de réforme du droit des contrats et le droit bancaire et financier », Banque & Droit 2015, n° 164, éditorial ; M. Roussille, « La réforme du droit des obligations et tous ses dangers », RDBF 2015, alerte 13 ; J.-P. Bornet et P. Le Besnerais, « Libres propos sur l’ordonnance portant réforme du droit des contrats, du régime général et de la preuve des obligations », Banque & Droit, 2016, n° 166, p. 22 ; M. Boccara, E. Jouffin et M. Roussille, « Réforme du droit des contrats et du régime des obligations – Quelle incidence pour les banques ? », Banque & Droit 2016, n° 52, p. 52.
290 | B anque
et
a ssurance
digitales
professionnels, pour lesquels la liberté contractuelle est plus étendue813. Il en est ainsi concernant : – les obligations d’information précontractuelle (A) ; – les clauses abusives (B) ; – la révision pour imprévision (C). A.
Les obligations d’informations précontractuelles
679. Outre les obligations d’informations précontractuelles prévues dans le Code de la consommation, l’article 1112-1 du Code civil énonce désormais : « Celle des parties qui connaît une information dont l’importance est déterminante pour le consentement de l’autre doit l’en informer dès lors que, légitimement, cette dernière ignore cette information ou fait confiance à son cocontractant. Néanmoins, ce devoir d’information ne porte pas sur l’estimation de la valeur de la prestation. Ont une importance déterminante les informations qui ont un lien direct et nécessaire avec le contenu du contrat ou la qualité des parties. Il incombe à celui qui prétend qu’une information lui était due de prouver que l’autre partie la lui devait, à charge pour cette autre partie de prouver qu’elle l’a fournie. Les parties ne peuvent ni limiter, ni exclure ce devoir. Outre la responsabilité de celui qui en était tenu, le manquement à ce devoir d’information peut entraîner l’annulation du contrat dans les conditions prévues aux articles 1130 et suivants ». 680. Si ce devoir d’information est désormais consubstantiel de l’activité des professionnels de la banque814 ou de l’assurance, il n’est pas soumis aux mêmes limites qu’en droit de la consommation. En effet, cette information sera due quelles que soient les connaissances, la qualité (professionnel ou consommateur) ou la compétence des parties815. Certains auteurs restent circonspects : « il 813. M. Boccara, E. Jouffin et M. Roussille, art. préc. 814. Ex. : article L. 312-1-1 du Code monétaire et financier en matière d’ouverture de compte, en matière de crédit à la consommation…, ou encore en matière d’assurance de groupe, Cass. com., 3 déc. 2013, n° 12-23.976, LEDB févr. 2014, p. 1, n° 1. Cf. partie II, chapitre IV. 815. Et ce malgré le rapport remis au Président de la République relatif à l’ordonnance n° 2016-131 du 10 février 2016 portant réforme du droit des contrats, du régime général et de la preuve des obligations (JO 11 févr. 2016) : « Afin de ne pas susciter une insécurité juridique et de répondre aux inquiétudes des entreprises, ce devoir d’information ne porte pas sur l’estimation de la valeur de la prestation, conformément à la jurisprudence de la Cour de cassation (alinéa 2). Il est en outre subordonné à plusieurs conditions : l’importance déterminante de l’information pour le consentement de l’autre partie (la notion d’information déterminante étant définie à l’alinéa 3) ; la connaissance de l’information par le créancier ; l’ignorance de l’information par l’autre partie, cette ignorance devant être légitime et pouvant tenir aux relations de confiance entre
l es
aspects contractuels de l ’ assurance et de la Banque digitale
| 291
n’est pas impossible que, grâce à ce nouveau fondement juridique, on assiste au développement d’une jurisprudence où l’ignorance présumée ou légitime du contractant serait entendue de manière extensive »816. B.
Les clauses abusives
681. L’article 1171 du Code civil énonce : « Dans un contrat d’adhésion, toute clause qui crée un déséquilibre significatif entre les droits et obligations des parties au contrat est réputée non écrite. L’appréciation du déséquilibre significatif ne porte ni sur l’objet principal du contrat ni sur l’adéquation du prix à la prestation ». Un contrat d’adhésion s’entend comme « celui dont les conditions générales, soustraites à la négociation, sont déterminées à l’avance par l’une des parties » (C. civ., art. 1110, al. 2). Ainsi, quelle que soit la qualité du client, ces dispositions trouveront à s’appliquer, y compris pour les clients professionnels, ce qui impactera profondément la rédaction des contrats avec ces derniers. Certaines clauses pourraient être qualifiées d’abusives comme les clauses induisant les parties en erreur sur la gratuité d’un prêt817. C.
La théorie de l’imprévision
682. L’article 1195 du Code civil dispose : « Si un changement de circonstances imprévisible lors de la conclusion du contrat rend l’exécution excessivement onéreuse pour une partie qui n’avait pas accepté d’en assumer le risque, celle-ci peut demander une renégociation du contrat à son cocontractant. Elle continue à exécuter ses obligations durant la renégociation. En cas de refus ou d’échec de la renégociation, les parties peuvent convenir de la résolution du contrat, à la date et aux conditions qu’elles déterminent, ou demander d’un commun accord au juge de procéder à son adaptation. À défaut d’accord dans un délai raisonnable, le juge peut, à la demande d’une partie, réviser le contrat ou y mettre fin, à la date et aux conditions qu’il fixe ». 683. Il reprend le principe de la clause de hardship818. Notons, toutefois, que le juge ne dispose pas du pouvoir de fixer arbitrairement les nouvelles conditions économiques du contrat. Ce n’est qu’en cas de refus ou d’échec les cocontractants (ainsi le devoir de s’informer fixe-t-il la limite de l’obligation précontractuelle d’information). La règle de preuve posée au quatrième alinéa correspond à la solution dégagée en jurisprudence, les praticiens souhaitant consacrer explicitement dans la loi ce rappel du droit commun de la preuve. Le cinquième alinéa précise que le devoir d’information est une règle d’ordre public ». 816. J. Lasserre Capdeville, préc., n° 18. 817. J. Lasserre Capdeville, préc., n° 31. 818. M. Mekki, « Hardship et révision des contrats. Quelle méthode au service d’une harmonisation entre les droits ? », JCP éd. G 2010, doctr. 1219.
292 | B anque
et
a ssurance
digitales
d’une renégociation qu’une option est offerte aux parties : soit convenir de la résolution du contrat, soit demander au juge de déterminer à la place des parties les nouvelles conditions économiques.
SECTION II LES CLAUSES UTILES 684. Certaines clauses sont à prévoir qu’il s’agisse de se référer à un espace de banque en ligne ou au recours à une tablette dans une agence « physique » ou à des modalités d’authentification particulières. On pense ainsi à la convention de preuve, à la clause « Informatique et Libertés », à la clause de prérequis techniques. § 1 – Convention de preuve
685. La convention de preuve doit être entendue comme un accord exprès par lequel les parties modifient les règles normales de la preuve judiciaire, soit quant à la charge de la preuve, soit quant à la détermination des faits à prouver, soit quant à l’emploi des procédés de preuve. Elle a pour finalité de permettre aux parties d’aménager la manière dont elles vont démontrer les droits qu’elles peuvent être amenées à invoquer l’une contre l’autre, et éventuellement à faire valoir en justice. 686. Les règles probatoires énoncées en matière civile sont des règles supplétives par opposition à celles d’ordre public, c’est-à-dire que les parties pourront les aménager dans le cadre de la convention de preuve (qui figurera dans la convention de compte, dans la convention de banque ou d’assurance en ligne ou un autre document contractuel : contrat de crédit…). Mais, la liberté contractuelle est strictement encadrée dans ce domaine. Ainsi, la convention de preuve ne doit pas entraver les règles de procédure, ni paralyser le dispositif probatoire de l’autre partie, en l’empêchant, par exemple, de combattre la preuve que s’est constituée le professionnel. En effet, seuls les droits dont les parties ont la libre disposition peuvent être l’objet de telles conventions (C. civ., art. 1356, al. 1). La convention de preuve doit être adaptée aux besoins juridiques des clients de la banque ou de l’assurance digitales. 687. Le nouveau Code civil, dans son article 1368, dispose : « À défaut de dispositions ou de conventions contraires, le juge règle les conflits de preuve par écrit en déterminant par tout moyen le titre le plus vraisemblable ». Cet article écarte le pouvoir d’appréciation du juge pour déterminer lequel des actes l’emporte, lorsqu’il existe une convention de preuve. Si la licéité de ces conventions sur les procédés de preuve est incontestée, des réserves quant à leur validité peuvent naître de l’impossibilité de rapporter la preuve contraire. Il
l es
aspects contractuels de l ’ assurance et de la Banque digitale
| 293
importe que le client, consommateur ou professionnel819, soit admis à rapporter la preuve de la défaillance du système. En présence d’un consommateur, on pourra également considérer qu’il s’agit d’une clause abusive, conformément à l’article L. 212-1 du Code de la consommation. D’une façon plus générale, ces conventions de preuve trouveront, en droit français, leurs limites dans l’office du juge. La convention ne saurait, en effet, attribuer la plénitude de la force probante au procédé de preuve élu. Elle institue au mieux une présomption qui peut être renversée lors du débat judiciaire, sous le contrôle du juge820. 688. En analysant l’article 1368 du Code civil, on notera également le critère de vraisemblance de la preuve littérale en l’absence de convention valable entre les parties. Le juge détermine par tous moyens le titre le plus vraisemblable en cas de conflit de preuves littérales, sous réserve qu’aucun doute, ni qu’aucune dénégation ne soit intervenue à l’encontre des deux actes. 689. Ce type de convention permet d’éclairer le client sur les moyens de preuve dont les parties disposent et qu’il accepte. Cela permet, d’autre part, d’éviter toute contestation ultérieure ou du moins de décourager toute contestation non sérieuse. Elle facilite le travail du juge lorsqu’il devra apprécier la force probante des preuves électroniques produites (signature électronique d’une opération, authentification par OTP ‒ One Time Password, messages électroniques, horodatage…). 690. Les conventions de preuve ont l’avantage de renforcer le caractère loyal de la preuve électronique en réduisant en amont (sans toutefois le supprimer) le caractère unilatéral de certains modes de preuve grâce à l’accord préalable donné par le client (sous réserve de leur caractère équilibré). § 2 – Le descriptif des services
691. Une clause doit décrire de manière précise les étapes de la cinématique (de la présentation des documents ou des opérations) jusqu’à la phase de validation ou de signature d’un contrat (signature sur tablette, envoi d’un OTP SMS…), voire la phase d’archivage (partie II, chapitre I).
819. L’article 1356, alinéa 2, dispose : « Néanmoins, ils ne peuvent contredire les présomptions irréfragables établies par la loi, ni modifier la foi attachée à l’aveu ou au serment. Ils ne peuvent davantage établir au profit de l’une des parties une présomption irréfragable ». Cela signifie que, même en B2B, les conventions de preuve doivent permettre la contradiction. 820. En matière de force probante, v. la jurisprudence sur les compteurs (eau EDF), notamment Cass. civ. 1re, 4 janv. 1995, Bull. civ. I, 1995, n° 10, p. 7 : « (…) alors, d’autre part, que le seul fait que le compteur ait enregistré une consommation d’eau, même lorsque l’arrivée d’eau située dans la maison était fermée n’impliquait pas nécessairement un fonctionnement défectueux dudit compteur, cette circonstance pouvant résulter notamment d’une fuite sur les 40 mètres de canalisations séparant le compteur de la maison ; que, dès lors, le Tribunal, en considérant que Mme X.. avait rapporté la preuve qui lui incombait du fonctionnement défectueux du compteur, sans rechercher s’il n’existait pas une autre cause aux indications portées sur ce dernier, a manifestement violé l’article 1315 du Code civil ; (…) ».
294 | B anque
et
a ssurance
digitales
Il est important que l’ensemble des fonctionnalités soit détaillé sans omission pour informer au mieux les clients. § 3 – Obligations / responsabilités
692. Le descriptif des services doit permettre de qualifier au mieux les obligations du client mais aussi de l’établissement bancaire et financier ou de l’assurance et ainsi de déterminer l’étendue de leurs responsabilités respectives. Il est important de déterminer quelles sont les obligations qui peuvent être considérées comme étant de moyens, ainsi que celles de résultat. Notons ici que le droit de la consommation trouve également à s’appliquer, particulièrement les dispositions relatives aux clauses abusives telles que prévues à l’article L. 212-1 du Code de la consommation. Fréquemment, les établissements bancaires et financiers ou les assurances prévoient des exonérations de responsabilité relatives à l’utilisation des réseaux pour les échanges, ces derniers n’en ayant pas la maîtrise, ou encore celles relatives à l’utilisation de dispositifs de sécurité. § 4 – Les mesures de sécurité
693. Les aspects relatifs à la sécurité sont traités dans la partie I, au chapitre IV. § 5 – La clause « Informatique et Libertés » et la clause de secret bancaire
694. Ces clauses sont essentielles dans le cadre de l’équilibre de l’activité bancaire (partie I, chapitre II).
SECTION III L’INCLUSION DES STIPULATIONS RELATIVES À LA BANQUE ET À L’ASSURANCE DIGITALES 695. Dans l’immense majorité des cas, les stipulations sont intégrées dans les contrats standards (§ 1), notamment lorsque la souscription s’effectue en agence ou avec un commercial (assurance), voire en ligne. Toutefois, la convention de banque ou d’assurance en ligne peut être perçue fréquemment comme un service autonome et payant, soumis à des conditions contractuelles spécifiques (§ 2).
l es
aspects contractuels de l ’ assurance et de la Banque digitale
| 295
§ 1 – Inclusion des conditions de Banque en ligne (BEL) dans la convention de compte de dépôt
696. D’une part, les clauses envisagées en section II peuvent être intégrées dans les contrats standards, comme en cas de souscription par voie électronique d’un contrat en agence. D’autre part, le Code monétaire et financier prévoit, dans son article L. 312-1-1, des règles propres à la convention de compte de dépôt. Toutefois, il n’est fait état à aucun moment de dispositions relatives aux services de banque en ligne, mais uniquement aux « opérations relatives à la gestion d’un compte de dépôt »821. L’application de telles dispositions à la banque en ligne n’est donc obligatoire que dans l’hypothèse où le service de banque en ligne est un service standard. Il peut arriver que certains établissements bancaires et financiers cherchent à modifier les conditions contractuelles propres au service de banque en ligne (ou d’autres services comme les services de signature électronique) en recourant aux dispositions légales relatives aux modifications propres aux conventions de compte de dépôt. Ainsi, l’article L. 312-1-II du Code monétaire et financier dispose : « II. – Tout projet de modification de la convention de compte de dépôt est communiqué sur support papier ou sur un autre support durable au client au plus tard deux mois avant la date d’application envisagée. Selon les modalités prévues dans la convention de compte de dépôt, l’établissement de crédit informe le client qu’il est réputé avoir accepté la modification s’il ne lui a pas notifié, avant la date d’entrée en vigueur proposée de cette modification, qu’il ne l’acceptait pas ; dans ce cas, l’établissement de crédit précise également que, si le client refuse la modification proposée, il peut résilier la convention de compte de dépôt sans frais, avant la date d’entrée en vigueur proposée de la modification ». Cette technique – artificielle – est employée lorsque les établissements bancaires et financiers entendent ne pas requérir un nouveau consentement express de la part des titulaires de BEL pour une évolution du service. À ce titre, elle est critiquable et peut éventuellement être remise en cause. § 2 – Inclusion des dispositions de Banque en ligne (BEL) dans un document autonome
697. Le service de BEL peut également être un service autonome, souvent souscrit au moment de l’ouverture d’une convention de compte pour consulter via Internet les opérations effectuées sur un compte de dépôt (Partie II, Chapitre IV). De ce fait, la souscription d’une convention de BEL est souvent réalisée avec une
821. Ces aspects de banque en ligne ne constituent pas – en principe – un service de compte de dépôt.
296 | B anque
et
a ssurance
digitales
signature manuscrite (ou électronique) en agence. D’ailleurs, tant que l’entrée en relation d’un prospect ne sera pas totalement dématérialisée, on peut penser que la convention de BEL – nécessaire pour agir à distance – sera signée en agence.
PA R T I E I I OPÉRATIONS DE BANQUE ET D’ASSURANCE DIGITALES
698. La transformation digitale est partout ; elle innerve chaque pan de l’activité bancaire822, que cette transformation traite des modes d’entrée en relation, des supports de contractualisation (smartphone, tablette…) ou plus prosaïquement l’émergence du « Chief Digital Officer » en charge d’en superviser tous les aspects (souvent techniques et marketing). Tous les produits et services traditionnels de la banque et de l’assurance ont pris le virage du digital, qu’il s’agisse de la digitalisation des échanges (chapitre I), des opérations de paiement (chapitre II), de la banque en ligne (chapitre III) et, enfin, de la souscription de la quasi-totalité des produits ou services financiers dont seulement certains seront étudiés (chapitre IV).
822. V. notamment Ph. Vidal, N. Gorra, « Banque digitale : faire la course en tête », Rev. Banque n° 779-780, janv. 2015, p. 80.
CHAPITRE I Les principes de la digitalisation des documents 699. Toute la stratégie des banques est tournée vers le digital. Désormais, la majeure partie des produits bancaires ou d’assurance (contrat d’épargne, convention de banque…) est digitalisée/dématérialisée ou en passe de le devenir823. Mais cette situation n’a pas toujours été si favorable : dans les années 2000, malgré l’intégration de la preuve et de la signature électroniques dans le Code civil824, les projets bancaires de dématérialisation peinaient à démarrer. 700. Certaines initiatives d’acteurs bancaires ont fait jour, suite à certaines innovations du marché en 2006-2007, spécialement les certificats émis à la volée qui ont permis, de l’aveu du milieu bancaire, le décollage du secteur. Plus récemment, le secteur de l’assurance a suivi le même mouvement. 701. Toutefois, l’une des craintes majeures des acteurs reste de disposer d’écrits sous forme électronique dont la valeur juridique est équivalente à celle des écrits sur support papier. Le corpus législatif et réglementaire a été progressivement complété de telle façon qu’aujourd’hui, tous les produits bancaires et d’assurance (ou presque) peuvent être souscrits par voie électronique. Si les processus de contractualisation ne négligent en rien la phase d’établissement de l’écrit électronique (section I), il n’en va pas de même pour la phase de conservation de l’écrit (section II).
823. V. Cabinet Caprioli & Associés, ouvrage collectif, La banque en ligne et le droit, RB Édition, 2014. 824. V. É. A. Caprioli, Signature électronique et dématérialisation, LexisNexis, 2014 ; v. P. Catala, « Le formalisme et les nouvelles technologies », Rép. Defrénois, art. 37210, 2000 ; P.-Y. Gautier et X. Linant de Bellefonds, préc. ; J. Huet, « Vers une consécration de la preuve et de la signature électroniques », D. 2000, n° 6, chron., p. 95 et s. ; P. Leclercq, art. préc. ; A. Raynouard, « Adaptation du droit de la preuve aux nouvelles technologies de l’information et à la signature électronique », Rép. Defrénois n° 10, 2000, doctr., p. 593 et s. ; É. A. Caprioli, « La loi française sur la preuve et la signature électroniques dans la perspective européenne », JCP éd. G, 2000, I, 224 et « Écrit et preuve électroniques dans la loi n° 2000-230 du 13 mars 2000 », JCP éd. E 2000, Cah. dr. entr. n° 2, suppl. au n° 30, p. 1-11.
300 | B anque
et
a ssurance
digitales
SECTION I L’ÉTABLISSEMENT D’UN ÉCRIT ÉLECTRONIQUE § 1 – L’authentification / l’identification du client
702. La phase d’authentification du client constitue un préalable indispensable de tous les processus de contractualisation sous forme électronique que peuvent mettre en place les organismes financiers, bancaires ou assurantiels. Cette phase ne doit pourtant pas être confondue avec les obligations de connaissance de la clientèle (partie I, chapitre III). A.
L’identification « KYC » de l’auteur
703. Cette exigence de vérification d’identité est rappelée de manière forte en renvoyant à la notion d’authentification prévue dans la directive n° 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015 concernant les services de paiement dans le marché intérieur, modifiant les directives n° 2002/65/ CE, n° 2009/110/CE et n° 2013/36/UE et le règlement n° 1093/2010/UE qui indique : « authentification, une procédure permettant au prestataire de services de paiement de vérifier l’identité d’un utilisateur de services de paiement ou la validité de l’utilisation d’un instrument de paiement spécifique, y compris l’utilisation des données de sécurité personnalisées de l’utilisateur » (art. 4.29). 704. Or, le plus souvent, l’authentification s’appuie sur les données des clients collectées dans le cadre des procédures de connaissance client (« Know Your Customer ») pour des raisons de conformité légale (partie I, chapitre III). Les exigences de conformité légale et civiliste ne doivent pourtant pas être confondues même si le législateur européen a mêlé les deux dans le cadre de la directive n° 2015/849/UE du Parlement européen et du Conseil du 20 mai 2015 relative à la prévention de l’utilisation du système financier aux fins du blanchiment de capitaux ou du financement du terrorisme825, notamment parmi les facteurs de situations de risque plus élevés. L’annexe III compte parmi les facteurs de risques liés aux produits, aux services, aux transactions ou aux canaux de distribution : « c) [les] relations d’affaires ou transactions qui n’impliquent pas la présence physique des parties et qui ne sont pas assorties de certaines garanties telles qu’une signature électronique ». 705. La garantie relative à la signature électronique prévue dans cette annexe III devra être considérée comme équivalente à une vérification d’identité en face-àface (puisqu’il n’y aurait pas de présence physique des parties). Un lien est donc établi entre les deux typologies d’exigences. Notons, toutefois, que certaines signatures électroniques ne s’appuient pas sur des certificats nécessitant un réel face-à-face, mais uniquement sur la vérification de pièces justificatives. Dès 825. JOUE n° L. 141, 5 mai 2015, p. 73.
l es
principes de la digitalisation des documents
| 301
lors, le fait de recourir à une signature électronique ne doit pas être considéré automatiquement comme une garantie suffisante, les modalités de délivrance du certificat étant elles aussi essentielles. 706. L’identification électronique est définie dans le règlement n° 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur (eIDAS)826 comme « le processus consistant à utiliser des données d’identification personnelle sous une forme électronique représentant de manière univoque une personne physique ou morale, ou une personne physique représentant une personne morale » (art. 4.1)827. Mais l’identification électronique dont il s’agit ici et qui dispose d’un chapitre particulier (chapitre II) est relative aux identités électroniques délivrées par la puissance régalienne et non d’un service offert par une personne privée. Il est donc traité de la délivrance des moyens d’identification électronique relevant de la compétence nationale des États membres. L’objectif de ce chapitre du règlement eIDAS est d’indiquer les modalités de reconnaissance mutuelle des moyens d’identification étatiques (art. 6), reconnaissance effectivement applicable à compter du mois de septembre 2018. 707. Si le recours à l’identification électronique régalienne au sens du règlement eIDAS semble, pour l’heure, réservée aux services en ligne fournis par des organismes du secteur public, le règlement laisse ouverte la possibilité que ces moyens d’identification électronique soient également utilisés pour le secteur privé – a fortiori tels que la banque et l’assurance – dans un de ses considérants : « (17) Les États membres devraient encourager le secteur privé à utiliser, sur une base volontaire, aux fins de l’identification exigée par des services en ligne ou des transactions électroniques, les moyens d’identification électronique relevant d’un schéma notifié. La possibilité d’utiliser de tels moyens d’identification électronique permettrait au secteur privé de s’appuyer sur des fonctions d’identification et d’authentification électroniques déjà largement utilisées dans de nombreux États membres, au moins pour les services publics, et de faciliter l’accès des entreprises et des particuliers à leurs services en ligne transfrontaliers. Afin de faciliter l’utilisation transfrontalière de tels moyens d’identification électronique par 826. JOUE n° L. 257, 28 août 2014, p. 73 et s. Pour plus de détails, v. É. A. Caprioli, « Signature électronique et dématérialisation », LexisNexis, 2014. Concernant la proposition de règlement, É. A. Caprioli, P. Agosti, « La régulation du marché européen de la confiance numérique : enjeux et perspectives de la proposition de règlement européen sur l’identification électronique et les services de confiance », Com. com. électr. févr. 2013, p. 10 ; T. Piette-Coudol, « Une législation européenne pour la signature électronique (À propos du règlement européen sur l’identification électronique et les services de confiance) », Droit de l’immatériel, n° 84, juin. 2012, p. 78. 827. V. aussi l’article 4.2 : « moyen d’identification électronique : un élément matériel et/ou immatériel contenant des données d’identification personnelle et utilisé pour s’authentifier pour un service en ligne ».
302 | B anque
et
a ssurance
digitales
le secteur privé, la possibilité d’authentification prévue par un État membre devrait être accessible aux parties utilisatrices du secteur privé établies en dehors du territoire de cet État membre aux mêmes conditions que celles qui sont appliquées aux parties utilisatrices du secteur privé établies sur le territoire dudit État membre. Dès lors, en ce qui concerne les parties utilisatrices du secteur privé, l’État membre notifiant peut définir des conditions d’accès aux moyens d’authentification. Ces conditions d’accès peuvent indiquer si le moyen d’authentification relatif au schéma notifié est actuellement accessible aux parties utilisatrices du secteur privé »828. 708. L’article 86 de la loi829 pour une République numérique a intégré dans le Code des Postes et des communications électroniques un nouvel article L. 136 qui dispose : « La preuve de l’identité aux fins d’accéder à un service de communication au public en ligne peut être apportée par un moyen d’identification électronique. Ce moyen d’identification électronique est présumé fiable jusqu’à preuve du contraire lorsqu’il répond aux prescriptions du cahier des charges établi par l’autorité nationale de sécurité des systèmes d’information, fixé par décret en Conseil d’État. Cette autorité certifie la conformité des moyens d’identification électronique aux exigences de ce cahier des charges ». « II. – Dans les conditions prévues à l’article 38 de la Constitution, le Gouvernement est autorisé à prendre par ordonnances : 1° Toute mesure relevant du domaine de la loi afin de permettre de faciliter l’utilisation du processus d’identification électronique défini à l’article L. 136 du Code des postes et des communications électroniques par la personne concernée pour justifier de son identité et pour communiquer ou recevoir des informations
828. Par exemple, il pourra être utile de vérifier si le Schéma d’identification France Connect – réservé pour l’heure aux téléservices – et qui devrait être notifié à la Commission européenne, pourra être accessoirement utilisé par les établissements bancaires et financiers. En effet, France Connect fait partie de la stratégie d’État plateforme, et a été conçu, dans un premier temps, pour simplifier la relation usager/administration en France par le biais : • d’un système d’identification et d’authentification pouvant être reconnu par toutes les administrations offrant des services en ligne (impôts, CAF, sécurité sociale, mairie, etc.), afin de limiter la pratique consistant à créer un compte (identifiant/mot de passe) par administration ; • et d’un système permettant l’échange de données entre les diverses administrations afin d’éviter que ce dernier remette à une administration un document qu’une autre administration possède déjà (attestation de domicile, avis d’imposition, acte de naissance, etc.). Dans un second temps, l’extension de l’utilisation de France Connect aux organismes privés (banques, assurances…) est envisageable. 829. Loi n° 2016-1321 du 7 octobre 2016 pour une République numérique, JO 8 oct. 2016.
l es
principes de la digitalisation des documents
| 303
ou documents demandés ou délivrés par les autorités publiques ou dans le cadre de transactions commerciales ou d’échanges entre particuliers et professionnels ; 2° Toute mesure relevant du domaine de la loi afin d’adapter le cadre juridique existant ayant pour objet ou se rapportant à l’identification électronique et aux services de confiance par voie électronique au regard des dispositions du règlement n° 910/2014/UE du Parlement européen et du Conseil du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive n° 1999/93/ CE. Ces ordonnances sont prises dans un délai de douze mois à compter de la promulgation de la présente loi. Un projet de loi de ratification est déposé devant le Parlement dans un délai de trois mois à compter de la publication de chaque ordonnance ». Dès lors, l’identification électronique sur laquelle pourrait s’appuyer l’organisme bancaire, financier ou assurantiel pourrait, à l’avenir, être un moyen d’identification au sens du règlement eIDAS. À ce titre, il conviendra de déterminer la compatibilité des moyens d’identification du marché avec le référentiel européen830. B.
L’identification « civiliste » de l’auteur de l’acte
709. L’identification de l’auteur est une des conditions sine qua non de reconnaissance juridique de l’écrit sous forme électronique comme le rappelle utilement l’article 1366 du Code civil (anciennement article 1316-1 repris en substance) : « l’écrit électronique a la même force probante que l’écrit sur support papier, sous réserve que puisse être dûment identifiée la personne dont il émane et qu’il soit établi et conservé dans des conditions de nature à en garantir l’intégrité ». Le Code civil pose comme une des conditions de validité et de preuve des actes établis et conservés par voie électronique l’identification du signataire. À défaut d’identification fiable, le contrat pourra être considéré comme nul ou comme un simple commencement de preuve et à ce dernier titre, être combattu par tout élément de preuve contraire. 710. Il est donc nécessaire pour les organismes bancaires, financiers et assurantiels de s’appuyer sur des données d’identité fiables des clients. Celles-ci sont comprises dans les dossiers clients qu’ils détiennent. C’est pourquoi ces organismes ont un rôle déterminant à jouer dans le cadre de la délivrance des certificats électroniques, essentiels pour le recours à la signature électronique. Les certificats de signature électronique se définissent comme : « une attestation électronique qui associe les données de validation d’une signature électronique 830. Pour l’heure, France Connect ne relève pas du niveau substantiel ou élevé au sens du règlement eIDAS.
304 | B anque
et
a ssurance
digitales
à une personne physique et confirme au moins le nom ou le pseudonyme de cette personne (…) ». 711. Normalement, la tâche de délivrance des certificats, qu’ils s’agissent de certificats standards, c’est-à-dire ayant une durée de vie d’un à trois ans, ou des certificats « éphémères » ou « à usage unique » ou « à la volée » délivrés pour un laps de temps relativement court (de l’ordre de quelques minutes ou d’une session de temps) pendant lequel le client pourra signer un ou plusieurs documents selon les options retenues par l’organisme, n’est pas toujours effectuée directement831 par les organismes bancaires, financiers et assurantiels (ou leurs GIE), mais par des prestataires de services de confiance externes, entendus comme « une personne physique ou morale qui fournit un ou plusieurs services de confiance, en tant que prestataire de services de confiance qualifié ou non qualifié » (article 3.19 du règlement eIDAS). 712. Mais, au vu des schémas techniques et contractuels retenus par le marché, la gestion des données des clients et plus généralement de la relation client, nécessaires à l’établissement des certificats, reste à la charge des organismes bancaires, financiers et assurantiels. Ils jouent alors le rôle d’autorité d’enregistrement832. Ainsi, afin que la signature électronique permette de vérifier l’identité du signataire comme le texte le prévoit, il convient donc que la délivrance du certificat s’accompagne du respect de procédures d’enregistrement détaillées et de délivrance (ou de mise à disposition) qui seront à la charge des organismes bancaires, financiers et assurantiels, cette délivrance supposant l’identification préalable du client (la vérification de son identité). 713. Un des critères de la fiabilité et donc de la portée juridique de la signature se trouve dans les moyens mis en place pour authentifier le client avant la délivrance du certificat lui permettant réellement de signer. 714. L’article 33 de la loi « Informatique et Libertés »833 impose aux Prestataires de services de confiance (PSCo) de collecter les données à caractère personnel nécessaires à la délivrance et la conservation d’un certificat électronique directement auprès des personnes concernées. 715. Les données ne peuvent être traitées « que pour les fins en vue desquelles elles ont été recueillies », c’est-à-dire la délivrance et la conservation des certificats liés aux signatures électroniques. Aucune mention ne porte sur la révocation des certificats et leur renouvellement et ces opérations semblent devoir être assimilées à de simples fonctionnalités liées à la finalité principale « de gestion des 831. Mais, dans certains cas, les établissements bancaires et financiers peuvent internaliser ces prestations. 832. L’autorité d’enregistrement applique des procédures d’identification de personnes physiques ou morales. Elle dispose des informations personnelles et caractéristiques du demandeur de certificat. 833. Le RGPD (cf. partie I, chapitre II) devrait modifier ce fondement textuel.
l es
principes de la digitalisation des documents
| 305
certificats » (délivrance, révocation, vérification de la validité et conservation). En pratique, l’objectif recherché consiste à éviter une marchandisation des données au mépris du consentement de l’internaute834 et conserver l’utilité première des certificats qui est de permettre de rapporter la preuve de la vérification de l’identité d’un titulaire de certificat à un instant donné, c’est-à-dire au moment de la signature d’un acte. 716. Du fait de cette intrication des rôles entre le PSCo et l’organisme bancaire, financier ou assurantiel qui joue un rôle dans la délivrance des certificats, il convient de déterminer qui est responsable de traitement pour toutes les données personnelles qui sont collectées et exploitées pour la fourniture des services. Les prestataires doivent veiller à conserver les données pour une durée limitée dans le temps, liée à la validité du certificat, et le cas échéant, aux délais de conservation/prescription applicables (en moyenne six à dix ans). Ils sont tenus d’accomplir les formalités obligatoires auprès de la CNIL (déclarations, voire demandes d’autorisation en cas d’utilisation de procédés biométriques pour l’authentification), d’assurer la sécurité et la confidentialité des données conformément à l’article 34 de la loi « Informatique et Libertés » et de garantir les droits « Informatique et Libertés » (droit d’accès aux données traitées, droit d’opposition au traitement, droit de rectification/suppression des données). 717. En cas de manquements aux obligations prescrites, ils sont passibles de sanctions administratives de la CNIL, ainsi que des sanctions pénales prévues aux articles 226-16 et suivants du Code pénal (v. partie I, chapitre II). Ces éléments seront amenés à évoluer avec l’entrée en vigueur du règlement n° 2016/679/UE du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive n° 95/46/CE (règlement général sur la protection des données)835. 718. Une fois que le signataire a été identifié et sous la réserve de l’exécution des obligations d’information précontractuelle omniprésentes dans le domaine bancaire, financier et assurantiel (v. partie II, chapitre IV), la phase de conclusion du contrat proprement dite est initiée. § 2 – Les règles d’établissement de l’écrit sous forme électronique
719. L’établissement bancaire ou assurantiel devra veiller à ce que l’écrit sous forme électronique constatant le contrat respecte les exigences formulées aux articles 1366 et 1367, éventuellement aux articles 1174 et 1375, alinéa 4, du Code civil.
834. L. Marino et R. Perray, « Les nouveaux défis du droit des personnes : la marchandisation des données personnelles », in J. Rochfeld (ss dir.), Les nouveaux défis du commerce électronique, LGDJ, 2010, p. 61. 835. JOUE n° L. 119, 4 mai 2016, p. 1.
306 | B anque
A.
et
a ssurance
digitales
L’écrit requis à titre de preuve
720. En droit français, l’écrit constitue le moyen privilégié de la preuve depuis l’ordonnance de Moulins de février 1566. Il permet de préconstituer la preuve afin de disposer de documents attestant des engagements des parties dans l’hypothèse d’une contestation ultérieure. En matière civile, l’article 1359836 du Code civil reprend le contenu du texte de l’ordonnance de Moulins et prescrit la rédaction d’un écrit afin de prouver tout acte portant sur une chose (produit, service, etc.) d’une valeur supérieure à 1 500 euros837. 721. Notons que l’alinéa 2 de cet article prévoit que ces règles sont « sans préjudice de ce qui est prescrit dans les lois relatives au commerce », signifiant ainsi que les règles commerciales spécifiques, applicables entre commerçant, dérogent à ce principe du droit civil. 722. L’article 1366 du Code civil met en exergue les fonctions juridiques d’un écrit sous forme électronique pour valoir preuve en justice. Ainsi, ce dernier doit permettre que « puisse être dûment identifiée la personne dont il émane et qu’il soit établi et conservé dans des conditions de nature à en garantir l’intégrité ». 1.
L’identification de la personne
723. L’établissement d’un écrit sous forme électronique nécessite donc que l’identification de son auteur soit effectuée de la manière la plus précise possible. Plusieurs modes d’identification reposant sur des procédés électroniques existent et seront abordés infra (v. partie I, chapitre IV, section II). 2.
L’intégrité de l’écrit dans le temps
724. L’intégrité des écrits sous forme électronique est la clé de voûte du dispositif probatoire en matière électronique. Rappelons ici que, suivant les dispositions de l’article 1366 du Code civil, l’écrit doit être « conservé dans des conditions de nature à en garantir l’intégrité ». L’auteur, signataire de l’acte, doit être sûr que le document qu’il a signé (établissement), transmis et conservé est le même (contenu identique) que celui reçu et conservé, le cas échéant, par le (ou les) destinataire(s). On peut considérer que, pour respecter cette exigence fonctionnelle d’intégrité, toute modification du contenu d’un document devra être détectable lors de la vérification. À l’heure actuelle, l’intégrité d’un acte 836. Il dispose : « Hors les cas où la loi en dispose autrement, la preuve peut être apportée par tout moyen » et à l’article 1359 (alinéas 1 et 2) : « L’acte juridique portant sur une somme ou une valeur excédant un montant fixé par décret doit être prouvé par écrit sous signature privée ou authentique. Il ne peut être prouvé outre ou contre un écrit établissant un acte juridique, même si la somme ou la valeur n’excède pas ce montant, que par un autre écrit sous signature privée ou authentique ». 837. Il s’agissait du montant avant la modification de l’ordonnance portant réforme du droit des contrats et des obligations.
l es
principes de la digitalisation des documents
| 307
sous forme électronique est indissociablement liée à l’utilisation de la signature numérique ou plus précisément de son empreinte838. La notion d’intégrité est considérée techniquement comme la « caractéristique d’une information qui n’a subi aucune destruction, altération ou modification intentionnelle ou accidentelle »839. Par là, toute modification du contenu d’un document devra être immédiatement détectable. 725. En application de l’article 1366 du Code civil, l’intégrité de l’écrit sous forme électronique doit être garantie pendant toute la durée de sa conservation pour qu’il soit recevable en tant que preuve au même titre que l’écrit sur support papier. Ceci signifie que la conservation électronique doit garantir que l’acte archivé n’a subi aucune altération, ni modification qui n’ait été détectable et détectée. La preuve du respect de cette exigence juridique reposera sur la fiabilité du procédé d’archivage mis en place. C’est pourquoi toute modification du format initial du document archivé constitue une faille dans la garantie de l’intégrité au sens technique du terme (dès que l’on touche un « bit » d’un fichier l’intégrité technique risque en effet d’être perdue) et devra donc être assortie d’une description précise du processus utilisé afin de montrer que l’intégrité du contenu informationnel n’a pas été touchée. 726. En outre, l’intégrité du contenu informationnel doit être assurée. Trois critères840 doivent être remplis : – lisibilité du document ; – stabilité du contenu informationnel ; et – traçabilité des opérations sur le document. 727. À l’heure actuelle, l’intégrité d’un acte sous forme électronique est quasiindissociablement liée à l’utilisation de la signature numérique841 qui permet de vérifier cette fonction essentielle au moyen du certificat électronique associé à la clé privée ayant permis de signer. 728. Sur le plan technique, la signature numérique permet de s’assurer que lors de la transmission de l’acte juridique, l’acte reçu est bien intègre par rapport à celui qui a été signé par l’émetteur. Contrairement au papier où le lien est physique, la signature numérique est liée logiquement à l’acte. Son intégrité se confond ainsi avec le « hachage irréversible » de l’acte. Grâce à cette opération technique réalisée à l’aide du dispositif de signature, l’empreinte numérique ou 838. Pour de plus amples détails concernant l’intégrité, v. É. A. Caprioli, « Signature électronique et dématérialisation », préc. n° 84 et s. 839. Norme Afnor Z42-013, § 3.17, version de mars 2009. 840. V. « La conservation électronique des documents », une recommandation du « Forum des droits sur l’Internet », disponible à l’adresse : http://www.foruminternet.org/telechargement/ documents/reco-archivage-20051201.pdf 841. La signature numérique est un procédé technique de signature reposant sur le recours à d’un certificat à clé publique.
308 | B anque
et
a ssurance
digitales
« condensat » du document est réalisée de façon à assurer le caractère unique et propre au document de l’empreinte numérique. Le chiffrement avec la clé privée de signature (le code d’activation de cette clé est connu du seul signataire) et son déchiffrement par sa clé publique qui figure dans le certificat prouvera, quant à elle, l’identité du signataire par le biais du certificat. La comparaison de l’empreinte numérique déchiffrée et celle du document réalisé par le destinataire démontreront l’intégrité de l’acte reçu. Cet acte ou document sera ainsi réputé intègre depuis le moment de son établissement. Une fois la vérification opérée (manuellement ou par un service de validation), le document signé devra être « conservé dans des conditions de nature à en garantir l’intégrité ». B.
L’écrit requis à titre de validité de l’acte
729. Rappelons que le droit civil comporte des règles strictes susceptibles de faire obstacle à la conclusion des contrats par voie électronique842. Ainsi, notre système juridique a posé l’exigence de l’écrit pour certains actes sous seing privé (ex. : bail, crédit à la consommation, crédit immobilier, contrat de travail à durée déterminée, statuts de société, cession de brevets d’invention…) à titre de solennité843, même si la sanction n’est pas toujours la nullité de l’acte844. Ainsi, le premier alinéa de l’article 1174 du Code civil dispose désormais : « Lorsqu’un écrit est exigé pour la validité d’un contrat, il peut être établi et conservé sous forme électronique dans les conditions prévues aux articles 1366 et 1367 et, lorsqu’un acte authentique est requis, au deuxième alinéa de l’article 1369 ». Cet alinéa énonce donc qu’un écrit requis à titre de validité d’un acte juridique doit être établi, conservé et signé électroniquement suivant les dispositions des articles prévus à cet effet dans le domaine de la preuve. 730. Avec l’électronique, mot apparu pour la première fois dans le Code civil avec la loi du 13 mars 2000845, on peut désormais considérer que le nouveau formalisme électronique fait voler en éclat la fameuse distinction ad probationem/ ad validitatem qui distingue l’écrit exigé à titre de preuve à l’écrit exigé à titre de validité de l’acte. En effet, les articles 1366 et 1367 du Code civil constituent 842. M. Demoulin et E. Montéro, « Le formalisme contractuel à l’heure du commerce électronique », in « Commerce électronique : de la théorie à la pratique », Cahiers du CRID, n° 23, 2003, p. 172 et s. 843. P.-Y. Gautier, « Le bouleversement du droit de la preuve : vers un mode alternatif de conclusion des conventions », LPA, 5 mai 2000, p. 14 ; pour la Bourse, L. Ruet, « La réglementation de l’utilisation d’Internet dans la passation des ordres de Bourse », Com. com. électr. mars 2000, p. 9, n° 5. 844. Sur la diversité des sanctions relatives à un défaut de formalisme, v. notamment G. Couturier, « Les finalités et les sanctions du formalisme », Rép. Defrénois, 2000, art. 37209 ; X. Lagarde, « Observations critiques sur la renaissance du formalisme », JCP éd. G 1999, I, 170, p. 1767. 845. J. Huet : « Il aura fallu, toutefois, attendre le tournant du troisième millénaire pour que le droit soit ainsi renouvelé et que dans le Code civil le mot “électronique” fasse son apparition », in « Le Code civil et les contrats électroniques », 1804-2004, Le Code civil, Un passé, un présent ; un avenir, Université Panthéon-Assas (Paris II), Dalloz, 2004, p. 539.
l es
principes de la digitalisation des documents
| 309
le même fondement juridique pour régir les conditions d’établissement et de conservation des deux catégories d’exigence. D’éminents juristes prédisaient846 « ce qui a été fait pour l’écrit exigé ad probationem le sera bientôt pour l’écrit exigé ad validitatem ». Grâce à la transposition de la directive du 8 juin 2000, l’équivalence entre l’écrit papier et l’écrit électronique est en voie de devenir totale847 et parfaite848, l’unité est (enfin !) retrouvée. 731. Dès lors, le formalisme nécessaire à la protection du consentement de l’une des parties requiert les mêmes exigences que celui prévu pour la sécurité recherchée en matière de preuve. Ne doit-on pas en déduire que le formalisme électronique est plus sûr, plus fiable, voire plus protecteur, du fait de la distance, que le formalisme papier qui repose sur une fiction849 ? Toutefois, force est de constater que cette équivalence crée une importante différence entre les actes papier et les actes électroniques. L’unification des exigences de forme et de preuve dans l’électronique va à l’encontre du sacro-saint principe de neutralité technique et de la non-modification des règles de droit sous-jacentes à l’utilisation des nouveaux médias. Partant de ce constat, il n’y a qu’un pas pour admettre un glissement sensible vers une autonomie du droit des communications électroniques. 732. L’établissement et la conservation de l’écrit ad validitatem doivent donc permettre non seulement de garantir son intégrité dans le temps mais également de dûment identifier la personne dont il émane. Seule la signature électronique à clé publique permet d’assurer ces deux fonctions grâce à l’utilisation du certificat électronique. 733. Le second alinéa de l’article 1174 du Code civil dispose : « Lorsqu’est exigée une mention écrite de la main même de celui qui s’oblige, ce dernier peut l’apposer sous forme électronique si les conditions de cette apposition sont de nature à garantir qu’elle ne peut être effectuée que par lui-même ». L’affirmation selon laquelle la mention électronique ne peut être effectuée que par celui qui s’oblige devrait être comprise comme imposant uniquement que ce dernier en soit l’auteur. On peut penser que – pour rendre vraisemblable l’attribution d’une mention électronique à celui qui s’oblige – ce dernier devra, une fois la mention écrite ou plus exactement tapuscrite figurant dans le document, signer électroniquement le tout avec un dispositif technique fiable et conservé sous son contrôle exclusif. 846. J. Calais-Auloy et F. Steinmetz, Droit de la consommation, Dalloz, coll. Précis, 2003, 6e éd., v. n° 165, p. 182. 847. É. A. Caprioli, « Écrit et preuve électroniques dans la loi n° 2000-230 du 13 mars 2000 », JCP éd. E 2000, Cah. dr. entr. n° 2, p. 1 et s, n° 8. J. Passa, « Commerce électronique et protection du consommateur », D. 2002, p. 555 et s., v. n° 28. 848. M. Vivant, « Entre ancien et nouveau, une quête désordonnée de confiance pour l’économie numérique », Lamy Droit de l’informatique et des réseaux, juill. 2004, n° 171, p. 10. 849. Ph. Stoffel-Munck, « La réforme des contrats du commerce électronique », Com. com. électr. 2004, étude 30, n° 13-15, où l’auteur conclut à une certaine supériorité de l’électronique sur les protections découlant du manuscrit.
310 | B anque
et
a ssurance
digitales
734. En outre, l’article 1175 du Code civil énonce que seuls certains actes sous seing privés considérés comme des actes graves et où l’écrit est exigé pour leur validité sont exclus : – d’une part, ceux relatifs au droit de la famille et des successions (ex. : contrat de mariage, convention préalable au divorce par consentement mutuel) ; – d’autre part, les actes sous seing privés relatifs à des sûretés personnelles ou réelles, qu’ils soient civils ou commerciaux, tels que par exemple le cautionnement, le nantissement ou le privilège, etc.850. L’exclusion des sûretés personnelles est difficile à comprendre dès lors que l’article 1174 du Code civil valide les mentions écrites portées de la main de celui qui s’oblige sous forme électronique. Ces actes doivent être passés par écrit sur support papier avec les solennités requises pour la reconnaissance juridique de leur validité ou bien être constatés par un acte authentique. 735. Or, l’article 1175 précise une dérogation à l’exception pour les actes relatifs aux sûretés, en ces termes : « sauf s’ils sont passés par une personne pour les besoins de sa profession ». La formulation de l’exception prévue à l’article 9-2, c) de la directive du 8 juin 2000 était (pour une fois) plus claire : « les contrats de sûretés et garanties fournies par des personnes agissant à des fins qui n’entrent pas dans le cadre de leur activité professionnelle ou commerciale ». Il s’ensuit que les actes tels que le cautionnement commercial peuvent être dématérialisés dès lors que sont respectées les exigences posées à l’article 1174 du Code civil. C.
L’original sous forme électronique
736. Depuis l’ordonnance du 16 juin 2005851 prise en application de l’article 26 de la LCEN, la notion d’exemplaire original sous forme électronique a été introduite à l’article 1325, alinéa 5, du Code civil. Cette notion a été reprise suite à l’ordonnance du 10 février 2016 dans un article 1375, alinéa 4, du Code civil qui énonce : « l’exigence d’une pluralité d’originaux est réputée satisfaite pour les contrats sous forme électronique lorsque l’acte est établi et conservé conformément aux articles 1366 et 1367, et que le procédé permet à chaque partie de disposer d’un exemplaire sur support durable ou d’y avoir accès ». 737. En conséquence, les mêmes conditions d’identification de l’auteur et d’intégrité du contenu de l’acte devront être respectées pour l’établissement et la conservation de l’acte. L’acte original doit pouvoir être transmis (« push ») ou mis à disposition (« pull » pour y accéder sur le Web) des parties signataires. Dans ce contexte, c’est la signature électronique qui différencie les exemplaires
850. L’hypothèque pourra être sous forme électronique dès lors qu’elle est passée en la forme authentique. 851. Ordonnance n° 2005-674, 16 juin 2005, JO 17 juin 2005, p. 10342.
l es
principes de la digitalisation des documents
| 311
originaux des simples copies conformément à cet article. Néanmoins, selon la jurisprudence, un acte qui ne satisfait pas aux exigences de l’article 1375 peut valoir comme commencement de preuve par écrit852. 738. De plus, le support durable a été intégré au Code civil dans la réforme de 2016 (v. partie I, chapitre I, section III), sans que pour autant soit définie la notion issue du Code de la consommation. Cet instrument a, avant tout, pour fonction de stocker des informations adressées personnellement d’une manière permettant de s’y reporter aisément à l’avenir pendant un laps de temps suffisant et permettant la reproduction à l’identique des informations stockées. § 3 – La phase de signature électronique proprement dite A.
Le type de signature électronique utilisé
739. Les organismes bancaires, financiers ou assurantiels recourent à des procédés de signature électronique : celle-ci étant définie à l’article 1367 (ancien article 1316-4, alinéa 2) du Code civil comme « un procédé fiable d’identification garantissant son lien avec l’acte auquel elle s’attache » et plus spécifiquement la technique de signature numérique853 qui permet de garantir l’intégrité du document dans le temps. L’un des éléments ayant freiné le déploiement de la signature électronique a sans doute été la suite de ce deuxième alinéa : la fiabilité du procédé de signature électronique est « présumée, jusqu’à preuve contraire, lorsque la signature électronique est créée, l’identité du signataire assurée et l’intégrité de l’acte garantie, dans des conditions fixées par décret en Conseil d’État ». 740. Sous l’empire des anciennes dispositions, le décret n° 2001-272 du 30 mars 2001854 pris en application de l’article 1316-4 du Code civil précise, dans son article 2, les conditions qui permettant d’affirmer qu’un procédé de signature électronique est présumé fiable : « la fiabilité d’un procédé de signature électronique est présumée jusqu’à preuve contraire lorsque ce procédé met en œuvre une signature électronique sécurisée, établie grâce à un dispositif sécurisé de création de signature électronique et que la vérification de cette signature repose sur l’utilisation d’un certificat électronique qualifié »855. Plusieurs cours 852. Cass. civ., 29 janv. 1951, Bull. civ. I, n° 35, p. 28. 853. Focus sur la signature numérique, É. A. Caprioli, « Signature électronique et dématérialisation », préc. p. 78. 854. Décret n° 2001-272 du 30 mars 2001 pris pour l’application de l’art. 1316-4 du Code civil et relatif à la signature électronique, JO 31 mars 2001, p. 5070. 855. V. Cass. civ. 1re, 6 avril 2016, n° 15-10.732, JCP éd. G, 2016, 783, note É. A. Caprioli, au sujet de la signature électronique de l’adhésion en ligne à une assurance complémentaire. La Cour valide la signature électronique (à la volée) et refuse pour se faire d’examiner les exigences de la signature présumée fiable comme le demandait la demanderesse qui déniait sa signature : « Mais attendu que le jugement retient que la demande d’adhésion sous forme électronique a été établie et conservée dans des conditions de nature à garantir son intégrité, que la signature a été identifiée par un procédé fiable garantissant le lien de la signature électronique avec
312 | B anque
et
a ssurance
digitales
d’appel ont reconnu la valeur juridique de signature électronique « simple » d’un pouvoir. Par exemple, selon la Cour d’appel de Caen : « ll importe peu que les dispositions du décret du 30 mars 2001 n’aient pas été respectées dès lors qu’elles n’ont d’implication que sur la charge de la preuve, la fiabilité du procédé imposée par le décret (du 30 mars 2001) étant présumée jusqu’à preuve contraire, tandis que la signature électronique simple doit être démontrée par son auteur 856 ». Le nouvel article 1367 ne change quasiment pas l’ancienne formulation. Mais le décret sera révisé pour prendre en compte le Règlement eIDAS857. 741. De nombreux établissements ont cru bon d’attendre que toutes les briques techniques propres à l’établissement d’une signature électronique présumée fiable858 au profit du client final – à savoir une signature électronique sécurisée, un dispositif qualifié de création de signature et un certificat qualifié – soient réunies. Mais le coût relatif au déploiement de telles signatures ainsi que l’absence d’une offre de certificat et de dispositif de création de signature répondant à ces exigences avaient freiné les établissements bancaires et financiers. Or, le fait d’attendre des signatures électroniques présumées fiables pour lancer un produit ou un service financier ou d’assurance constituait une erreur souvent véhiculée par le marché. 742. Le Règlement eIDAS devrait changer la donne en prévoyant différents degrés de fiabilité, de la signature électronique dite « simple » à la signature électronique « qualifiée », en passant par la signature électronique « avancée », à savoir : – « signature électronique », des données sous forme électronique, qui sont jointes ou associées logiquement à d’autres données sous forme électronique et que le signataire utilise pour signer ; – « signature électronique avancée », une signature électronique qui satisfait aux exigences énoncées à l’article 26 [à savoir : a) être liée au signataire de manière univoque ; b) permettre d’identifier le signataire ; c) avoir été créée à l’aide de données de création de signature électronique que le signataire peut, avec un niveau de confiance élevé, utiliser sous son contrôle exclusif ; et d) être liée aux données associées
l’acte auquel elle s’attache, et que la demande d’adhésion produite à l’audience porte mention de la délivrance de ce document par la plate-forme de contractualisation en ligne Contraleo, permettant une identification et une authentification précise des signataires en date du 25 mai 2011 ; qu’ayant ainsi effectué la recherche prétendument omise, la juridiction de proximité a légalement justifié sa décision ». 856. V. CA Caen, 5 mars 2015, n° 13/03009, Com. com. électr. 2015, comm. 47, note É. A. Caprioli ; v. égal. CA Aix-en-Provence, 26 juin 2014, Com. com. électr. 2014, comm. 90, note É. A. Caprioli. 857. Selon le Rapport au Président de la République (JO 11 févr. 2016), ce décret devra être modifié « pour préciser que la signature électronique présumée fiable, prévue par le Code civil, est la signature “qualifiée” au sens du règlement ». 858. Il s’agissait avant le 1er juillet 2016 de la signature électronique sécurisée présumée fiable.
l es
principes de la digitalisation des documents
| 313
à cette signature de telle sorte que toute modification ultérieure des données soit détectable ; – « signature électronique qualifiée », une signature électronique avancée (en France on parlait de « signature électronique sécurisée » dans le Décret de 2001 – terminologie utilisée jusqu’au 1er juillet 2016) qui est créée à l’aide d’un dispositif de création de signature électronique qualifié, et qui repose sur un certificat qualifié de signature électronique. 743. Aux termes du règlement (article 25), « l’effet juridique d’une signature électronique qualifiée est équivalent à celui d’une signature manuscrite », ce qui n’est pas expressément prévu dans les nouvelles dispositions du Code civil français. Cela ne signifie pas pour autant que le recours à une signature électronique qualifiée dispenserait le signataire de rapporter la preuve lors d’une vérification d’écriture : elle serait – comme les signatures manuscrites – soumise aux articles 287 et 288-1 du Code de procédure civile859. Cela étant, « l’effet juridique et la recevabilité d’une signature électronique comme preuve en justice ne peuvent être refusés au seul motif que cette signature se présente sous une forme électronique ou qu’elle ne satisfait pas aux exigences de la signature électronique qualifiée ». 744. Pour disposer d’une signature électronique qualifiée, les Prestataires de services de confiance – eux-mêmes qualifiés – devront émettre des certificats qualifiés au sens de l’Annexe 1 du Règlement eIDAS. De plus, les dispositifs de création de signature devront eux aussi être qualifiés. Pour l’heure, la décision d’exécution n° 2016-650 du 25 avril 2016 est venue indiquer les normes applicables pour les dispositifs de création de signature électronique qualifiés « lorsque les données de création de signature électronique ou de cachet électronique sont conservées dans un environnement dont l’utilisateur a la gestion totale, mais pas nécessairement exclusive »860. 745. Allant au-delà des dispositions existantes, le Règlement eIDAS prévoit également : – les conditions entourant la vérification (article 33) et la conservation des signatures électroniques qualifiées (article 34) ;
859. J. Devèze, « Perserverare diabolicum. À propos de l’adaptation du droit de la preuve aux technologies de l’information par le décret n° 2002-1436 du 3 décembre 2002 », Com. com. électr. 2003, chron. 8. 860. D’autres actes d’exécution sont donc à prévoir au sujet des dispositifs de création de signature électronique qualifiée. Décision n° 2016/650 de la Commission du 25 avril 2016 établissant des normes relatives à l’évaluation de la sécurité des dispositifs qualifiés de création de signature électronique et de cachet électronique conformément à l’article 30, paragraphe 3, et à l’article 39, paragraphe 2, du règlement n° 910/2014/UE du Parlement européen et du Conseil sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur JOUE n° L. 109, 26 avr. 2016, p. 40.
314 | B anque
et
a ssurance
digitales
– ainsi que des dispositions particulières relatives à la signature électronique dans les services publics (article 27). Ainsi, les États membres ne peuvent exiger une signature plus fiable/sécurisée que la signature électronique qualifiée de la part de citoyens de l’Union européenne, en créant une hiérarchie des signatures pour ce secteur. 746. Une signature électronique n’a pas à être qualifiée ou bénéficier d’une présomption de fiabilité pour être reconnue par les tribunaux ; elle doit, par contre, convaincre le juge quant aux effets juridiques qui y sont attachés (identification du signataire, manifestation du consentement, intégrité du contenu). Il s’agit d’une différence notable entre les deux types de signature électronique : la charge de la preuve de la fiabilité de la signature électronique simple ou de la signature électronique avancée (c’est-à-dire sans présomption de fiabilité) relève de la personne qui entend bénéficier de ses effets. À ce titre, elle s’appuiera sur la documentation technique (Politique de Certification, Politique de Signature, Politique de Gestion de Preuve…) et la documentation contractuelle (CGU) ou encore sur tout autre élément comme un constat d’huissier de justice retraçant toutes les étapes du processus de contractualisation électronique861. À l’inverse, pour une signature électronique qualifiée, c’est à celui qui entend dénier ses effets de rapporter la preuve de l’absence de fiabilité ; la preuve devient diabolique ou négative862 car il s’agirait alors de remettre en cause des qualifications de produits et services délivrées désormais par l’ANSSI. 747. Dès lors que ce constat a été effectué, les organismes se sont tournés vers une nouvelle forme de signature électronique fondée sur des certificats à la volée ou « éphémères »863. Une réserve doit cependant être posée : ces solutions ne s’appliquent, en principe, qu’à l’occasion de transactions avec des clients connus et identifiés par l’établissement bancaire ou l’assurance qui peut s’engager sur leur identité (il joue souvent le rôle d’Autorité d’enregistrement) ou bien lorsque l’opération contractuelle s’effectue avec une rencontre physique. Ce certificat n’est valide que pour une durée limitée et la vérification de la validité du certificat en se référant à une Liste de Certificats Révoqués864 tenue par un Prestataire de Services de Confiance reste compliquée865, ou pour gérer en interne par la banque ou l’assurance. C’est pourquoi la vérification du certificat est contenue le 861. V. CA Caen, 5 mars 2015, n° 13/03009, Com. com. électr. 2015, comm. 47, note É. A. Caprioli ; CA Nîmes, 1er oct. 2015, Com. com. électr. 2016, comm 20, note É. A. Caprioli. 862. J. Larguier, « La preuve d’un fait négatif », RTD civ. 1953, p. 4. 863. Cf. partie sur l’authentification. 864. Une Liste de Certificats Révoqués permet de s’assurer qu’un certificat utilisé pour vérifier une transaction était bien valide au moment de la signature, l’absence de ce certificat sur la LCR permettant de le considérer comme valide. Mais avec des certificats valides pour seulement quelques minutes, la tenue et la mise à jour d’une telle LCR est techniquement infaisable. 865. La procédure de révocation du certificat doit être prévue lorsqu’un établissement bancaire ou assurantiel entend que son procédé de signature électronique soit conforme aux spécifications TS ETSI 102 042 « Policy requirements for certification Authorities issuing public key certificates » ou ETSI TS 101 456 « Policy requirements for certification Authorities issuing qualified certificates ». Cette procédure bien qu’inutile lorsqu’il est fait recours à un certificat à usage unique, est à implémenter par les PSCo.
l es
principes de la digitalisation des documents
| 315
plus souvent avec le contrat signé électroniquement, avec le certificat, le jeton d’horodatage ainsi que d’autres éléments permettant d’identifier le client et l’opération au sein d’un fichier de preuve. La notion de fichier de preuve n’est pas définie juridiquement, mais a fait son apparition dans certaines jurisprudences866; il a pour objet d’établir que les vérifications ont été effectuées au moment de la signature (horodatage et scellement du fichier) conformément aux articles 1366 et 1367 du Code civil. Ce fichier de preuve devra être conservé dans le temps de manière intègre et fiable867, il devrait être accessible uniquement en cas de litige. 748. De plus, le considérant 52 du règlement européen intègre également la signature électronique centralisée (« remote electronic signature »), c’est-àdire l’activité à distance868 comme les signatures électroniques « à la volée », ce qui constituera une réelle avancée pour le marché dans l’attente d’une reconnaissance de ce type de signature dans les normes techniques. Ainsi, le modèle technique sur lequel est fondé actuellement le marché de la confiance numérique appliqué au monde bancaire, financier ou de l’assurance se verrait confirmé par le Règlement eIDAS. Selon certains, un point reste en suspens : les signatures électroniques fondées sur un certificat à la volée pourront-elles être qualifiées de Signatures électroniques qualifiées (SEQ) ou de Signatures électroniques avancées (SEA) ? B.
Les fonctionnalités attendues de la signature électronique
1.
L’identification du signataire
749. La question de l’identification du signataire de l’acte est essentielle869. Cette identification peut être effectuée : • à distance en recourant à des pièces justificatives (ex. : copie d’une pièce d’identité, facture EDF…) que le signataire transmettra par voie postale ou électronique. Celles-ci peuvent être vérifiées de manière plus ou moins
866. CA Nancy, ch. civ. 2, 14 févr. 2013, É. A. Caprioli, « Première décision sur la preuve et la signature électroniques d’un contrat de crédit à la consommation », Com. com. électr. 2013, étude 11 ; JCP éd. G 2013, n° 18, comm. 497 ; CA Douai, 8e ch., 1re sect, 2 mai 2013, É. A. Caprioli, Com. com. électr. 2014, comm. 22. V. les développements en partie II, chapitre IV. 867. « Entretien avec Éric A. Caprioli », JCP éd. G 2009, act. 251. 868. « La création de signatures électroniques à distance, système dans lequel l’environnement de création de signatures électroniques est géré par un prestataire de services de confiance au nom du signataire, est appelée à se développer en raison de ses multiples avantages économiques. Toutefois, afin que ces signatures électroniques reçoivent la même reconnaissance juridique que les signatures électroniques créées avec un environnement entièrement géré par l’utilisateur, les prestataires offrant des services de signature électronique à distance devraient appliquer des procédures de sécurité spécifiques en matière de gestion et d’administration et utiliser des systèmes et des produits fiables, notamment des canaux de communication électronique sécurisés, afin de garantir que l’environnement de création de signatures électroniques est fiable et qu’il est utilisé sous le contrôle exclusif du signataire (…) » ; v. F. Leroy, « Trustworthy Systems Supporting Server Signing », Document de travail CEN, inédit. 869. Cf. partie II, chapitre I, section I - § 2. A. 1.
316 | B anque
et
a ssurance
digitales
poussée (en allant du simple contrôle de cohérence des pièces à un scoring de leur vraisemblance/pertinence) ; • en face-à-face lors d’une rencontre présentielle avec un représentant (autorité d’enregistrement, bureau d’enregistrement870) du Prestataire de services de confiance871 avec une vérification d’identité à partir d’une pièce d’identité valide. 2.
La manifestation du consentement
750. L’autre fonctionnalité attendue de la signature électronique a trait à la manifestation du consentement. En effet, la signature apposée sur un écrit atteste la volonté du signataire d’adhérer aux dispositions y figurant. Or, une signature n’assure l’efficacité juridique d’un écrit que si son mode de production est délibéré et conscient. Un auteur872 a fait remarquer la contrainte d’ordre psychologique de l’écrit papier et son rôle quant à l’attention du signataire sur la portée juridique de son geste. En effet, celui qui s’apprête à se lier juridiquement prend conscience de son engagement au moment de signer l’écrit qui solennise l’acte. 751. Ainsi, concernant la signature électronique, la manifestation du consentement aux obligations qui découlent de l’acte s’opère par l’activation d’un dispositif de création de signature laquelle peut prendre la forme d’un clic sur un bouton « Signer », suivi selon les hypothèses d’un autre clic sur un bouton « Confirmer la signature » au terme d’un procédé de contractualisation en ligne ou encore par la saisie d’un mot de passe à usage unique (« One Time Password » ‒ OTP873) au moment de la signature ou encore le fait d’effectuer le geste de signer sur une tablette numérique874. D’autres moyens sont également envisageables en fonction des cinématiques que les organismes bancaires, financiers et assurantiels pourraient décider de mettre en œuvre. 752. De plus, le projet de contrat doit être présenté au client de manière à ce que toutes les clauses qu’il contient soient lisibles, et ce sans que l’on puisse remettre en cause le fait que certains champs soient cachés. Il est important que le client signe ce qu’il voit sur l’écran (WYSIWYS) : « What You See Is What You Sign ». Cette précaution technique permet d’éviter une remise en cause des contrats ainsi signés. 870. Sur les questions d’enregistrement v. É. A. Caprioli, « De l’authentification à la signature électronique : quel cadre juridique pour la confiance dans les communications électroniques internationales ? », article disponible à l’adresse http://www.uncitral.org/pdf/english/ colloquia/EC/Caprioli_Article.pdf et sur le site : www.caprioli-avocats.com 871. Défini comme « une personne physique ou morale qui fournit un ou plusieurs services de confiance, en tant que prestataire de services de confiance qualifié ou non qualifié » (art. 3.19). 872. X. Linant de Bellefonds, « L’Internet et la preuve des actes juridiques », Expertises, 1997, p. 226. 873. L’OTP est remis en cause pour des raisons de sécurité outre-Atlantique. 874. Le fait de signer sur tablette sans prévoir d’autres éléments de nature à garantir l’intégrité (comme l’émission concomitante d’un certificat d’identification) pourrait en B2C être considéré comme insuffisant pour lier le client de la banque ou de l’assurance.
l es
principes de la digitalisation des documents
| 317
753. Cela signifie également que tous les documents contractuels (conditions générales, mandat SEPA, conditions particulières…) doivent être portés à la connaissance et acceptés par le client. Un arrêt de 1re chambre civile de la Cour de cassation du 31 octobre 2012875 indique les modalités d’opposabilité des documents contractuels (désormais figurant aux articles 1199 du Code civil concernant l’effet relatif des contrats et 1200 concernant l’opposabilité aux tiers). Dans cette affaire, une société éditrice de sites de télévision de « rattrapage » donnait un accès direct à des programmes normalement diffusés sur les sites Internet spécifiques de chaînes de télévision de « rattrapage » de la société Métropole télévisions, en violation, selon cette dernière, des CGU de ses sites, des droits d’auteur, des droits du producteur de base de données, et commettant, en outre, un acte de concurrence déloyale et de parasitisme. Le pourvoi de la société Métropole télévisions avait été rejeté au motif (entre autres) que l’on ne peut opposer à un internaute des conditions générales d’utilisation (CGU) d’un site sur lequel il a un accès libre et direct aux pages consultées sans prise de connaissance, ni acceptation préalable (sous-entendu par un acte positif) de celles-ci. Leur simple mise en ligne « ne suffit pas à mettre à la charge des utilisateurs des services proposés une obligation de nature contractuelle ». 754. En outre, dans le cadre d’une décision du 5 juillet 2012876, la CJUE a considéré que le renvoi vers un lien hypertexte ne garantissait en rien que le contenu de la page acceptée par l’utilisateur n’a pas été modifié dans le temps. De plus, le lien peut également être désactivé et, donc, les informations rendues inaccessibles. Dès lors, le renvoi au lien hypertexte est insuffisant pour s’assurer de la prise de connaissance des conditions contractuelles par un client. 755. De plus, dans une recommandation du 7 novembre 2014 relative aux contrats proposés par les fournisseurs de service de réseaux sociaux877, la Commission des clauses abusives a considéré que les clauses dites d’acceptation implicite « qui présument le consentement du consommateur ou du non-professionnel 875. « Attendu que l’arrêt, après avoir rappelé qu’il incombait à la société M6 Web d’établir que la société SBDS avec laquelle elle avait noué une relation de partenariat, aurait consenti à respecter les restrictions d’usage qu’elle lui reproche d’avoir transgressées, et constaté que l’accès à la page d’accueil des sites m6 replay et w9 replay, aux menus et aux programmes à revoir était libre et direct et ne supposait ni prise de connaissance ni acceptation préalable des conditions générales d’utilisation, retient exactement, sans encourir les griefs du moyen, que la simple mise en ligne de ces dernières, accessibles par un onglet à demi dissimulé en partie inférieure de l’écran, ne suffit pas à mettre à la charge des utilisateurs des services proposés une obligation de nature contractuelle, et que la lettre de mise en demeure que la société M6 Web a adressée à la société SBDS d’avoir à respecter ces conditions générales d’utilisation, ne fait pas naître à la charge de cette dernière une obligation contractuelle de s’y conformer ; Que le moyen n’est fondé en aucune de ses branches (…) ». 876. CJUE, 3e ch., 5 juill. 2012, aff. C-49/11, Content Services Ltd. c/ Bundesarbeitskammer : http:// eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:62011CJ0049:FR:HTML; G. Loiseau, « Le formalisme informatif par voie électronique : les conditions d’équivalence au support écrit du support durable », Com. com. électr. 2012, comm. 110. 877. Recommandation n° 2014-02 relative aux contrats proposés par les fournisseurs de services de réseaux sociaux, Commission des clauses abusives, 2014, disponible à l’adresse : http://www. clauses-abusives.fr/recom/14r02.htm
318 | B anque
et
a ssurance
digitales
du seul fait qu’il utilise le réseau et l’obligent ensuite à cliquer sur un lien hypertexte s’il désire s’informer du contenu des CGU auxquelles il a, donc, ainsi postérieurement adhéré [sont] selon l’article R. 132-1, 1° du Code de la consommation, de manière irréfragable présumées abusives ». La Commission considère ainsi qu’on applique au consommateur des conditions générales qu’il n’a pas pu connaître avant de donner son consentement878. § 4 – Remise du contrat
756. La remise du contrat, évoquée dans le Code de la consommation, dans le Code des assurances ou encore dans le Code civil, correspond en réalité à la situation où, conformément à l’article 1127-6 du Code civil, « hors les cas prévus aux articles 1125 et 1126, la remise d’un écrit électronique est effective lorsque le destinataire, après avoir pu en prendre connaissance, en a accusé réception. Si une disposition prévoit que l’écrit doit être lu au destinataire, la remise d’un écrit électronique à l’intéressé dans les conditions prévues au premier alinéa vaut lecture ». Il s’agit donc de l’instant où le client accède à son exemplaire de contrat pour la première fois et en accuse réception. 757. À ce titre, la pratique de l’envoi d’un e-mail contenant le contrat à une adresse de courrier électronique déclarée par un client ne permet pas de s’assurer de l’effectivité de la remise du contrat. En effet, rien n’indique que le courrier électronique ne sera pas bloqué comme étant un spam, que l’adresse est bien orthographiée ou que le client y accédera. Devant ce doute, la remise est incertaine. Elle doit pourtant être considérée comme faisant partie intégrante du procédé de contractualisation. Certaines instances se sont penchées sur la question de la remise de l’information précontractuelle comme la DGCCRF879, parfois de manière trop théorique.
878. S. Piedelièvre, « La recommandation de la commission des clauses abusives relative aux contrats proposés par les fournisseurs de services de réseaux sociaux », Com. com. électr. 2015, étude 3. 879. « Dans le cas de la vente par internet, la réglementation prévoit que le consommateur doit recevoir les conditions contractuelles, par écrit ou sur un autre support durable à sa disposition et avant tout engagement. Rares sont les professionnels qui respectent l’ensemble des conditions relatives à cette obligation. Les consommateurs ont souvent accès aux documents (téléchargeables ou consultables sur le site internet) mais ces derniers ne leur sont pas envoyés comme l’exige la loi ou leur sont adressés sur un support non durable (lien hypertexte vers le site internet). Si le consommateur a généralement accès aux documents contractuels avant la conclusion du contrat, il ne les reçoit souvent sur support durable qu’après. Hormis un cas isolé, les sites internet contrôlés respectent la loi sur l’économie numérique en permettant un accès facile, direct et permanent aux informations sur l’identité de l’opérateur de commerce électronique et celle de l’établissement commercialisant le produit d’assurance. Le contrevenant a fait l’objet d’une injonction administrative », DGCCRF, « Démarchage et vente à distance d’assurances », 22 déc. 2014, http://www.economie.gouv.fr/dgccrf/demarchage-etvente-a-distance-dassurances
l es
principes de la digitalisation des documents
| 319
SECTION II LA CONSERVATION DES DOCUMENTS § 1 – Conservation de l’écrit électronique
758. Une fois l’écrit sous forme électronique établi, sa conservation devra être une priorité pour les établissements bancaires et les assurances du point de vue de la gestion des éventuels litiges. En effet, le droit commun de la preuve rappelle que celui qui veut exiger le paiement d’une créance non payée doit en prouver l’existence. 759. Pourtant cette phase, tout aussi essentielle que l’établissement de l’écrit, n’est pas toujours développée dans les cinématiques de contractualisation. Ainsi, souvent les organismes bancaires, financiers et assurantiels recourent à leur propre Gestion électronique de documents (GED) pour conserver les originaux électroniques signés. Or, la plupart du temps, la GED n’est pas implémentée en ce sens. En effet, la GED a traditionnellement pour objet de conserver des copies numérisées de contrats880 (ou de toute autre pièce d’ailleurs) et elle est détournée de son objectif initial sans que les précautions de base soient prises pour assurer l’évolution du service. 760. Il convient de rappeler que l’article 1366 du Code civil impose sa conservation dans des conditions de nature à en garantir l’intégrité. S’agissant de contrats passés entre consommateurs et professionnels, l’article L. 213-1 du Code de la consommation dispose : « Lorsque le contrat est conclu par voie électronique et qu’il porte sur une somme égale ou supérieure à un montant fixé par décret, le contractant professionnel assure la conservation de l’écrit qui le constate pendant un délai déterminé par ce même décret et en garantit à tout moment l’accès à son cocontractant si celui-ci en fait la demande ». Le décret d’application, sous l’emprise de l’ancien texte, prévoyait que le montant visé était fixé à 120 euros et que le délai visé était fixé à 10 ans à compter de la conclusion du contrat lorsque la livraison du bien ou l’exécution de la prestation est immédiate881. Un espace de banque ou d’assurance en ligne semble donc requis pour respecter cette exigence textuelle882.
880. É. A. Caprioli, « Variations sur le thème du droit de l’archivage dans le commerce électronique », LPA, 18 et 19 août 1999, p. 4 et s. ; É. A. Caprioli, M.-A. Chabin, J.-M. Rietsch, Dématérialisation et archivage électronique, Dunod, 2006 ; É. A. Caprioli, Signature électronique et dématérialisation, LexisNexis, 2014. 881. Décret n° 2005-137 du 16 février 2005 pris pour l’application de l’article L. 134-2 du Code de la consommation. 882. Le décret du 16 février 2005 n’avait pas vocation à s’appliquer aux contrats de crédit, uniquement pour les commandes de biens de consommation courante. Toutefois, les imprécisions de rédaction ont laissé des ouvertures dans le périmètre des documents sujets à cet archivage.
320 | B anque
et
a ssurance
digitales
761. L’archivage des documents originaux doit répondre aux exigences d’accessibilité posées par l’article L. 213-1 nouveau du Code de la consommation, mais aussi par l’article 1375 du Code civil qui prévoit que pour respecter la formalité de la pluralité d’originaux, il faut que : • l’acte soit établi et conservé conformément aux articles 1366 et 1367 du Code civil ; • et le procédé permet à chaque partie de disposer d’un exemplaire ou d’y avoir accès. L’article 1375, alinéa 4 nouveau, introduit dans le Code civil par l’ordonnance du 10 février 2016 précise « que le procédé permet à chaque partie de disposer d’un exemplaire sur support durable ou d’y avoir accès ». 762. S’agissant des contrats archivés contenant des données à caractère personnel, notamment des données d’état civil, il conviendra que l’archivage respecte les obligations posées par la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés883. À cet égard, la CNIL a émis le 11 octobre 2005 une recommandation sur l’archivage électronique dans les entreprises884. Cette recommandation souligne les impératifs à respecter en matière de durée de conservation, de sécurité des données et de droit d’accès, conformément à la réglementation applicable en matière de protection des données à caractère personnel. La CNIL distingue trois catégories d’archives (archives courantes, intermédiaires et définitives) pour leur appliquer des régimes différents, selon la finalité poursuivie. Il est recommandé que les responsables de traitements établissent des procédures aptes à gérer les durées de conservations distinctes selon les catégories de données. 763. Les mesures techniques et d’organisation devront assurer un niveau de sécurité approprié au regard des risques présentés par le traitement et de la nature des données à protéger. En cas de conservation de documents d’archives à long terme, la CNIL préconise que soient mis en œuvre des procédés d’anonymisation885. 764. De plus, l’article 87 de la loi pour la République numérique (préc.) vient intégrer des dispositions relatives aux services de coffre-fort numérique intégrées au nouvel article L. 137 du Code des Postes et des communications électroniques (cf. partie III, chapitre I, section I).
883. Loi n° 78-17 du 6 janvier 1978 relative aux fichiers, à l’informatique et aux libertés : JO 7 janv. 1978, p. 227. 884. Délibération n° 2005-213 du 11 octobre 2005 portant adoption d’une recommandation concernant les modalités d’archivage électronique, dans le secteur privé, de données à caractère personnel : JO 23 nov. 2005. 885. V. G29, Avis n° 05/2014 sur les Techniques d’anonymisation, adopté le 10 avril 2014, 0829/14/ FR, WP216.
l es
principes de la digitalisation des documents
| 321
765. C’est sur ce postulat que l’ETSI a lancé un groupe de travail, largement relayé par la Fédération des tiers de confiance numérique (FNTC). Ainsi, une proposition technique de l’ETSI intitulée « Standards for eIDAS trust application services – electronic registered delivery, registered electronic mail, and long term preservation » (version initiale, non datée) énonce comme objectif (§ 3.1.1) : « Scoping study and framework for standardization of long term data preservation services, including preservation of/with digital signatures (SR 019 XXX). The objective of this task is to specify the general requirements with respect to long-term data preservation and clearly identify which are the “objects” whose preservation falls in the scope of a preservation service as defined by the regulation (EU) n° 910/2014 and which objects are outside the scope of the Regulation but worth to be considered, the set of processes and technologies to be supported by a preservation service provider and the different types of preservation service provider, a catalogue of existing specifications and standards, a list of well-established and active communities in the fields of archival and preservation (possible candidates for liaisons) and an extension to the Rationalised Framework (RF) specifically targeted to data preservation services and providers to identify any additional standard or technical specification beyond those already specified by RF. The Scoping study and framework for standardization will be supporting the (qualified) preservation services as per regulation (EU) n° 910/2014 and also preservation services with a broader scope for industry at the International level ». 766. Il convient de rapprocher cette problématique de protection des données à caractère personnel de celle de la protection du secret bancaire. L’article L. 511-33 du Code monétaire et financier dispose, en effet, que « toute personne qui, à un titre quelconque, participe à la direction ou à la gestion d’un établissement ou qui est employée par celui-ci, est tenu au secret professionnel ». En outre, le non-respect du secret bancaire expose les contrevenants à des sanctions pénales conformément à l’article L. 571-4, alinéa 2, du Code monétaire et financier qui prévoit : « le fait pour les personnes mentionnées aux articles L. 511-33 et L. 511-34 de méconnaître le secret professionnel est sanctionné par les peines prévues à l’article 226-13 du Code pénal », à savoir un an d’emprisonnement et de 15 000 euros d’amende886. 767. En outre, l’exemplaire détenu par l’établissement (original auto-portant au format PDF, signé et conservé dans la GED mais aussi dans le fichier de preuve qui peut être conservé par un tiers archiveur externe) et celui remis au client dans son espace en ligne par exemple devront être en tout point identiques. En effet, il convient de s’assurer que l’intégrité du document a été respectée, c’està-dire de vérifier que son contenu n’a pas été modifié ou falsifié dans le temps. 768. À l’échelon national, la norme technique emblématique applicable en la matière est la norme AFNOR NF Z42-013 « Spécifications relatives à la conception 886. C. pén., art. 226-13.
322 | B anque
et
a ssurance
digitales
et à l’exploitation de systèmes informatiques en vue d’assurer la conservation et l’intégrité des documents stockés dans ces systèmes »887, homologuée par l’AFNOR en mars 2009 et venue remplacer la norme homologuée NF Z 42-013 dans son ancienne version de décembre 2001. Cette norme française donne une définition de l’archivage numérique888 et détermine également les spécifications techniques et organisationnelles requises pour garantir la conservation des documents d’origine électronique, afin de préserver leur intégrité et leur pérennité889. 769. Depuis lors, le guide d’application de la norme française GA Z42-013 de juin 2010 est venu compléter la norme NF Z42-013. En effet, ce guide GA Z42-013 est un guide d’application de la norme NF Z42-013 proposant des méthodes de référence pour garantir que le document archivé garde la même valeur que le document d’origine, en conservant son intégrité et en assurant sa pérennité890. Cette norme française NF Z42-013 a été transformée en norme internationale891 sous le titre ISO 14641-1892. Depuis son homologation en juin 2012, le cadre normatif français a été complété par la norme NF Z42-020 (Spécifications fonctionnelles d’un composant CoffreFort Numérique destiné à la conservation d’informations numériques dans des conditions de nature à en garantir leur intégrité dans le temps). § 2 – Les copies électroniques
769 bis. La réforme du droit des obligations introduite par l’ordonnance n° 2016131 du 10 février 2016 portant réforme du droit des contrats, du régime général et de la preuve des obligations est entrée en vigueur. Si l’on s’intéresse aux pièces justificatives (ex. : les copies de documents d’identité, de quittance de loyer ou EDF, factures…) nécessaires dans les opérations bancaires et d’assurance, réalisées sous forme digitale, on observera que l’article 1379 relatif à la copie numérique fiable remplace l’article 1348 du Code civil, spécialement son 887. Groupe de travail « archivage électronique » de la FNTC, « Guide de l’archivage électronique et du coffre-fort électronique », Collection les guides de la confiance de la FNTC, nov. 2010. 888. « Archivage numérique – ensemble des actions visant à identifier, recueillir, classer, conserver, communiquer et restituer des documents électroniques, pour la durée nécessaire à la satisfaction des obligations légales ou pour des besoins d’informations ou à des fins patrimoniales ». 889. V. égal. FNTC (sous la direction d’É. A. Caprioli), « Vade-mecum juridique de la digitalisation des documents », 8e éd., 2017. 890. Norme GA Z42-019 juin 2010 disponible sous le lien : http://www.boutique.afnor.org/norme/ ga-z42-019/guide-d-application-de-la-nf-z42-013-archivage-electronique-specificationsrelatives-a-la-conception-et-a-l-exploitation-de-s/article/745625/fa167048. 891. Actualités du site Internet http://www.afnor.org du 6 mars 2012 disponible sous le lien : http://www.afnor.org/profils/activité/tic/la-norme-francaise-nf-z42-013-sur-l-archivageelectronique-transposee-en-norme-internationale-par-l-iso 892. ISO 14 641-1 : 2012 ‒ Archivage électronique ‒ partie I : spécifications relatives à la conception et au fonctionnement d’un système d’information pour la conservation d’informations électroniques.
l es
principes de la digitalisation des documents
| 323
alinéa 2 sur la copie fidèle et durable et l’article 1334 sur la copie. Désormais, « la copie fiable a la même force probante que l’original. La fiabilité est laissée à l’appréciation du juge. Néanmoins, est réputée fiable la copie exécutoire ou authentique d’un écrit authentique. Est présumée fiable jusqu’à preuve du contraire toute copie résultant d’une reproduction à l’identique de la forme et du contenu de l’acte, et dont l’intégrité est garantie dans le temps par un procédé conforme à des conditions fixées par décret en Conseil d’État. Si l’original subsiste, sa présentation peut toujours être exigée ». Ce nouvel article établit une équivalence juridique sur le plan probatoire entre la copie fiable et l’original, étant précisé que « la fiabilité est laissée à l’appréciation du juge ». La copie n’est plus un commencement de preuve par écrit. Dans l’Union européenne, des pays comme la Belgique qui a adopté la loi du 21 juillet 2016893 ou le Luxembourg, la loi du 25 juillet 2015 relative à l’archivage électronique, ont remplacé leur régime juridique de l’archivage dont celui de la copie numérique. On rappellera à ce sujet que le règlement européen eIDAS du 23 juillet 2014 ne traite pas de l’archivage, sauf de la conservation des signatures et des cachets électroniques qualifiés. Le décret n° 2016-1673 du 5 décembre 2016 « relatif à la fiabilité des copies et pris pour l’application de l’article 1379 du Code civil » vient préciser les conditions de mise en œuvre de la présomption de fiabilité des copies. Si on analyse plus précisément le texte de l’article 1379, on constate que l’on peut rapporter la preuve de la fiabilité de la copie sans bénéficier de la présomption simple et qu’il appartient au juge d’en apprécier la vraisemblance894. C’est la charge de la preuve qui est inversée contrairement à l’hypothèse où une personne produit une copie fiable conforme aux exigences du décret. 769 ter. L’article 1er du décret opère une distinction entre la copie fiable résultant « d’un procédé de reproduction qui entraîne une modification irréversible du support de la copie » et la copie procédant d’une reproduction par voie électronique. La première branche de l’alternative consacre les solutions qui correspondaient à l’ancien article 1348, alinéa 2, du Code civil et au respect de la norme Z42 013. Les deux solutions bénéficient de la présomption. En revanche, en ce qui concerne la force probante des copies numériques, le décret apporte des précisions très utiles (articles 2 à 7)895, spécialement sur « sa fidélité à l’original et son incorruptibilité ». Le décret précise que le procédé doit reproduire les informations relatives à la copie et destinées à l’identification de celles-ci, le contexte de la numérisation, 893. Sur cette loi, v. l’excellent article de D. Gobert sous le lien suivant : http://www.caprioliavocats.com/69-articles/actualites/572-la-loi-belge-du-21-juillet-2016-mettant-en-oeuvrele-reglement-eidas-et-le-completant-avec-des-regles-sur-l-archivage-electronique-analyseapprofondie-par-didier-gobert-2. 894. D. Ammar, « Preuve et vraisemblance, contribution à l’étude de la preuve technologique », RTD. civ. 1993, p. 499 et s. 895. Th. Douville, « Nouveau droit des contrats (Fiabilité des copies) : publication du décret d’application », D. 2016, n° 43, p. 2517. J.-D. Bretzner et A. Aynès, « Panorama ‒ Droit de la preuve, juin 2015-juin 2016 », D. 2016, n° 43, p. 2537 ; Com. com. électr., févr. 2017, comm. 19, note É. A. Caprioli.
324 | B anque
et
a ssurance
digitales
la date de création de la copie, la vérification de la qualité du procédé au moyen de tests (article 2). Pour garantir l’intégrité de la copie, les utilisateurs doivent disposer d’une empreinte numérique afin de s’assurer que « toute modification ultérieure de la copie à laquelle elle est attachée est détectable » (article 3). L’intégrité de la copie sera présumée lorsqu’est utilisé un horodatage, un cachet ou une signature électroniques qualifiés au sens du Règlement eIDAS du 23 juillet 2014. Selon l’article 4 du décret, « la copie électronique est conservée dans des conditions propres à éviter toute altération de sa forme ou de son contenu ». Il convient de rappeler que l’article 1379 du Code civil qui dispose : « Est présumée fiable jusqu’à preuve du contraire toute copie résultant d’une reproduction à l’identique de la forme et du contenu de l’acte » car la reproduction de la forme du document doit s’entendre conformément à l’article 4 du décret : « Les opérations requises pour assurer la lisibilité de la copie électronique dans le temps ne constituent pas une altération de son contenu ou de sa forme dès lors qu’elles sont tracées et donnent lieu à la génération d’une nouvelle empreinte électronique de la copie ». Cela signifie que les opérations de migration de support ou de format dans le temps, qui peuvent « modifier » techniquement le document ne constituent pas une altération. L’article 5 impose la conservation des traces et des empreintes (cryptographiques) qui auront été générées en application des articles 3 et 4. Les empreintes générées permettent de procéder aux vérifications des copies fiables. S’agissant de la confidentialité, l’accès aux procédés de reproduction et de conservation doit être sécurisé en vertu de l’article 6. Enfin, conformément à l’article 7, l’ensemble des dispositifs et des mesures prévus aux articles 2 à 6 doivent être « décrits dans une documentation conservée aussi longtemps que la copie électronique produite ». 769 quater. La destruction des originaux papier est implicitement visée dans le rapport au Président de la République qui accompagnait le texte de l’ordonnance896 (JO 11 févr. 2016), et ce même s’il n’y a pas de renvoi vers une norme technique de référence. Il indique : « l’article 1379 définit la copie et en fixe la valeur probante en un texte unique, qui pose un nouveau principe selon lequel la copie fiable a la même force probante que l’original, peu important que celui-ci subsiste ou pas, et peu important l’origine, le cas échéant, de la disparition de l’original ». On rappellera que, s’agissant des contrats bancaires, les copies « fidèles et durables » produites conformément à la norme Z42 013 ont été reconnues à de nombreuses reprises par les juges du fond alors que la présentation des originaux sur support papier s’est avérée impossible897. 896. JO 11 févr. 2016, v. sous-section 5, « Les copies ». 897. Cour d’appel de Lyon, 6e ch., 3 sept. 2015, n° 13/09407 : Juris-Data n° 2015-022447 ; Com. com. électr. 2015, comm. 95, note É. A. Caprioli et Cour d’appel de Paris, pôle 4, ch. 9, 11 févr. 2016, n° 15/01765, Com. com. électr. 2016, comm. 47, note É. A. Caprioli.
l es
principes de la digitalisation des documents
| 325
Afin de remplir les exigences juridiques et techniques posées par l’article 1379 du Code civil et son décret d’application, il conviendra de respecter les normes AFNOR Z42 013 et Z42 020, ainsi que la norme ISO 27001 pour la sécurité du système d’archivage des copies numériques. En outre, en ce qui concerne la destruction des originaux papiers, il conviendra d’écrire une procédure de destruction des originaux papiers et de s’appuyer sur la future norme Z42 026 (archives électroniques – normes et standards, publication en cours). Une telle approche a été confirmée récemment avec l’article L. 1111-26 du CSP « La copie numérique d’un document mentionné à l’article L. 1111-25, remplissant les conditions de fiabilité prévues par le deuxième alinéa de l’article 1379 du Code civil, a la même force probante que le document original sur support papier. Lorsqu’une copie numérique fiable a été réalisée, le document original peut être détruit avant la fin de la durée légale de conservation (…) »898.
898. Ordonnance n° 2017-29 du 12 janvier 2017, JO 13 janv. 2017.
CHAPITRE II Les opérations de paiement numérique899 770. S’il est une opération qui s’effectue dans une grande majorité de cas sous forme digitale, c’est bien le paiement. L’essor du commerce électronique requiert avant tout le respect d’un prérequis : la confiance900 portée par les commerçants et les consommateurs pour les transactions effectuées sur les réseaux numériques. Pour ce faire, le législateur européen a cherché à mettre en place progressivement un Marché unique numérique901 dont certaines règles préexistaient ou sont en cours d’évolution, notamment au sujet : – des différents éléments techniques constitutifs de la transaction : l’identification de l’émetteur et du destinataire de la transaction, son contenu intègre, son horodatage, la preuve de son émission et de sa réception dont le régime juridique a été exposé dans le règlement n° 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur (eIDAS) (v. partie II, chapitre I) ; – du respect de la vie privée et la protection des données à caractère personnel, comme l’a pris en compte le règlement du Parlement européen et du Conseil relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (Règlement général sur la protection des données) le 27 avril 2016 (v. partie I, chapitre II) ; – mais aussi, des moyens de paiement en ligne auxquels les plateformes de marché902 et les cyber-commerçants recourent. 771. Face à l’essor des fraudes à la carte bancaire903, des pratiques d’hameçonnage904 sans cesse plus élaborées mais aussi au déploiement du 899. Il ne sera pas fait état ici de l’émission de monnaie électronique. Se reporter à P. Storrer, Droit de la monnaie électronique (préf. J.-J. Daigre et M. Roussille), RB Édition, 2014. 900. É. A. Caprioli, « Confiance et communications électroniques : éléments provisoires de réflexion juridique », disponible sur le site : http://www.caprioli-avocats.com 901. https://ec.europa.eu/digital-single-market/digital-single-market#Article 902. V. l’initiative de la Commission européenne dans le cadre de la stratégie sur le marché numérique unique et la consultation : http://linkis.com/ec.europa.eu/digital/vXkiN 903. V. « État des lieux de la sécurisation des paiements par carte sur Internet », Rapport annuel de l’Observatoire de la sécurité des paiements, 2014, chapitre I, p. 11. 904. É. A. Caprioli, « Le phishing saisi par le droit », Com. com. électr. 2006, comm. 2.
328 | B anque
et
a ssurance
digitales
marché unique des paiements905, la Commission européenne a multiplié les textes réglementaires906. En droit français, la notion de paiement renvoie à une définition séculaire pérenne. Au sens des nouveaux articles 1342 et suivants du Code civil, le paiement suppose toujours la satisfaction du créancier puisqu’il va entraîner l’extinction de la dette et par là, la remise effective de la somme d’argent au créancier ou à celui qu’il a indiqué. 772. En outre, le nouvel article 1342-8 du Code civil énonce : « Le paiement se prouve par tout moyen » dans le prolongement de la qualification donnée par la Cour de cassation907. Toutefois, si le séquençage de l’opération de paiement (section I) est le même, les instruments de paiement (section II) comme les formes de paiement (section III) sont multiples.
SECTION I LES OPÉRATIONS DE PAIEMENT 773. Les articles L. 133-1 et suivants du Code monétaire et financier précisent le régime applicable aux opérations de paiements telles qu’elles sont ordonnées par le payeur908. En effet, il est prévu que : « I. – Les dispositions du présent chapitre s’appliquent aux opérations de paiement réalisées par les prestataires de services de paiement mentionnés au livre V dans le cadre des activités définies au II de l’article L. 314-1. (...) IV. – Sans préjudice de l’application de la section XII, le présent chapitre s’applique à l’émission et la gestion de monnaie électronique ». Conformément à l’article L. 133-3 du Code monétaire et financier, une opération de paiement « est une action consistant à verser, transférer ou retirer des fonds, indépendamment de toute obligation sous-jacente entre le payeur et le bénéficiaire, ordonnée par le payeur ou le bénéficiaire. 905. A. Prüm, « Après l’euro, l’espace unique européen des paiements », RDBF mai-juin 2007, p. 1. 906. Règlement n° 260/2012/UE du 14 mars 2012 du Parlement européen et du Conseil établissant des exigences techniques et commerciales pour les virements et les prélèvements en euros et modifiant le règlement n° 924/2009/CE, JOUE n° L. 94, 30 mars 2012, p. 22-37, modifié par le règlement n° 248/2014/UE du Parlement européen et du Conseil du 26 février 2014 modifiant le règlement n° 260/2012/UE en ce qui concerne la migration vers un système de virements et de prélèvements à l’échelle de l’Union. 907. Cass. civ. 1re, 16 sept. 2010, n° 09-13.947, P + B + I, Mme P. c/ C. : Juris-Data n° 2010-015952 ; G. Deharo, « Nature juridique du paiement : la Cour de cassation tranche en faveur de la qualification de fait juridique », JCP éd. E et A, 2010, 1871. 908. Le régime juridique des Prestataires de services de paiement ne sera pas étudié ici.
l es
opérations de paiement numérique
| 329
II. – L’opération de paiement peut être ordonnée : a) Par le payeur, qui donne un ordre de paiement à son prestataire de services de paiement ; b) Par le payeur, qui donne un ordre de paiement par l’intermédiaire du bénéficiaire qui, après avoir recueilli l’ordre de paiement du payeur, le transmet au prestataire de services de paiement du payeur, le cas échéant, par l’intermédiaire de son propre prestataire de services de paiement ; c) Par le bénéficiaire, qui donne un ordre de paiement au prestataire de services de paiement du payeur, fondé sur le consentement donné par le payeur au bénéficiaire et, le cas échéant, par l’intermédiaire de son propre prestataire de services de paiement ». À la lecture des textes, tout l’enjeu se situe dans la preuve d’une opération de paiement puisque la charge de la preuve qu’il a satisfait à l’ensemble des exigences en matière d’information reviendra au prestataire de services de paiement lui-même (v. CMF, art. L. 316-2). 774. Reste que ces principes issus de la directive et du Code monétaire et financier ont été prévus pour s’appliquer essentiellement aux consommateurs. Le prestataire de services de paiement conserve, en effet, toute latitude pour y déroger contractuellement vis-à-vis des commerçants ou des personnes physiques qui agissent pour des besoins professionnels (CMF, art. L. 133-2909 et CMF, art. L. 133-24910, al. 2). § 1 – Obligations d’information
775. En matière de moyens de paiement et plus particulièrement d’ordres de paiement, le Code monétaire et financier prévoit une série d’obligations concernant l’information du client. Il convient toutefois de noter que, sur le fondement de l’article L. 314-5 du Code monétaire et financier911, il peut être 909. CMF, art. L. 133-2 : « Sauf dans les cas où l’utilisateur est une personne physique agissant pour des besoins non professionnels, il peut être dérogé par contrat aux dispositions de l’article L. 133-1-1, des troisième et quatrième alinéas de l’article L. 133-7, des articles L. 133-8, L. 13319, L. 133-20, L. 133-22, L. 133-23, L. 133-25, L. 133-25-1, L. 133-25-2 et au I de l’article L. 13326 ». 910. Sauf dans les cas où l’utilisateur est une personne physique agissant pour des besoins non professionnels, les parties peuvent convenir d’un délai distinct de celui prévu au présent article. 911. CMF, art. L. 314-15 : « Un arrêté du ministre chargé de l’Économie précise les informations à fournir à une personne physique n’agissant pas pour des besoins professionnels si son prestataire de services de paiement est situé à Saint-Pierre-et-Miquelon ou à Mayotte et que l’autre prestataire de services de paiement impliqué dans l’opération est situé hors de France, quelle que soit la devise utilisée pour l’opération de paiement. Un arrêté du ministre chargé de l’Économie précise les informations à fournir à une personne physique n’agissant pas pour des besoins professionnels si son prestataire de services de paiement est situé sur le territoire de la France métropolitaine, des départements d’outre-
330 | B anque
et
a ssurance
digitales
dérogé vis-à-vis des professionnels et entreprises à une grande partie des obligations d’information prévues par l’arrêté du 29 juillet 2009912. § 2 – Consentement du client
776. L’une des conditions essentielles de l’ordre de paiement sera d’avoir fait l’objet du consentement du payeur (CMF, art. L. 133-6). La forme du consentement doit être convenue entre le payeur et sa banque, étant entendu que, pour que le consentement soit valable, la personne physique intervenant au nom et pour le compte de l’entreprise devra être dûment habilitée pour le faire, grâce à une délégation de pouvoir en bonne et due forme. 777. Une banque, qui recevrait un ordre de paiement d’une personne déclarant agir au nom de la personne morale alors qu’elle n’est pas habilitée à le faire, ne pourrait se retourner valablement contre la personne morale que si les conditions d’un « mandat apparent » sont réunies, c’est-à-dire qu’elle a légitimement pu croire que la personne physique agissait au nom et pour le compte de la personne morale. Reste que pour se prévaloir de sa croyance légitime, la banque doit établir qu’existaient au moment de l’acte des circonstances l’autorisant à ne pas vérifier les pouvoirs de ce dernier. 778. En pratique, la banque devra donc, indépendamment même de la question de la valeur juridique ou de la force probante de la signature apposée, s’enquérir de l’habilitation du signataire à engager valablement sa société pour l’acte envisagé. Elle devra donc être en mesure de parfaitement identifier la personne physique signataire. Pour cette raison, en dépit du principe de liberté de la preuve, il est recommandé que les moyens d’authentification électronique, nécessaires pour s’assurer des pouvoirs du signataire à engager valablement la société, s’appuient sur des solutions d’authentification forte dans le cadre d’opérations effectuées à distance (v. partie I, chapitre IV, section II). En l’absence du consentement du client dans les formes convenues entre les parties, l’opération en cause viendrait à être considérée comme non autorisée (v. CMF, art. L. 133-7). Or, toute opération non autorisée permet au payeur de solliciter et d’obtenir le remboursement des sommes indûment prélevées. 779. L’article L. 133-23 du Code monétaire et financier indique le principe à nuancer selon lequel « lorsqu’un utilisateur de services de paiement nie avoir autorisé une opération de paiement qui a été exécutée, ou affirme que l’opération mer, à Saint-Martin ou à Saint-Barthélemy et que l’autre prestataire de services de paiement impliqué dans l’opération est situé dans un État qui n’est pas partie à l’accord sur l’Espace économique européen, quelle que soit la devise utilisée pour l’opération de paiement ». 912. Arrêté du 29 juillet 2009 relatif aux relations entre les prestataires de services de paiement et leurs clients en matière d’obligations d’information des utilisateurs de services de paiement et précisant les principales stipulations devant figurer dans les conventions de compte de dépôt et les contrats-cadres de services de paiement, JO 31 juill. 2009, p. 12748.
l es
opérations de paiement numérique
| 331
de paiement n’a pas été exécutée correctement, il incombe à son prestataire de services de paiement de prouver que l’opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre ». Le prestataire de services de paiement devra, dans ce cas, prouver deux faits distincts : – l’authentification, l’enregistrement et la comptabilisation de l’opération, et – l’absence d’une déficience technique. 780. Il convient de relever que l’article L. 133-23, alinéa 2, indique que « l’utilisation de l’instrument de paiement telle qu’enregistrée par le prestataire de services de paiement ne suffit pas nécessairement en tant que telle à prouver que l’opération a été autorisée par le payeur ou que celui-ci n’a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière ». § 3 – Preuve de l’opération mal exécutée
781. En cas d’opération mal exécutée en raison d’erreur sur l’identifiant unique (IBAN) de nature à identifier le bénéficiaire, le prestataire de services de paiement sera exonéré de sa responsabilité mais il devra s’efforcer de récupérer les fonds en mettant à la charge de l’utilisateur les frais occasionnés (CMF, art. L. 133-21). 782. En outre, l’article L. 133-22 IV du Code monétaire et financier indique, quant à lui, que si la responsabilité du prestataire est retenue pour une mauvaise exécution qui lui est imputable, il remboursera les frais occasionnés, le cas échéant. Cet article ajoute également dans son III que « dans le cas d’une opération de paiement mal exécutée, sans préjudice de sa responsabilité, le prestataire de services de paiement de l’utilisateur s’efforce immédiatement, sur sa demande, de retrouver la trace de l’opération de paiement et notifie le résultat de sa recherche à son utilisateur ». § 4 – Modalités particulières de transmissions des ordres de paiement
783. Hormis en matière de chèques pour lesquels la loi impose un écrit, aucun type de support n’est expressément exigé pour le reste des ordres de paiement. Aussi, la loi admet la dématérialisation de la plupart des ordres de paiement (v. en ce sens les développements sur le « support durable » : cf. partie I, chapitre I, section III) contenus dans les instruments financiers, ce que la pratique bancaire a d’ores et déjà bien compris. 784. Toutefois, le SEPA impose des formats spécifiques pour les échanges interbancaires afin d’en faciliter la circulation au sein du marché unique.
332 | B anque
et
a ssurance
digitales
Le nouveau protocole EBICS s’applique tant aux virements SEPA (SCT) qu’aux prélèvements SEPA (SDD) et propose deux types de protocoles, à savoir EBICS T (avec signature disjointe) et EBICS TS (avec signature jointe). Pour que soit mis en place le nouveau protocole de communication, les banques devront respecter les recommandations du Comité français d’organisation et de normalisation bancaires (CFONB). 785. À ce titre, le CFONB a émis la « Politique d’acceptation commune » (PAC V3.1) dont les stipulations ont valeur contractuelle après l’engagement que l’organisme prend de les respecter913. À noter que la PAC requiert que l’autorité de certification applique une politique de certification conforme, a minima, aux principes de la PRIS/RGS et du Règlement eIDAS. 786. Divers documents viennent compléter la mise en place du protocole EBICS, à savoir le Guide de mise en œuvre en France version 2.1.5 accompagné de ses annexes ainsi que la documentation générique prévoyant les spécifications du protocole EBICS914, et contiennent des recommandations interbancaires françaises, notamment en matière de commandes utilisées, de nommage des fichiers (règles de codification, valeurs de tables associées à cette codification, etc.) ou encore des types de certificats utilisés en fonction du profil T ou TS (matériel, logiciel, etc.). Ces recommandations ne sont pas stricto sensu obligatoires, d’autant que le contrat type fourni par le CFONB relatif à EBICS est susceptible de modifications. Pour autant, le respect des standards mis en place par le CFONB conditionne l’interopérabilité entre les différents systèmes d’information des banques. 787. En tout état de cause, les documents techniques relatifs au protocole EBICS impliquent l’utilisation de certificats électroniques pour trois phases différentes : – l’authentification ; – le chiffrement ; – la signature personnelle. § 5 – Conservation – Prescription
788. L’établissement de paiement doit procéder à l’archivage des enregistrements appropriés et les conserver pendant un délai d’au moins cinq ans, sans préjudice
913. Document disponible à l’adresse suivante : http://www.cfonb.org/fichiers/20160324171128_ CFONB_PAC_V3.1_FR.pdf. 914. Documents disponibles à l’adresse suivante : http://www.cfonb.org/fichiers/20141029101016_ 6_10_EBICS_IG_CFONB_VF_2_1_5_2014_06_23.pdf.
l es
opérations de paiement numérique
| 333
de l’application d’autres dispositions légales ou communautaires pertinentes (DSP 2, art. 21), une durée de cinq ans étant effectivement prévue par l’alinéa 2 de l’article L. 561-12 du Code monétaire et financier. Le Code monétaire et financier ajoute que les actions relatives aux ordres de paiement tels qu’entendus par l’article L. 133-1, se prescrivent par cinq ans, à condition d’avoir contesté l’opération dans le délai de treize mois (CMF, art. L. 133-24), sous peine de forclusion (plus de contestation possible), soit treize mois maximum pour contester et cinq ans maximum pour agir en justice du fait de cette contestation. Toutefois, en matière d’information d’exécution des opérations de paiement, si le contrat n’a pas aménagé ses modalités et qu’elle n’a pas été effectuée dans les temps et dans les formes, le client pourra contester les opérations sans limitation de durée. Concernant la clientèle agissant pour des besoins professionnels, il sera à la fois possible de convenir par contrat d’un délai plus court de contestation (CMF, art. L. 133-24, al. 2), mais également de réduire le délai de prescription de l’action consécutive à cette contestation (qui ne pourra être réduit en dessous d’un an).
SECTION II LES INSTRUMENTS DE PAIEMENT 789. La directive n° 2007/64/CE du Parlement européen et du Conseil du 13 novembre 2007 concernant les services de paiement915 dans le marché intérieur, transposée en droit français par l’ordonnance n° 2009-866 du 15 juillet 2009916, suivie du décret d’application n° 2009-934 du 29 juillet 2009917 visait à harmoniser les règles existantes en matière d’instruments de paiement918 : – le virement SEPA ou SCT (SEPA Credit Transfer) ; 915. Directive n° 2007/64/CE du Parlement européen et du Conseil du 13 novembre 2007 concernant les services de paiement dans le marché intérieur, modifiant les directives n° 97/7/ CE, n° 2002/65/CE, n° 2005/60/CE ainsi que n° 2006/48/CE et abrogeant la directive n° 97/5/ CE, JOUE n° L. 319, 5 déc. 2007, p. 1. 916. Ordonnance n° 2009-866 du 15 juillet 2009 relative aux conditions régissant la fourniture de services de paiement et portant création des établissements de paiement, prise sur le fondement de la loi du 4 août 2008 de modernisation de l’économie, JO 16 juill. 2009, p. 11868. V. G. Notté, « Fourniture de services de paiement et création des établissements de paiement », JCP éd. E & A, n° 31, 30 juill. 2009, act. 358 ; dossier spécial dans le JCP éd. E & A, n° 2, 14 janv. 2010, 1031-1034. 917. Décret n° 2009-934 du 29 juillet 2009 pris pour l’application de l’ordonnance n° 2009-866 du 15 juillet 2009 relative aux conditions régissant la fourniture de services de paiement et portant création des établissements de paiement, JO 31 juill. 2009, p. 12744. 918. L’objectif de ces développements n’est pas d’effectuer une analyse complète des instruments de paiement mais simplement un exposé des principes.
334 | B anque
et
a ssurance
digitales
– le prélèvement SEPA ou SDD (SEPA Direct Debit) ; – et la carte bancaire selon les modalités du SCF (SEPA Card Framework). Ces derniers, bien que difficiles à mettre en œuvre, constituent, pour la majorité des nouveaux moyens de payer, un prérequis. Ils agissent selon des modalités juridiques, fonctionnelles et techniques communes, qu’ils soient utilisés pour réaliser des paiements nationaux ou transfrontaliers dans la zone SEPA. 790. À l’occasion de la mise en place du SEPA, l’European Payments Council ou EPC, représentant les Prestataires de Services de Paiement919, a prévu « un ensemble commun de règles de fonctionnement, pratiques et normes régissant la fourniture et le fonctionnement d’un instrument de paiement convenu à l’échelon interbancaire dans un environnement concurrentiel »920 appelé « Scheme ». De nature contractuelle, ce « Scheme » prévoit des « Rulebooks », c’est-à-dire des exigences techniques, concernant les divers instruments de paiement SEPA, que doivent respecter les différents établissements de paiement afin de permettre l’interopérabilité entre eux. § 1 – Les virements : le « SEPA Credit Transfer »
791. L’ensemble des virements de la zone SEPA s’opère suivant le modèle du « SEPA Credit Transfer ». Le règlement n° 260/2012 du Parlement européen et du Conseil du 14 mars 2012 établissant des exigences techniques et commerciales pour les virements et les prélèvements en euros et modifiant le règlement (CE) n° 924/2009921 définit un virement de base pour les paiements non urgents : « un service de paiement national ou transfrontalier fourni par le prestataire de services de paiement qui détient le compte de paiement d’un payeur, visant à créditer, sur la base d’une instruction donnée par le payeur, le compte de paiement d’un bénéficiaire par une opération ou une série d’opérations de paiement, réalisées à partir du compte de paiement du payeur » (article 2.1). 792. Le « SEPA Credit Transfer » ou virement SEPA est un virement standard en euros sans limite de montant, dans un délai maximum garanti de quatre jours (CMF, art. L. 133-12) que le virement soit national ou transfrontalier. Les frais de la banque du donneur d’ordre seront à la charge du donneur d’ordre et les frais de la banque du bénéficiaire seront à la charge du bénéficiaire. Ce mode de partage des frais reprend les principes actuellement applicables en France pour les virements domestiques. Sur le plan technique, il est prévu que les échanges de données entre banques soient normalisés, afin de réduire les délais de traitement des ordres et de transfert de fonds. Les données doivent 919. Dont une description est disponible à l’adresse : http://www.europeanpaymentscouncil.eu/ index.cfm/about-epc/the-european-payments-council/ 920. Définition issue du document Le prélèvement SEPA « SEPA Core Direct Debit » Version 6.0 Applicable à partir du 20 novembre 2016, disponible à l’adresse :http://www.cfonb.org/ fichiers/20160713084728_2.4_Brochure_Prelevement_SEPA_SDD_Core_V6_juillet_2016.pdf 921. Préc.
l es
opérations de paiement numérique
| 335
être échangées au format XML et respecter la norme ISO 20022. Les comptes bancaires des parties au SCT doivent être identifiés grâce aux codes BIC et IBAN. S’agissant du délai d’exécution, il est fixé par la directive DSP 2 à « J+1 ». En d’autres termes, l’opération doit être exécutée au plus tard à la fin du jour ouvrable suivant la réception de l’ordre de paiement922. § 2 – Les prélèvements : le « SEPA Direct Debit »
793. Le « SEPA Direct Debit » (SDD) a désormais remplacé le prélèvement automatique domestique. Le règlement n° 260/2012 du Parlement européen et du Conseil du 14 mars 2012 établissant des exigences techniques et commerciales pour les virements et les prélèvements en euros et modifiant le règlement n° 924/2009/CE923 définit un prélèvement comme « service de paiement national ou transfrontalier visant à débiter le compte de paiement d’un payeur, lorsque l’opération de paiement est initiée par le bénéficiaire sur la base du consentement du payeur (…) » (article 2.2). 794. L’EPC a défini un ensemble complet de règles, pratiques et normes opérationnelles pour la gestion du système de prélèvement du SDD. Il contient donc des dispositions sur le champ d’application du système, les rôles et responsabilités des participants, les règles opérationnelles et le cadre légal et contractuel. À ce titre, il a nécessité une négociation interbancaire sur les formats et protocoles de transmission de données. Il convient de noter que ces formats et protocoles sont les mêmes que ceux préconisés pour le virement SEPA (norme ISO 20022, identification IBAN et BIC)924. Une version 8.2925 du « Core Rulebook » a été publiée par l’EPC le 3 mars 2016 et est applicable depuis le 1er avril 2016, au même titre que la version 6.2 du SDD Business to Business (B2B) Rulebook, applicable jusqu’au 20 novembre 2016 et la publication de la version 9.2 qui sera, quant à elle, applicable jusqu’en novembre 2017926. 795. Le prélèvement SEPA, qui est sensiblement différent du prélèvement français, est un prélèvement exécuté dans la zone SEPA en euros, répondant à de nouvelles modalités juridiques et fonctionnelles. Il repose notamment sur le principe d’un mandat unique délivré par le débiteur au créancier (contrairement au double mandat français).
922. CMF, art. L. 133-13. 923. Préc. 924. Disponible à l’adresse : http://www.europeanpaymentscouncil.eu/index.cfm/sepa-direct-debit/ sepa-direct-debit-core-scheme-sdd-core/. 925. http://www.europeanpaymentscouncil.eu/index.cfm/knowledge-bank/epc-documents/sepadirect-debit-core-rulebook-version-82/epc016-06-core-sdd-rb-v82-approved/ 926. http://www.europeanpaymentscouncil.eu/index.cfm/sepa-direct-debit/sct-sdd-rulebookrelease-management/
336 | B anque
et
a ssurance
digitales
§ 3 – Les paiements par carte bancaire : le « SEPA Card Framework »
796. Le SEPA vise à étendre l’usage des cartes bancaires, trop souvent limité au cadre domestique. Par conséquent, l’objectif du SEPA dans ce domaine est de faciliter le développement de l’instrument, tant du point de vue de l’offre (banques) que de la demande (porteurs de cartes et commerçants) sans différenciation entre paiements nationaux et transfrontaliers. Le « SEPA Card Framework » a pour objet d’assurer l’interopérabilité entre les différents réseaux de cartes bancaires ayant une présence dans la zone SEPA et d’en renforcer la sécurité. Les porteurs et les commerçants peuvent effectuer et recevoir des paiements par carte dans l’ensemble de la zone euro selon des modalités communes et cohérentes entre elles. Les prestataires de services de traitement des cartes de paiement pourront être en concurrence et offrir leurs services dans l’ensemble de la zone SEPA, ce qui rendra le marché plus concurrentiel, plus fiable mais aussi plus efficace en termes de coûts. § 4 – L’« Instant Payment »
797. Le paiement instantané n’a pas vocation à remplacer le virement ou le prélèvement déjà réglementés dans le cadre de la directive sur les services de paiement. Il se veut plutôt être le substitut le plus proche de l’espèce (« cash »), en ce qui concerne la rapidité et le dénouement de la transaction. Il se définit au sens de l’« Euro Retail Payments Board »927 comme une solution de paiement électronique disponible à tout moment, résultant d’une compensation interbancaire immédiate ou quasi immédiate de l’opération et du crédit du compte du bénéficiaire avec une demande de confirmation au payeur928. Dans le cadre du paiement instantané, le transfert d’argent est immédiat, sans attendre qu’un jour ouvré a minima ne soit écoulé, et disponible 24 heures/24, 7 J/7, 365 jours/an (ou 24/7/365). Ainsi, des États européens font déjà de l’« Instant Payment » et l’EPC a pour mission d’harmoniser et d’intégrer les pratiques de l’« Instant Payment » pour éviter des ruptures de concurrence à l’échelle européenne.
927. Disponible à l’adresse https://www.ecb.europa.eu/paym/retpaym/euro/html/index.en.html. 928. Disponible à l’adresse : http://www.ecb.europa.eu/paym/retpaym/shared/pdf/eprb_statement _2.pdf?72f16eb99abfaefce9292143f0344227.
l es
opérations de paiement numérique
| 337
798. D’avril 2016 à juillet 2016, un appel à contributions publiques929 a été lancé par l’EPC afin de recueillir les opinions et avis sur son projet de « SCT Instant Rulebook » (un cahier de Règles techniques) pour la mise en œuvre d’un système de paiement instantané paneuropéen. L’objectif de ce « SCT Instant Rulebook » est de déterminer les règles permettant de mettre à disposition du bénéficiaire, la somme transférée dans les 10 secondes à compter de la transaction (pour des transactions inférieures à 15 000 euros). L’EPC entend publier son « Rulebook » en novembre 2016 pour un déploiement en novembre 2017. La directive a été abrogée dernièrement par la directive n° 2015/2366 du 25 novembre 2015930, mais cette typologie perdure. Cette directive s’applique aux opérations de paiement réalisées par les prestataires de services de paiement dans le cadre des activités définies au II de l’article L. 314-1 du Code monétaire et financier.
SECTION III LES FORMES DES MOYENS DE PAIEMENT § 1 – Le paiement par SMS
799. La loi pour une République numérique931 prévoit dans son article 94932 l’insertion d’un article L. 521-3-1 dans le Code monétaire et financier, par lequel un fournisseur de réseaux ou de services de communications électroniques peut fournir des services de paiement pour un de ses abonnés pour l’exécution : 1. d’opérations de paiement effectuées pour l’achat de contenu numérique et de services vocaux, quel que soit le dispositif utilisé pour l’achat ou la consommation du contenu numérique, et imputées sur la facture correspondante ; 2. d’opérations de paiement exécutées depuis un dispositif électronique ou au moyen de celui-ci et imputées sur la facture correspondante dans le cadre de la collecte de dons par les organismes faisant appel public à la générosité conformément aux dispositions de la loi n° 91-772 du 7 août 1991 relative au congé de représentation en faveur des associations et
929. Disponible à l’adresse : http://www.europeanpaymentscouncil.eu/index.cfm/about-epc/epcnews/start-of-the-public-consultation-for-first-pan-european-scheme-providing-customerswith-euro-instant-credit-transfers/ 930. Directive n° 2015/2366/UE du Parlement et du Conseil européen du 25 novembre 2015 concernant les services de paiement dans le marché intérieur, modifiant les directives n° 2002/65/CE, n° 2009/110/CE et n° 2013/36/UE et le règlement n° 1093/2010/UE et abrogeant la directive n° 2007/64/CE, JOUE n° L. 337, 23 déc. 2015, p. 35 et s. 931. Préc. 932. Dans sa version du 30 juin 2016 – Commission Mixte Paritaire : https://www.senat.fr/leg/ pjl15-744.html
338 | B anque
et
a ssurance
digitales
des mutuelles et au contrôle des comptes des organismes faisant appel à la générosité publique933 ; 3. d’opérations de paiement exécutées depuis un dispositif électronique ou au moyen de celui-ci et imputées sur la facture correspondante pour l’achat de tickets électroniques. 800. Cet article, largement débattu lors de la consultation via l’Internet et terminée le 18 octobre 2015, visait avant tout les dons caritatifs mais avait également vocation à « faciliter les transactions par SMS pour l’achat de musiques, vidéos, renseignements téléphoniques, et les services de billetterie ». De nombreux arguments s’opposent à cette pratique qui consiste à effectuer une transaction (pour des dons certes mais aussi pour des transactions d’un montant minime) et à l’imputer sur sa facture de téléphonie. Elle est déjà mise en œuvre par les principaux opérateurs français, spécialement pour la souscription de certaines options payantes. Toutefois, l’ouverture d’une ligne téléphonique n’est effective qu’après la signature et la transmission d’une demande de prélèvement par le titulaire et la création d’un compte. Les problématiques de sécurité technique et d’authentification des titulaires autour du SMS, une technologie considérée comme déclinante et de moins en moins utilisée, ont été soulevées par de nombreuses personnes ayant déposé des avis négatifs au sujet de cet article. § 2 – Le paiement via « E-Wallet » (réseaux sociaux)
801. Les établissements bancaires mettent en place des « E-Wallet », comptes alimentés à partir du compte bancaire « traditionnel » du titulaire. En outre, certaines initiatives d’établissements bancaires s’appuient sur les réseaux sociaux. Ainsi en est-il de BPCE et de son application S Money934 qui permet, après l’ouverture d’un compte, d’effectuer à partir d’un tweet des envois d’argent vers un autre compte S Money ou vers des commerçants partenaires du programme. L’ouverture du compte S Money par son titulaire est conditionnée à la transmission des coordonnées bancaires (RIB et Carte bancaire). C’est à compter de cet instant que le titulaire pourra provisionner son compte. Il s’agit d’un outil de facilitation de la relation entre la banque et son client mais qui reste fondé sur l’utilisation de moyens de paiement classiques. § 3 – Le paiement via PayPal
802. PayPal est une « solution logicielle qui consiste, pour un client, à s’inscrire sur un site sécurisé de paiement par courrier électronique pour y ouvrir un “compte” 933. JO 10 août 1991, p. 10616. 934. Disponible à l’adresse : http://www.s-money.fr/decouvrir-s-money/presentation-du-service/.
l es
opérations de paiement numérique
| 339
qu’il doit alimenter à partir d’un compte bancaire, par virement ou par carte de paiement. Une fois ce “compte” alimenté, il indique l’adresse électronique de la personne à laquelle il souhaite envoyer un paiement, en en précisant le montant. Le destinataire peut alors percevoir la somme sur son propre “compte” ouvert sur le même site sécurisé »935. Cet intermédiaire s’appuie sur les coordonnées bancaires transmises par un établissement respectant les règles prudentielles en la matière. De nombreuses questions, notamment fiscales936, étaient posées au sujet de cet acteur. Mais l’un des points essentiels a trait à l’absence de la fiabilité de l’identification pour les comptes PayPal937. § 4 – Le paiement par NFC
803. Permettant d’échanger des données sur une courte distance, sans contact, la technologie NFC (« Near Field Communication »), consiste à combiner une carte équipée d’une puce électronique sans contact dans un même support938 et certaines précautions ont été retenues par la CNIL, comme la suppression de l’accès au nom du porteur pour les cartes émises depuis septembre 2012939, la suppression de l’accès à l’historique des transactions pour les modèles déployés depuis 2013. Là encore, il ne s’agit que d’une évolution de la carte bancaire, moyen traditionnel de paiement. Les mêmes exigences de sécurité et d’authentification sont requises. § 5 – Le paiement en recourant à la vérification des transactions via la Blockchain
804. De nombreux établissements bancaires s’intéressent désormais aux blockchains, technologie sous-jacente de toute crypto-monnaie, et plus spécialement du Bitcoin (cf. partie III, chapitre II, section I). Cette technologie vise à assurer la gestion décentralisée de l’historique des transactions. Les « blocs » contenant plusieurs transactions, sont détenus par les titulaires eux-mêmes. 935. Réponse écrite à la Question n° 61022 du Député Mariani au ministère de la Justice, Ventes et échanges – Commerce électronique – Technologie PayPal. Réglementation, JOAN 17 mai 2005. 936. E. Barbaud, F. Storme, « Déclaration des comptes de paiement dématérialisés situés à l’étranger : payer n’est pas placer ? », JCP éd. E et A, mai 2014, act. 390. 937. Les CGU PayPal figurent sur https://www.paypal.com/fr/webapps/mpp/ua/useragreementfull. 938. Souvent les téléphones mobiles. Cf. le projet « Pegasus », qui réunit des banques et des opérateurs de téléphonie mobile. Les expérimentations sont menées à Strasbourg et à Rouen dans le cadre de l’opération « Payez mobile » : http://www.payezmobile.com/. 939. « Propositions de la CNIL pour améliorer la sécurité des cartes bancaires sans contact », D.O. actualité, juill. 2013, 27. V. également Carte de paiement sans contact : mode d’emploi, 19 mai 2015 : http://www.cnil.fr/documentation/fiches-pratiques/fiche/article/carte-de-paiement-sanscontact-mode-demploi/.
340 | B anque
et
a ssurance
digitales
Ces blocs permettent de garantir à chaque instant l’intégrité et l’authenticité de chaque transaction en recourant à des outils cryptographiques, mais pris dans leur ordre chronologique. En effet, la validation d’une transaction nécessite la résolution d’un casse-tête numérique et des ressources informatiques en termes de serveurs pour réaliser les opérations de calculs.
CHAPITRE III Les fonctionnalités de la banque en ligne 805. En Europe, près de la moitié des Européens utilisent déjà des services bancaires mobiles940. La Banque en ligne (BEL) est conçue pour fonctionner par le biais de smartphones et tablettes au moyen d’une application ou d’une interface Internet. Pour la France, la société Hello Bank (start-up de BNP Paribas) par exemple, se définit comme une banque 100 % digitale941. De même, Axa Banque a entendu proposer son offre Soon942. Mais d’autres se sont également lancées dans cette aventure comme l’allemand Number26 proposant un service pensé entièrement pour un usage mobile (smartphone) et permettant d’agir sur les fonctions de sa carte bancaire en activant et désactivant les fonctionnalités sans avoir à joindre un conseiller943. Pour les opérateurs mobiles et les banques traditionnelles, l’un des marchés porteurs de la banque mobile est désormais l’Afrique. Dotée d’une population très faiblement bancarisée, de pays ne disposant pas de normes ou de standards impératifs et définis, l’Afrique est devenue l’Eldorado des services en ligne944. Depuis quelques années, les opérateurs mobiles ont commencé à investir en ce sens ; ainsi en est-il, entre autres, d’Orange avec ses services Orange Money et Orange Cash. Le spectre des opérations couvertes par les services en ligne s’est considérablement diversifié ces dernières années avec le déploiement des
940. Ch. Lejoux, « L’Europe de la banque mobile n’est pas une, mais multiple », disponible sous le lien : http://www.latribune.fr/entreprises-finance/banques-finance/banque/l-europe-de-labanque-mobile-n-est-pas-une-mais-multiple-584355.html 941. BNP Paribas, « Hello bank ! Première banque mobile européenne, 100 % digitale », disponible sous le lien : https://group.bnpparibas/actualite/hello-bank-premiere-banquemobile-europeenne-100-digitale 942. R. Krivine, « Soon, la 1re banque 100 % mobile en France », Rev. Banque, disponible sous le lien : http://www.revue-banque.fr/banque-detail-assurance/article/soon-1re-banque-100mobile-en-france 943. Th. Pontiroli, « La banque mobile Number26 arrive en France », Clubic, disponible sous le lien : http://www.clubic.com/pro/actualite-e-business/investissement/actualite-810122-number 26-40.html 944. P. Amsellem, « L’avenir de la banque mobile s’écrit en ce moment en Afrique », disponible sous le lien : http://www.lesechos.fr/21/03/2016/LesEchos/22154-156-ECH_l-avenir-de-labanque-mobile-s-ecrit-en-ce-moment-en-afrique.htm.
342 | B anque
et
a ssurance
digitales
moyens de communication électronique, les outils nomades comme les tablettes ou les smartphones. Aux traditionnels services de consultation des comptes par lesquels un simple contenu informatif et statique était transmis aux clients ayant souscrit un contrat d’espace en ligne sont venus s’ajouter d’autres services plus dynamiques et pour lesquels des transferts d’argent sont pratiqués (virements). La contrepartie de ce comportement plus actif du client et donc de l’accroissement du volume des échanges, ainsi que de l’importance juridique des opérations couvertes par les services en ligne, a été le renforcement des mesures de sécurité technique (v. partie I, chapitre IV). La première gamme de services offerts par les organismes bancaires, financiers et assurantiels à leurs adhérents ayant souscrit à leurs services en ligne avait trait fréquemment à la transmission d’informations. Désormais, l’échange est bilatéral, interactif. L’espace en ligne devient cet espace de rencontre avec le « Conseiller digital ».
SECTION I CONSULTATION ET ÉMISSION DE RELEVÉS D’OPÉRATIONS PAR VOIE ÉLECTRONIQUE/GESTION DES ALERTES 806. Les organismes bancaires, financiers et assurantiels proposent sur leurs sites en ligne à leurs adhérents de consulter les opérations réalisées sur leurs comptes de dépôt. Ce dernier doit fournir « sans tarder sur support papier ou sur un autre support durable à l’utilisateur les informations relatives à cette opération » (CMF, art. L. 314-14). Cette fourniture peut ne s’opérer qu’une fois par mois. Ils ne peuvent refuser de délivrer ces informations gratuitement sur papier. L’un des principaux avantages pour les adhérents consiste en la célérité de prise en compte des mouvements financiers intervenus sur un de leurs comptes ; ces derniers apparaissent fréquemment dans les heures qui le suivent. 807. Les banques et les assurances prônent fréquemment la transmission par voie électronique des relevés d’opérations. Cet abonnement nécessite de ce fait une adresse de courrier électronique fiable vers laquelle l’établissement bancaire et financier, mais aussi les compagnies d’assurance notifieront fréquemment aux titulaires de comptes en ligne la mise à disposition de leur relevé d’opérations. Toutefois, ils devront disposer de l’accord de ces derniers pour ne recourir qu’à la forme électronique. En effet, la forme de ces relevés d’opérations ainsi que le mode de délivrance ne sont pas précisés dans le Code monétaire et financier, et ce sous réserve d’intégrité des informations que ces relevés contiennent, un cachet électronique pouvant être suffisant.
l es
fonctionnalités de la Banque en ligne
| 343
808. Dans certains cas, les organismes bancaires, financiers et assurantiels transmettent directement les relevés sur l’adresse de courrier électronique communiquée par le titulaire de compte ou sur un coffre (partie II, chapitre I, section II) désigné par le titulaire et avec lequel l’établissement a conclu un partenariat. Mais cette solution – si elle semble a priori simple – ne répond pas aux exigences de sécurité auxquelles sont soumis les établissements en question : – l’adresse de courrier électronique est purement déclarative, ce qui laisse des doutes quant à l’identité des destinataires des relevés de comptes ; – le titulaire ou le conseiller peut se tromper dans la saisie de l’adresse, ce qui induit également des risques quant à la non-réception de ces relevés ; – la pratique de l’envoi de courriers électroniques aux titulaires de comptes par les établissements cibles peut augmenter le risque de phishing que ces mêmes établissements combattent par ailleurs et engager leur responsabilité (v. supra). 809. Les organismes bancaires, financiers et assurantiels proposent également : – des services payants d’alertes via SMS ou courriers électroniques lorsqu’un seuil financier est atteint (en absolu ou lorsqu’un montant est atteint sur une période de temps donnée) ; – des services permettant de vérifier les états financiers relatifs à des produits souscrits en agence (mensualités versées et restant à verser pour un contrat de prêt par exemple).
SECTION II MISE À DISPOSITION POUR IMPRESSION DE RELEVÉS D’IDENTITÉ BANCAIRE 810. Le RIB permet aux titulaires de compte de dépôt de communiquer à des tiers leurs coordonnées bancaires dans le cadre des avis de prélèvement, des virements, etc. Ce RIB contient un numéro qui permet d’identifier aisément non seulement le client, mais l’établissement de crédit et le guichet qui tient le compte et facilite les traitements informatiques et les relations interbancaires. Il a été jugé que le RIB est un simple instrument d’identification945 et qu’il n’implique aucune garantie de la part de la banque quant à l’existence de la provision d’un chèque émis par le client.
945. T. com. Paris, 13 sept. 1988 : Rev. Banque 1988, p. 1275.
344 | B anque
et
a ssurance
digitales
À ce titre, on peut considérer que la délivrance des RIB ne semble pas être réglementée. Le fait de les mettre à disposition par voie électronique est donc envisageable sous la réserve de garantir l’intégrité des informations qu’ils contiennent (par le biais d’un cachet électronique par exemple).
SECTION III LES VIREMENTS BANCAIRES 811. Les ordres de virement en général946 ne sont soumis à aucun formalisme particulier et donc à aucun écrit947. Dès lors, l’ordre de virement peut être donné soit par un écrit (lettre missive, etc.), soit par le biais de n’importe quel moyen de communication : voie électronique, bande magnétique, téléphone, etc.948. Par ailleurs, l’ordre de virement devra désigner précisément les comptes à débiter et à créditer, l’identifiant bancaire (RIB, IBAN/BIC) ainsi que le montant en question. Les établissements bancaires et financiers permettent d’effectuer ce type de virement de compte à compte, dès le moment où les éléments identifiant le compte (Banque, Guichet, Numéro de compte, Clé, Nom du bénéficiaire) sont transmis de manière sécurisée (par exemple, avec la transmission d’un code émis sur un téléphone portable via SMS et qui devra être retranscrit via l’interface du site Internet de la banque).
SECTION IV FONCTIONNALITÉ DE BASE DES ESPACES CLIENTS 812. L’entrée en relation constitue un événement fondateur de la relation contractuelle entre un établissement bancaire et financier et un client (cf. partie II, chapitre I, section I). Les espaces en ligne permettent à leurs titulaires de faire évoluer les données relatives à leur identification (numéro de téléphone portable ou fixe, adresse de courrier électronique, adresse postale).
946. Pour les virements SEPA, se rapporter à la partie II, chapitre II. 947. Cass. com., 29 janv. 1985 : Bull. civ. IV, 1985, n° 36 ; S. 1986, inf. rap. 328, obs. Michel Vasseur. Cass. civ. 1re, 1er juill. 1997 : Bull. civ. 1997, I, n° 218 ; RDBF, 1997, p. 165, obs. F.-J. Crédot et Y. Gérard ; RTD com. 1997, 657, obs. Michel Cabrillac. Cass. com., 19 juin 2007, SA Banque Scalbert Dupont c/ Chamillard : Juris-Data n° 2007-039732. Un arrêt récent de la Cour de cassation est venu confirmer un revirement de jurisprudence concernant la nature du paiement : la preuve du paiement, qui est un fait, peut être rapportée par tous moyens, Cass. civ. 1re, 16 sept. 2010, Contrats, conc, consom. 2010, comm. 266, obs. L. Leveneur. 948. V. not., CA Lyon, civ. 1re, 28 juin 2007, Azoulay c/ Crédit Mutuel de Draguignan, Juris-Data n° 2007-354603, minitel et désormais par l’Internet (CA Paris, ch. 15, sect. B, 21 déc. 2006, Uzan c/ SA BNP Paribas : Juris-Data n° 2006-332108. Cass. com., 29 janv. 2002 : D. 2002, p. 717, obs. Y. Liehnard ; RTD com. 2002, p. 354, obs. M. Cabrillac).
l es
fonctionnalités de la Banque en ligne
| 345
813. Toutefois, l’exigence de connaissance du client tout au long de la relation contractuelle (KYC) nécessite souvent de la part des établissements bancaires et financiers des précautions pour modifier ces données : 1. elles n’apparaissent régulièrement que sous forme tronquée (les derniers chiffres d’un numéro de téléphone ou les dernières lettres d’une adresse de courrier électronique par exemple) ; 2. toute modification de ces données (ayant une incidence sur le KYC) doit être sécurisée et se traduit encore fréquemment par la saisie des données à modifier sur un formulaire puis son impression, sa signature et son envoi par voie postale ou par fax. 814. En outre, les espaces clients doivent permettre également de gérer la vie de leurs contrats pour résilier ou modifier les contrats sous certaines conditions. Par exemple, l’article L. 112-3, alinéas 5 et 6, du Code des assurances énonce : « Toute addition ou modification au contrat d’assurance primitif doit être constatée par un avenant signé des parties. Par dérogation, la modification proposée par l’assureur d’un contrat complémentaire santé individuel ou collectif visant à le mettre en conformité avec les règles fixées par le décret en Conseil d’État mentionné à l’article L. 871-1 du Code de la sécurité sociale est réputée acceptée à défaut d’opposition du souscripteur. L’assureur informe par écrit le souscripteur des nouvelles garanties proposées et des conséquences juridiques, sociales, fiscales et tarifaires qui résultent de ce choix en application du même article. Ce dernier dispose d’un délai de trente jours pour refuser par écrit cette proposition. Les modifications acceptées entrent en application au plus tôt un mois après l’expiration du délai précité de trente jours et dans un délai compatible avec les obligations légales et conventionnelles d’information des adhérents ou affiliés par le souscripteur ». Le fait de prévoir que des échanges pourraient être établis via une messagerie sécurisée ou un espace sécurisé (prévu sur le compte en ligne) pour l’exécution du contrat (avenant, réclamation…) constituerait un poste éventuel d’économie, sous la réserve de prévoir un module de signature électronique. Cet espace sécurisé : 1. devra être couvert par une convention de preuve adaptée ; 2. devra être fiable (c’est-à-dire que la compagnie d’assurance devra pouvoir démontrer devant les juges qu’il lui est techniquement impossible – sans qu’une trace soit émise – de supprimer des messages ou de prendre connaissance des courriers) ; 3. devra respecter les exigences formulées par le Code des assurances. Il en va de même pour les établissements bancaires ou financiers.
346 | B anque
et
a ssurance
digitales
SECTION V MISE EN PLACE DE SIMULATIONS D’OPÉRATION (CRÉDIT, ASSURANCE) 815. Il arrive fréquemment que les établissements bancaires, financiers et assurantiels mettent en œuvre dans le cadre de leurs sites Internet mais également de leurs espaces en ligne un service « Simulation de crédit » ou des simulations d’assurance (automobile, etc.). La simulation sur Internet doit permettre de fournir au client l’ensemble des informations exigées réglementairement. Deux types de simulation sont à distinguer : – une simulation avant authentification, simulation « non personnalisée » ; – une simulation après authentification, simulation « personnalisée » (prise en compte de la notation assureur ou du score de l’établissement de crédit…). Il est envisageable que le titulaire argue d’une simulation au contenu plus avantageux que celui d’une offre préalable de crédit établie ultérieurement et demande les conditions énoncées dans la simulation plus avantageuse. C’est pourquoi les organismes bancaires, financiers et assurantiels devront prévoir les conditions contractuelles entourant la valeur juridique des simulations (avant ou après authentification) et déniant – en tous les cas – pour les simulations avant authentification tout effet juridique potentiel.
SECTION VI MESSAGERIE BANCAIRE 816. Il est question ici de la « messagerie sécurisée », car, contrairement à une messagerie électronique classique où les messages transitent via l’Internet, les messages émis ou reçus restent dans le cadre du système d’information des organismes bancaires, financiers et assurantiels dont la sécurité est maîtrisée. Cela permet ainsi aux banques et assurances de communiquer des informations à leurs clients en assurant une confidentialité aux échanges qu’une transmission du message par le canal de l’Internet ne permettrait pas d’obtenir. L’envoi de contenus destinés à un client ayant un accès aux services en ligne et concernant son compte, par le biais d’un canal notoirement insécurisé serait, en effet, de nature à pouvoir engager la responsabilité de la banque (ou de l’assurance) que ce soit par rapport aux exigences du secret bancaire, de la protection des données à caractères personnel (article 34 de la loi du 6 janvier
l es
fonctionnalités de la Banque en ligne
| 347
1978 dite « Informatique, fichiers et libertés »949) ou des règles de contrôle interne (v. partie I, chapitre II). Les messages d’informations personnalisées qui peuvent être adressés par les organismes bancaires, financiers et assurantiels au client via cet outil sont susceptibles d’être encadrés par les règles applicables à la commercialisation à distance de produits ou de services financiers, ou encore par des règles spécifiques inhérentes à chacun de leur contenu (crédit à la consommation, etc.). Mais, dès lors qu’ils se présentent comme des « messages électroniques », il convient de se demander si ces « messages » rentrent également dans le cadre de la réglementation applicable à la prospection directe non sollicitée. On peut considérer que la commande de chéquiers (souvent perçue comme un service distinct) fait partie des échanges de contenus entre un établissement bancaire et financier et son client.
949. « Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. Des décrets, pris après avis de la Commission nationale de l’informatique et des libertés, peuvent fixer les prescriptions techniques auxquelles doivent se conformer les traitements mentionnés au 2° et au 6° du II de l’article 8 ».
CHAPITRE IV La contractualisation d’opérations complexes 817. L’article 104 de la loi pour la République numérique950 a autorisé le Gouvernement à prendre par voie d’ordonnances les mesures législatives nécessaires à la conclusion (avec signature électronique éventuellement), à la remise, à la fourniture, à la mise à disposition ou à la communication des informations ou des documents relatifs à un contrat, et ce par voie électronique, sur un support durable et accessible par le client. Il conviendra de déterminer en quoi ces ordonnances à venir peuvent modifier un certain nombre d’usages, de comportements et autres règles dans le domaine de la banque et de l’assurance. En effet, les technologies de l’information ont envahi les agences bancaires, les courtiers d’assurance ou les commerciaux d’assurance. Désormais, les conseillers ou les courtiers présentent aux clients ou prospects des tablettes pour signer des contrats de plus en plus complexes. Cette mutation des pratiques vers une autonomisation du client et une recrudescence de la densité des échanges, a conduit à l’impérieuse nécessité d’un renforcement des mesures de sécurité techniques dans l’intérêt de l’ensemble des protagonistes (v. partie I, chapitre IV). Sans avoir pour objectif d’épuiser le sujet de la contractualisation sous forme électronique de tous les différents produits bancaires et d’assurance, trois opérations typiques méritent une attention particulière du fait de leur complexité et de leur représentativité : l’ouverture de comptes bancaires (section I), le contrat de crédit à la consommation (section II) et le contrat d’assurance (section III)
SECTION I OUVERTURE D’UN COMPTE DE DÉPÔT 818. Les conventions de compte de dépôt sont réglementées aux articles L. 312-1 et suivants du Code monétaire et financier. La digitalisation des conventions de compte de dépôt en agence est envisageable sous réserve du respect des exigences posées par les textes législatifs et réglementaires décrites infra.
950. Préc.
350 | B anque
et
a ssurance
digitales
§ 1 – Obligation d’information précontractuelle et contractuelle
819. Préalablement à la conclusion d’une convention de compte de dépôt, l’établissement bancaire doit fournir des informations relatives aux conditions générales et tarifaires applicables aux opérations relatives à la gestion du compte (CMF, art. L. 312-1-1 I, al. 1), et notamment concernant les conditions d’utilisation du compte, le prix des différents services auxquels il donne accès et les engagements réciproques de l’établissement bancaire et du client (CMF, art. R. 312-1). Ainsi l’article L. 312-1-1 I du Code monétaire et financier dispose : « I. – Les établissements de crédit sont tenus d’informer leur clientèle et le public sur les conditions générales et tarifaires applicables aux opérations relatives à la gestion d’un compte de dépôt, selon des modalités fixées par un arrêté du ministre chargé de l’Économie. La gestion d’un compte de dépôt des personnes physiques n’agissant pas pour des besoins professionnels est réglée par une convention écrite passée entre le client et son établissement de crédit ou les services financiers de La Poste. (...) Les principales stipulations que la convention de compte de dépôt doit comporter, notamment les conditions générales et tarifaires d’ouverture, de fonctionnement et de clôture, sont précisées par un arrêté du ministre chargé de l’Économie. Avant que le client ne soit lié par cette convention, l’établissement de crédit l’informe desdites conditions sur support papier ou sur un autre support durable. L’établissement de crédit peut s’acquitter de cette obligation en fournissant au client une copie du projet de convention de compte de dépôt (...) ». § 2 – Remise de l’offre de contrat
820. Le client est informé avant la conclusion de la convention de compte de dépôt des conditions générales et tarifaires d’ouverture, de fonctionnement et de clôture sur « support papier ou sur un autre support durable ». L’établissement bancaire pourra s’acquitter de cette obligation en fournissant au client une copie du projet de convention de compte de dépôt (art. L. 312-1-1 I, al. 6) sur un support durable (v. partie I, chapitre I, section III). § 3 – Acceptation du contrat / signature du client
821. Conformément à l’article L. 312-1-1 I, alinéa 8, du Code monétaire et financier, « la gestion d’un compte de dépôt des personnes physiques n’agissant pas pour des besoins professionnels est réglée par une convention écrite passée entre le client et son établissement de crédit ou les services financiers de La Poste ». Eu égard à cette exigence, les articles 1366 et 1367 du Code civil relatifs à l’écrit et la signature électroniques trouvent à s’appliquer.
la
contractualisation d ’ opérations complexes
| 351
Il est également envisageable que l’article 1174 du Code civil relatif à la validité d’un acte sous forme électronique soit applicable. La constatation par écrit de l’ouverture d’un compte de dépôt pourrait ne pas être considérée comme une simple règle probatoire mais comme une règle de forme considérant le fait qu’elle est destinée à éclairer le client. En outre, elle est réputée acceptée à compter de la signature de la convention par le ou les titulaires du compte (CMF, art. L. 312-1-1 I. al. 8). Enfin, le moment de signature doit être horodaté de manière fiable car des effets juridiques sont liés à ce moment. § 4 – Refus de souscription du contrat
822. L’article R. 312-3 du Code monétaire et financier traite du cas où l’établissement bancaire refusera une demande écrite d’ouverture de compte. « (…) ce refus doit être formulé par écrit. L’avis de refus doit être remis à l’intéressé ou lui être adressé par lettre recommandée avec demande d’avis de réception ». En conséquence de quoi, l’écrit formulant le refus sera établi par écrit papier ou électronique avec une signature électronique et remis ou transmis au prospect par lettre recommandée avec demande d’avis de réception (ou par une lettre recommandée électronique). § 5 – L’exécution du contrat
823. L’exécution du contrat peut donner lieu à la mise en œuvre d’échanges via une messagerie sécurisée (sous réserve de la mise en place d’une convention de preuve reconnaissant la valeur juridique de pareils échanges et d’une parfaite information concernant la mise à disposition de documents engageant juridiquement). Ce type de messagerie sécurisée figure souvent au sein de l’espace de banque en ligne (ou d’assurance) du client. Mais cette messagerie peut également être prévue dans la convention de compte. Le client a le droit, pendant toute la relation contractuelle et s’il en fait la demande à l’établissement de crédit, de recevoir les conditions contractuelles sur un support papier ou sur un autre support durable (CMF, art. L. 312-1-1-IV). Par ailleurs, en cas de fourniture de nouvelles prestations de services de paiement non prévues dans le cadre de la convention de compte de dépôt, l’établissement bancaire sera tenu de fournir les informations relatives à ces nouvelles prestations. L’acte consistera, selon les dispositions de l’article L. 312-1-1 I, alinéa 9, du Code monétaire et financier : – soit en un contrat-cadre de services de paiement qui comportera les « informations et les conditions sur le prestataire de services de paiement, sur l’utilisation d’un service de paiement, sur les frais, les taux d’intérêt et les taux de change, sur la communication entre l’utilisateur
352 | B anque
et
a ssurance
digitales
et le prestataire de services de paiement, sur les mesures de protection et les mesures correctives, sur la modification et la résiliation du contratcadre et sur les recours » (CMF, art. L. 314-12). Le client est informé avant la conclusion du contrat par écrit ou sur un support durable par la remise de la copie du projet de contrat (CMF, art. L. 314-13). – soit en une modification de la convention de compte de dépôt : le projet pourra être communiqué « sur support papier ou sur un autre support durable au plus tard deux mois avant la date d’application envisagée ». Le client doit être informé du fait que la modification sera réputée acceptée en cas de silence de sa part à la date d’entrée en vigueur proposée ainsi que de sa possibilité de résilier la convention de compte de dépôt en cas de refus de la modification (CMF, art. L. 312-1-1-II). Le fait de prévoir que des échanges pourraient être établis via une messagerie sécurisée (prévue sur l’espace sécurisé du compte client) pour l’exécution du contrat (avenant, modification de taux, incident, réclamation…) constituerait un poste éventuel d’économie. § 6 – Sanctions
824. L’article L. 351-1 du Code monétaire et financier prévoit une amende fiscale en cas de non-respect de certaines de ces obligations : « Est puni d’une amende fiscale de 75 euros le fait de méconnaître l’une des obligations mentionnées aux deuxième, troisième, quatrième et septième alinéas du I de l’article L. 312-1-1, à l’article L. 314-12 et au II de l’article L. 314-13. Cette amende est prononcée et recouvrée suivant les règles applicables à la taxe sur la valeur ajoutée. Le contentieux est suivi par l’administration qui a constaté l’infraction. Est puni de la peine d’amende prévue pour les contraventions de la cinquième classe le fait de méconnaître l’une des obligations mentionnées au premier alinéa du I, au II de l’article L. 312-1-1 et au VII de l’article L. 314-13 ou l’une des interdictions édictées au I de l’article L. 312-1-2 ». D’autres produits ou services sont souscrits désormais par voie électronique. Chacun dispose d’un régime spécifique qui doit être étudié à l’aune des pratiques de digitalisation, mais aussi des pratiques de chaque autorité en charge de leur régulation (ACPR, CNIL, ARCEP, DGCCRF). À côté d’un droit dur représenté par les lois et textes réglementaires, une multiplicité de « soft law » (droit mou)951, à savoir les doctrines des autorités en charge de la régulation, se développe parfois de façon contradictoire. 951. V. E. Jouffin, « Le droit mou est-il en train de durcir ? Brèves réflexions au sujet de la soft law bancaire et de sa disparition », in Mélanges AEDBF-France VI (ss dir. A. Gourio et J.-J. Daigre), RB Édition, 2013, p. 265.
la
contractualisation d ’ opérations complexes
| 353
SECTION II LA CONCLUSION D’UN CONTRAT DE CRÉDIT À LA CONSOMMATION 825. C’est autour d’un produit emblématique de l’activité bancaire, le contrat de crédit à la consommation que les premières expériences de contractualisation en ligne ont été menées (ex. : Sofinco, Finaref…). Bien que les obstacles au recours à ce type de contrat se soient multipliés au rythme des lois protectrices des intérêts des consommateurs952 et que la situation financière soit particulièrement préoccupante, le recours au crédit reste un élément décisif de la réalisation des projets immobiliers et de consommation. 46,5 % des ménages détenaient un crédit à la consommation en 2015 contre 52,6 % en 2008953, compte tenu d’un environnement macroéconomique guère propice à la réalisation des projets de consommation durable (électroménager, automobile et motocycle, travaux d’amélioration du logement). Le succès de la digitalisation du contrat de crédit à la consommation se manifeste également avec l’émergence de jurisprudences venant préciser les attentes des juges en matière d’écrits sous forme électronique. 826. À ce titre, dans un arrêt en date du 14 février 2013, la Cour d’appel de Nancy954 a jugé qu’une action en paiement intentée par Carrefour Banque n’était pas forclose sur la base d’un avenant signé électroniquement par un de ses clients. Dans les faits, le signataire a utilisé un certificat à usage unique pour souscrire en ligne l’avenant du crédit renouvelable (le contrat initial et deux avenants avaient été souscrits de manière traditionnelle sur support papier). Le client n’ayant pas remboursé les échéances dues, Carrefour Banque avait présenté devant le tribunal d’instance955, l’avenant imprimé sur support papier (censé représenter l’avenant électronique). L’impression de cet avenant originellement électronique était à elle seule insuffisante pour s’assurer de l’engagement de l’emprunteur puisqu’aucun élément de la prétendue signature électronique ne figurait sur cette impression. Il n’y avait donc aucune garantie d’authenticité, ni de justification de la sécurisation employée. En l’espèce, au regard de l’administration de la 952. P. Bouteiller, « La réforme du crédit à la consommation. Premières observations et difficultés quant à la mise en œuvre des dispositions de la loi n° 2010-737 du 1er juillet 2010 », Rev. Lamy dr. aff. 2011, n° 62, act. 3548, p. 52 ; v. Legrand, « Le volet crédit de la loi “Consommation” » : Contrats, conc., consom. 2014, dossier 7. 953. 28e rapport de l’Observatoire des crédits au ménage, disponible à l’adresse : http://www.fbf. fr/fr/files/AAWJAW/Rapport-annuel-observatoire-credits-menages-1ere-partie-2016.pdf. 954. CA Nancy, ch. civ. 2, 14 févr. 2013, n° 12/01383, Sté Carrefour Banque c/ X. : Juris-Data n° 2013004062 ; JCP éd. G 2013, 281, note I. Renard ; v. également É. A. Caprioli, « Première décision sur la preuve et la signature électronique d’un contrat de crédit à la consommation », JCP éd. G, n° 18, 29 avril 2013, comm. 497 ; v. égal. É. A. Caprioli, « Première décision sur la preuve et la signature électroniques d’un contrat de crédit à la consommation » ; Com. com. électr. 2013, étude 11. 955. TI Épinal, 12 déc. 2011, n° 11/000080 : Juris-Data n° 2011-035112 ; Com. com. électr. 2013, comm. 47, obs. É. A. Caprioli.
354 | B anque
et
a ssurance
digitales
preuve, la décision prononçant la forclusion, en raison de l’absence de validité de l’avenant signé par voie électronique, était pleinement justifiée. Ce raisonnement n’est pas repris par la cour d’appel qui, disposant du fichier de preuve et d’une attestation du prestataire de services de certification, a considéré que la mention du numéro de l’avenant sur le fichier de preuve permettait de vérifier que c’est bien cet avenant qui a été signé électroniquement par le client en question. La preuve de la signature électronique de l’avenant est donc rapportée. Ainsi, l’établissement du lien existant entre le numéro de l’avenant figurant dans le fichier de preuve et l’avenant (certainement produit sous la forme d’une impression papier comme en première instance) constituait un élément important de la vraisemblance de la preuve956. Il est donc important de faire le lien entre le fichier de preuve contenant le document comportant la signature de l’emprunteur et le document imprimé – sans signature – représentant les dispositions contractuelles de l’avenant en question. Par conséquent, le fait de disposer de ce lien de gestion documentaire et de l’attestation du prestataire qui a fourni la signature et le certificat permettait d’assurer la recevabilité de la preuve de l’avenant électronique. La fiabilité de la signature électronique n’était pas remise en cause dans cette décision étant donné que le client, n’ayant pas été représenté à l’audience, ne l’a pas contestée. De sorte que les questions relatives à la présomption de fiabilité de la signature et de la charge de la preuve ne se posaient pas dans la présente affaire. 827. Une autre affaire reprenant des faits similaires et arrivant à la même conclusion a été traitée par la Cour d’appel de Douai le 2 mai 2013957. Conformément aux articles L. 312-1 et suivants du Code de la consommation, le recours au crédit à la consommation recouvre toutes les opérations de prêt consenties par des personnes physiques ou morales à titre onéreux ou gratuit au profit d’un consommateur. L’article préliminaire du Code de la consommation définit le consommateur comme « toute personne physique qui agit à des fins qui n’entrent pas dans le cadre de son activité commerciale, industrielle, artisanale, libérale ou agricole »958. 956. D. Ammar, « Preuve et vraisemblance, contribution à l’étude de la preuve technologique », RTD civ. 1993, p. 499. 957. CA Douai, 8e ch., 1re sect., 2 mai 2013, n° 12/05299. La cour d’appel mentionne : « Que la société Monabanq produit aux débats un avenant intitulé “avenant électronique à votre contrat Complicio” en date du 10 mars 2009 portant ce montant à la somme de 6 500 euros ; Que figure sur ce document la signature BOPRCC-MONABANQAUG16468889933-2009.3.10-13.25.26-159 ; Que Madame Marie-Françoise D., qui n’a pas constitué avocat, n’a pas entendu dénier cette signature électronique ; Qu’il s’ensuit que la preuve se trouve ainsi rapportée de ce que Madame Marie-Françoise D. a signé le 10 mars 2009 sous forme électronique un avenant portant le montant du crédit disponible à la somme de 6 500 euros ». Com. com. électr., févr. 2014, comm. 22, note É. A. Caprioli. 958. G. Raymond, « Définition légale du consommateur par l’article 3 de la loi n° 2014-344 du 17 mars 2014 » : Contrats, conc., consom. 2014, dossier 3. G. Paisant, « Vers une définition
la
contractualisation d ’ opérations complexes
| 355
828. Partant de ces définitions qui prêtent encore le flanc à la critique, il sera ici question d’étudier comment et à quelles conditions, ces opérations bancaires peuvent être conclues par voie électronique, à l’exclusion des grands principes de la digitalisation étudiés supra. D’un point de vue pratique, plusieurs formules sont proposées dans le cadre de l’offre de crédit à la consommation : soit en ligne puis formalisée en agence ou par un envoi de pièces imprimées et signées manuellement959, soit uniquement en ligne, ou encore sur le point de vente (commerce ou agence). Préciser les conditions de digitalisation du contrat de crédit à la consommation revient à déterminer les différentes étapes de la cinématique en fonction des différents textes applicables (Code civil, Code de la consommation, Code monétaire et financier, Loi « Informatique, Fichiers et Libertés »…). § 1 – L’information précontractuelle du consommateur
829. Après la phase d’authentification proprement dite (v. partie II, chapitre I, section I), de manière traditionnelle, l’établissement de crédit est soumis à une obligation précontractuelle d’information sans cesse renforcée par les textes législatifs et réglementaires. En effet, ce dernier doit mettre en garde son client potentiel quant aux risques relatifs à ce type d’instrument, et il s’agit sans nul doute d’un des moyens d’engager la responsabilité de l’établissement de crédit les plus utilisés, comme en témoigne une jurisprudence foisonnante960. En quoi consiste-t-elle961 ? Conformément à l’article L. 312-12 du Code de la consommation, elle prend la forme d’une fiche contenant les informations nécessaires à la comparaison de différentes offres et permettant à l’emprunteur, compte tenu de ses préférences, d’appréhender clairement l’étendue de son engagement, et ce par écrit ou sur un autre support durable962. En outre, elle doit comporter vingt et une mentions obligatoires telles que prévues à l’article R. 312-2 du Code de la consommation ainsi que la mention en caractères lisibles, figurant au dernier alinéa de l’article L. 312-5 du Code de la consommation : « Un crédit vous engage et doit être remboursé. Vérifiez vos capacités de remboursement avant de vous engager ».
959. 960. 961.
962.
générale du consommateur dans le Code de la consommation » : JCP éd. G, 2013, I, 589 ; G. Raymond, « Définir le consommateur » : Contrats, conc., consom. 2013, repère 9. V. partie I, chapitre I. La loi n° 2017-203 du 21 février 2017 n’a pas changé cette définition figurant dans l’article préliminaire Cette dernière hypothèse ne sera pas étudiée, celle-ci renvoyant au cadre classique de la vente à distance. V. en ce sens, D. Legeais, « Responsabilité du banquier, service du crédit », Fasc. 151, J.-Cl. Banque – Crédit – Bourse, 17 sept. 2014, § 5 et s. L’objectif de ces développements n’est pas d’effectuer une liste exhaustive des mentions obligatoires, ni de certaines situations spécifiques (comme, par exemple, le cas où le prêteur offre à l’emprunteur ou exige de lui la souscription d’une assurance tel que visé à l’article L. 312-12, dernier alinéa) mais de déterminer comment la formalité peut être remplie par voie électronique. Pour une définition et une analyse de la notion de support durable, v. Cabinet Caprioli & Associés (ouvrage collectif), La banque en Ligne et le droit, RB Édition, 2014, p. 85 et s.
356 | B anque
et
a ssurance
digitales
Une autre fiche prévue à l’article L. 312-17 du Code de la consommation doit également être intégrée dans la cinématique « lorsque les opérations de crédit sont conclues sur le lieu de vente ou au moyen d’une technique de communication à distance ». Cette fiche, établie elle aussi par écrit ou sur un autre support durable, comporte les éléments relatifs aux ressources et charges de l’emprunteur ainsi que, le cas échéant, aux prêts en cours contractés par ce dernier. Elle doit être « signée ou son contenu confirmé par voie électronique par l’emprunteur et contribue à l’évaluation de sa solvabilité par le prêteur. Les informations figurant dans la fiche doivent faire l’objet d’une déclaration certifiant sur l’honneur leur exactitude. Cette fiche est conservée par le prêteur pendant toute la durée du prêt. Si le montant du crédit accordé est supérieur à un seuil défini par décret963, la fiche doit être corroborée par des pièces justificatives dont la liste est définie par décret964 ». 830. On sait l’importance de la remise de ces fiches965, leur non-communication étant sanctionnée de la déchéance du droit aux intérêts966 (C. consom., art. L. 341-1) au même titre que la non-remise du contrat. C’est pourquoi les établissements de crédit doivent toujours être en mesure de démontrer que cette remise est bien effective, notamment dans le cadre d’une souscription par voie électronique. Une décision récente de la CJUE967 rappelle, en effet, que la preuve de l’exécution des obligations d’information et de vérification de la solvabilité incombe au prêteur lequel est relativement libre de la façon dont il procède à cette vérification mais aussi de la façon dont il communique les informations obligatoires à l’emprunteur. Ainsi, les dispositions de la directive n° 2008/48 dont il est fait état dans cette décision « s’opposent à ce que, en raison d’une clause type, le juge doive considérer que le consommateur a reconnu la pleine et correcte exécution des obligations précontractuelles incombant au prêteur, cette clause entraînant ainsi un renversement de la charge de la preuve de l’exécution desdites obligations (…) ». Une clause type figurant dans le contrat n’est donc pas suffisante, l’emprunteur devant attester de la remise qui lui a été faite de la fiche d’informations européennes normalisées968. Un acte positif de ce dernier est donc à rapporter (case à cocher, signature électronique…).
963. 3 000 euros au sens de l’article D. 312-7 du Code de la consommation. 964. Conformément à l’article D. 312-8, il s’agit des pièces suivantes : 1° Tout justificatif du domicile de l’emprunteur ; et 2° Tout justificatif du revenu de l’emprunteur ; et 3° Tout justificatif de l’identité de l’emprunteur ; pièces devant être à jour au moment de l’établissement de la fiche. 965. H. Claret, « Les obligations d’information du prêteur professionnel après la réforme du crédit à la consommation », Contrats, conc., consom. 2011, étude 14. 966. V. à la suite de la jurisprudence récente de la CJUE rendue le 27 mars 2014, aff. C-565-12, G. Poissonnier, « Crédit à la consommation : la déchéance du droit aux intérêts doit être une sanction dissuasive », Contrats, conc., consom. 2014, étude 9. 967. CJUE, 4e ch. 18 déc. 2014, aff. C-449/13, CA Consumer Finance : Juris-Data n° 2014-033776. V. également S. Cazet, « Crédit à la consommation », Europe 2015, comm. 84. 968. V. § 28 de la décision.
la
contractualisation d ’ opérations complexes
| 357
Le formalisme étant essentiel dans cette matière, à côté de ces fiches d’information, l’établissement de crédit doit prévoir un exemplaire de l’offre de contrat969 qui pourra être reçue par l’emprunteur sans frais et à sa demande970. § 2 – Offre de crédit
831. Bien que l’instauration de fiches d’informations lors de la période précontractuelle ait vidé d’une partie de sa substance l’offre de crédit, elle reste un élément de forme et de fond dont le non-respect est sanctionné comme l’énonce l’article L. 341-4 du Code de la consommation. Mais à la différence de ce qui existe pour le droit commun des contrats, le Code de la consommation impose des règles particulières pour l’offre de crédit à la consommation. Elle s’analyse sur le fond comme une promesse unilatérale de prêt, établie sous la réserve de l’agrément du prêteur. Mais c’est d’un point de vue formel que la digitalisation a un impact sur cette exigence. L’article L. 312-18 du Code de la consommation énonce en effet qu’elle doit être établie par écrit ou sur un autre support durable (v. partie I, chapitre I, section III) et remise ou adressée en autant d’exemplaires que de parties et, le cas échéant, à chacune des cautions. Ce point est important puisqu’il conditionne le maintien du contenu971 de l’offre pendant une durée minimale de quinze jours à compter de ladite remise ou dudit envoi. Dès lors, il est important que soit conservée la trace horodatée de cet événement (remise ou envoi de l’offre) dans le système d’information de l’établissement de crédit ou, de manière plus opportune, dans le fichier de preuve relatif au contrat finalisé, et ce pour faire partir les effets de l’offre. À défaut, le délai de quinze jours pendant lequel seront maintenues les conditions de l’offre pourrait être étendu au-delà de cette période, ce qui est un élément d’incertitude économique pour l’établissement de crédit. L’acceptation de l’offre, dès lors que l’emprunteur a été agréé, entraîne la formation du contrat, contrat auquel le Code de la consommation consacre désormais les articles L. 312-18 à L. 312-27.
969. L’information dispensée au consommateur par le biais de l’offre préalable de crédit était apparue comme insuffisante pour offrir une protection, de par son caractère trop standardisé ; E. Bazin, « Le devoir du prêteur d’éclairer l’emprunteur consommateur sur les risques encourus lors de la conclusion d’un crédit » : Rev. Lamy dr. aff. 2007, 19, n° 5, n° 7 et n° 12. 970. C. consom., art. L. 312-13. 971. L’offre devrait contenir toutes les mentions imposées pour le contrat par l’article R. 312-10 du Code de la consommation. Elle comporte notamment un formulaire détachable permettant l’exercice par le consommateur de son droit de rétractation.
358 | B anque
et
a ssurance
digitales
§ 3 – Conclusion du contrat de crédit A.
Les règles de droit commun applicables
832. Rappelons avant tout que le contrat de crédit à la consommation est un contrat de prêt de somme d’argent, relevant en partie des règles prévues par les articles 1905 et suivants du Code civil, n’ayant plus la nature de contrat réel dès lors qu’il est consenti par un professionnel du crédit972. Toutefois, les règles du droit commun de la formation des contrats s’appliquent également au contrat de crédit à la consommation973. B.
Les règles dérogatoires du Code de la consommation
833. L’originalité du crédit à la consommation tient à l’existence d’un corps de règles dérogatoires au droit commun figurant dans le Code de la consommation qui a pour but d’amener le consommateur à donner un consentement véritablement éclairé : l’article L. 312-28 du Code de la consommation précise que le contrat de crédit est établi par écrit, qu’il doit être distinct de tout support ou document publicitaire ainsi que de la fiche de renseignements relative aux caractéristiques du crédit. L’article L. 312-28 n’exige pas que ce contrat soit différent de l’offre. Il doit être rédigé dans une police de caractères dont la taille ne peut pas être inférieure au corps 8974 avec un encadré, en début de contrat, destiné à informer l’emprunteur sur les caractéristiques essentielles du contrat dont le contenu est défini à l’article R. 312-10. Il est donc essentiel de prévoir dans la cinématique la forme exacte du contrat de crédit à la consommation (par exemple format PDFf sans champ caché). L’emprunteur devra signer ce qu’il voit à l’écran et rien de plus ; c’est la règle technique du « What You See Is What You Sign ». 834. De plus, la formation du contrat est subordonnée à une double condition975 : ledit emprunteur ne doit pas avoir usé de sa faculté de rétractation et le prêteur doit fait connaître à l’emprunteur sa décision d’accorder le crédit. L’horodatage 972. Cass. civ. 1re, 28 mars 2000, Bull. civ. I, 105 ; D. 2000, 482, note S. Piedelièvre. 973. G. Raymond, Fasc. 719 : « Crédit à la consommation – Régime de la loi n° 2010-737 du 1er juillet 2010 », J.-Cl. Banque – Crédit – Bourse, 18 févr. 2014, § 10 et S. 974. Attention. Les juges ont souvent décidé que cette taille de police était importante y compris sur smartphone. Une décision de la Cour d’appel de Paris du 15 janvier 2015 (n° 14/03 029, SA LASER COFINOGA c/ Monsieur Bernard AIME, inédit) énonce que l’offre de crédit n’est pas suffisamment lisible dans la mesure où elle n’a pas été rédigée en caractères dont la hauteur soit au moins égale à celle du corps 8 contrairement aux prescriptions de l’article R. 311-6 du Code de la consommation dans sa rédaction applicable au moment de la conclusion du contrat. Il est constant que le corps 8 correspond à 3 mm en point Didot et en application de ce texte, il convient de mesurer le corps d’une lettre de la tête des lettres montantes à la queue des lettres descendantes. La cour, après avoir mesuré la hauteur en millimètres d’un paragraphe du haut des lettres montantes de la première ligne au bas des lettres descendantes de la dernière ligne, a divisé la hauteur en millimètres de ce paragraphe soit 31 mm par le nombre de lignes qu’il contient soit 11 et a ainsi obtenu un quotient étant égal à 2,81 millimètres équivalent à celui constaté par le premier juge. 975. C. consom., art. L. 312-24.
la
contractualisation d ’ opérations complexes
| 359
du moment de la signature est donc à prévoir, et ce afin de faire courir les délais tant de rétractation pour l’emprunteur que d’acceptation du crédit pour l’établissement de crédit. À compter de ce moment, les actions positives (envoi d’un formulaire de rétractation ou acceptation du crédit) devront être tracées et pouvoir préconstituer une preuve. Notons ici que l’emprunteur dispose, en application de l’article L. 312-19 du Code de la consommation, d’un délai de rétractation de « 14 jours calendaires révolus à compter du jour de l’acceptation de l’offre de contrat de crédit », c’est-à-dire de la signature du contrat présenté à l’écran (v. partie I, chapitre I). § 4 – Remise du contrat de crédit
835. Le contrat de crédit à la consommation doit être remis à l’emprunteur une fois la signature effectuée. À ce titre, la pratique de l’envoi d’un e-mail contenant le contrat à une adresse de courrier électronique déclarée par l’emprunteur ne permet pas de s’assurer de l’effectivité de la remise du contrat (cf. partie II, chapitre I, section I § 4). § 5 – Archivage / accessibilité du contrat de crédit
836. Une fois le contrat de crédit à la consommation établi, son archivage doit être assuré (cf. partie II, chapitre I, section II). Il est important ici de disposer d’un espace client adapté afin d’y remettre le contrat signé à la disposition du client.
SECTION III LA SOUSCRIPTION D’UN CONTRAT D’ASSURANCE 837. Suite au déploiement progressif des contrats bancaires, les sociétés d’assurance ont suivi le mouvement de digitalisation. La Cour de cassation a ainsi jugé de la souscription sous forme électronique d’une assurance complémentaire976. En l’espèce, un particulier (Monsieur X) avait adhéré en ligne à une assurance complémentaire de santé et la société Alptis avait obtenu sa condamnation à payer un certain montant par jugement du juge de proximité de Montpellier du 11 février 2014. M. X s’est pourvu en cassation contre ce jugement au motif qu’il contestait avoir signé la demande d’adhésion, donc qu’il déniait sa signature. La motivation retenue par la Cour est conforme aux textes visés dans le moyen du pourvoi (article 1316-1 et 1316-4 du Code civil ; article 287 du Code de procédure civile) : « Mais attendu que le jugement retient que la demande d’adhésion sous forme électronique a été établie et conservée dans des conditions de nature à 976. Cass. civ., 6 avr. 2016, n° 15-10.732, inédit, JCP éd. G. 2016, 783, note É. A. Caprioli.
360 | B anque
et
a ssurance
digitales
garantir son intégrité, que la signature a été identifiée par un procédé fiable garantissant le lien de la signature électronique avec l’acte auquel elle s’attache, et que la demande d’adhésion produite à l’audience porte mention de la délivrance de ce document par la plate-forme de contractualisation en ligne Contraleo, permettant une identification et une authentification précise des signataires en date du 25 mai 2011 ; qu’ayant ainsi effectué la recherche prétendument omise, la juridiction de proximité a légalement justifié sa décision ». Ainsi, la valeur juridique de la signature électronique est désormais reconnue au plus haut niveau juridictionnel (même si la décision n’est pas publiée au Bulletin), sous réserve que les cinématiques mises en place par les sociétés d’assurance respectent bien les exigences posées dans le Code des assurances. Chaque étape du processus de contractualisation a son importance et répond à des règles précises. § 1 – Notices précontractuelles
838. Avant la conclusion du contrat, intervient une phase d’information du souscripteur éventuel auquel l’assureur doit fournir une fiche d’information sur le prix et les garanties et remettre un exemplaire du projet de contrat et de ses pièces annexes ou une note d’information sur le contrat. Ainsi, l’article L. 112-2, alinéas 1 et 2, du Code des assurances dispose : « L’assureur doit obligatoirement fournir une fiche d’information sur le prix et les garanties avant la conclusion du contrat. Avant la conclusion du contrat, l’assureur remet à l’assuré un exemplaire du projet de contrat et de ses pièces annexes ou une notice d’information sur le contrat qui décrit précisément les garanties assorties des exclusions, ainsi que les obligations de l’assuré. Les documents remis au preneur d’assurance précisent la loi qui est applicable au contrat si celle-ci n’est pas la loi française, les modalités d’examen des réclamations qu’il peut formuler au sujet du contrat et de recours à un processus de médiation dans les conditions prévues au titre V du livre I du Code de la consommation, sans préjudice pour lui d’intenter une action en justice, ainsi que l’adresse du siège social et, le cas échéant, de la succursale qui se propose d’accorder la couverture. Avant la conclusion d’un contrat comportant des garanties de responsabilité, l’assureur remet à l’assuré une fiche d’information, dont le modèle est fixé par arrêté, décrivant le fonctionnement dans le temps des garanties déclenchées par le fait dommageable, le fonctionnement dans le temps des garanties déclenchées par la réclamation, ainsi que les conséquences de la succession de contrats ayant des modes de déclenchement différents. Un décret en Conseil d’État définit les moyens de constater la remise effective des documents mentionnés à l’alinéa précédent. Il détermine, en outre, les dérogations justifiées par la nature du contrat ou les circonstances de sa souscription.
la
contractualisation d ’ opérations complexes
| 361
La proposition d’assurance n’engage ni l’assuré, ni l’assureur ; seule la police ou la note de couverture constate leur engagement réciproque. Est considérée comme acceptée la proposition, faite par lettre recommandée, de prolonger ou de modifier un contrat ou de remettre en vigueur un contrat suspendu, si l’assureur ne refuse pas cette proposition dans les dix jours après qu’elle lui est parvenue. Les dispositions de l’alinéa précédent ne sont pas applicables aux assurances sur la vie (…) ». Ces dispositions ne sont pas applicables aux « grands risques » définis par l’article L. 111-6 du Code des assurances. 839. La fiche d’information n’engage ni l’assuré, ni l’assureur. Elle n’est pas juridiquement une offre. C’est pourquoi l’inobservation de la remise n’entraîne aucune sanction autre que celles du droit commun : nullité du contrat si l’assuré établit que le défaut d’information a vicié son consentement ou dommagesintérêts s’il prouve que ce défaut lui a occasionné un préjudice. Avant la conclusion du contrat, intervient (article L. 112-2° du Code des assurances) la phase de transmission du projet de contrat accompagné des pièces annexes ou d’une notice d’information (documents adaptés aux risques dont le souscripteur sollicite la garantie). 840. De plus, spécifiquement pour les contrats d’assurance vie, l’article L. 132-5-2 du Code des assurances prévoit la remise, contre récépissé, par l’assureur d’une note d’information « sur les conditions d’exercice de la faculté de renonciation et sur les dispositions essentielles du contrat ». Notons également que l’ACPR a complété la recommandation ACPR n° 2013-R-01 portant sur le recueil des informations relatives à la connaissance du client dans le cadre du devoir de conseil en assurance vie le 14 novembre 2016977 par une annexe concernant le recueil via des interfaces numériques. Elle apporte des éléments de déclinaison opérationnelle des bonnes pratiques lorsque la commercialisation des contrats d’assurance est réalisée au moyen d’une interface numérique. Cette annexe porte sur les modalités du recueil et la traçabilité de l’information (partie IV.1), sur l’exploitation des informations (point 4.3) et sur les moyens et procédures mis en place (point 4.4). En outre, la proposition d’assurance ou le projet de contrat vaut note d’information, pour les contrats d’assurance comportant une valeur de rachat ou de transfert, lorsqu’un encadré, inséré en début de proposition d’assurance ou de projet de contrat, indique en caractères très apparents la nature du contrat. 977. Disponible à l’adresse : https://acpr.banque-france.fr/fileadmin/user_upload/acp/publications/ registre-officiel/20161116-Annexe_Reco_2013_R_01.pdf.
362 | B anque
et
a ssurance
digitales
841. Le défaut de remise des documents et informations prévus au présent article entraîne de plein droit la prorogation du délai de renonciation prévu à l’article L. 132-5-1 du Code de la consommation jusqu’au trentième jour calendaire révolu suivant la date de remise effective de ces documents, dans la limite de huit ans à compter de la date où le souscripteur est informé que le contrat est conclu978. L’ordonnance dont il est fait état à l’article 104 de la loi n° 2016-1321 du 7 octobre 2016979pour une République numérique devrait en traiter. 978. V. notamment Cass. civ. 2e, 25 févr. 2010, n° 09-11 352, Bull. civ. II, 2010, n° 43 : « Alors que d’une part, il résulte de l’article L. 132-5-1 du Code des assurances, dans sa rédaction issue de la loi du 4 janvier 1994, que l’assureur doit informer le souscripteur d’un contrat d’assurance vie de la faculté de renonciation qui lui est offerte, en lui précisant les modalités d’exercice de cette faculté et en lui fournissant un modèle de lettre de renonciation ; que, selon le texte, l’information relative à la renonciation doit être contenue dans une note d’information distincte des conditions générales, et la proposition d’assurance doit comprendre un modèle de lettre de renonciation ; que l’obligation d’information de l’assureur est ainsi remplie lorsque ce dernier a remis à l’assuré une proposition d’assurance à laquelle est matériellement attachée la note d’information visée par la loi, comportant les modalités d’exercice et le projet de lettre de renonciation ; qu’en l’espèce, la compagnie GAN VIE a remis à Monsieur X. une proposition d’assurance comportant un volet détachable correspondant à la note d’information requise par l’article L. 132-5-1 du Code des assurances, dans sa rédaction applicable en la cause ; que pour juger néanmoins que Monsieur X. n’aurait pas été informé de sa faculté de renonciation dans les formes requises par la loi, la cour d’appel a retenu que seule la proposition d’assurance avait été soumise à la signature de l’assuré et que l’assureur ne pouvait utilement se prévaloir de ce que la note d’information faisait partie intégrante de la proposition d’assurance, la loi imposant deux documents distincts comportant des informations différentes ; qu’en se prononçant ainsi, en l’état d’une proposition d’assurance comportant un volet détachable, qui fait corps avec elle, correspondant à la note d’information visée par la loi et reproduisant un modèle de lettre de renonciation, la cour d’appel a violé l’article L. 132-5-1 du Code des assurances, dans sa rédaction applicable en la cause ; ALORS QUE, D’AUTRE PART, ET EN TOUT ÉTAT DE CAUSE, nul ne peut se contredire au détriment d’autrui ; qu’il résulte de l’article L. 132-5-1 du Code des assurances, dans sa rédaction issue de la loi du 4 janvier 1994, que l’assuré dispose d’une faculté de renonciation au contrat d’assurance vie qu’il a souscrit, qu’il peut exercer dans les 30 jours à compter du premier versement ; qu’afin de garantir l’effectivité de cette faculté, le texte impose à l’assureur d’informer l’assuré sur la faculté de renonciation qui lui est offerte, en lui précisant les modalités d’exercice de cette faculté et en lui fournissant un modèle de lettre de renonciation, à la fois dans la proposition d’assurance et dans une note d’information distincte des conditions générales ; qu’il en résulte que l’assuré ne peut, sauf à se contredire et commettre ainsi un abus de droit, exercer cette faculté de renonciation, fût-elle discrétionnaire, après le délai initial de 30 jours, dès lors qu’il a été complètement informé de cette faculté par l’assureur à l’occasion de la transmission d’une note d’information matériellement rattachée à la proposition d’assurance et de la remise des conditions générales ; qu’en l’espèce, la cour d’appel a retenu que la société GAN ASSURANCES VIE avait rempli son obligation d’information précontractuelle vis-à-vis de l’assuré, en lui délivrant une note d’information, distincte des conditions générales, comportant les modalités de renonciation ainsi qu’un modèle de lettre de renonciation ; qu’elle ne pouvait dès lors admettre le bien-fondé de l’action en remboursement exercée par Monsieur X.. plusieurs années après la souscription du contrat, tandis qu’il avait été parfaitement informé par l’assureur de sa faculté de renonciation dès la souscription du contrat ; que l’exercice de cette faculté n’était pas cohérent avec sa parfaite connaissance des modalités de la renonciation qui n’a pas été mise en œuvre dans le délai de 30 jours à compter de la souscription ; qu’en considérant néanmoins que l’assuré avait valablement exercé sa faculté de renonciation, la cour d’appel a violé l’article L. 132-5-1 du Code des assurances ». 979. JO 8 oct. 2016.
la
contractualisation d ’ opérations complexes
| 363
Pour le cas des contrats d’assurance individuelle comportant des valeurs de rachat, d’un contrat de capitalisation, ou avant l’adhésion à un contrat mentionné à l’article L. 132-5-3 ou à l’article L. 441-1, l’article L. 132-27-1 du Code des assurances prévoit également avant la conclusion du contrat, « l’entreprise d’assurance ou de capitalisation précise les exigences et les besoins exprimés par le souscripteur ou l’adhérent ainsi que les raisons qui motivent le conseil fourni quant à un contrat déterminé (…) ». § 2 – Transmission de la proposition d’assurance émanant du souscripteur
842. L’entreprise d’assurance reçoit une « proposition d’assurance » remplie par le souscripteur éventuel et qui comporte un formulaire de déclaration du risque, le « proposant » devant répondre exactement aux questions posées par l’assureur sur les circonstances qui sont de nature à permettre à ce dernier d’apprécier les risques qu’il prend en charge (article L. 113-2-2° du Code des assurances). L’entreprise d’assurance demandera un délai pour l’examiner et se prononcer. Le contrat ne sera conclu que par son acceptation expresse. La proposition n’est nullement en elle-même le contrat qui suivra980. Elle fait partie encore de la phase précontractuelle981. § 3 – Établissement de la police d’assurance par la société d’assurance
843. Les mentions obligatoires (conformément à l’article L. 111-2 du Code des assurances) devant figurer dans tout contrat d’assurance sont fixées à l’article L. 112-4 du même code :
980. L’article L. 112-2, alinéa 4, du Code des assurances énonce : « La proposition d’assurance n’engage ni l’assuré, ni l’assureur ; seule la police ou la note de couverture constate leur engagement réciproque ». 981. Mais elle sera utile pour interpréter le contrat dont elle est le fruit : Cass. civ. 1re, 7 juill. 1993, n° 91-17.721, inédit : « Attendu qu’il est encore fait grief à l’arrêt d’avoir condamné l’assureur à garantie alors, selon le moyen, qu’il résulte tant des termes clairs et précis de la police d’assurance que des conclusions de la compagnie que le contrat signé par les parties couvrait seulement l’activité de garagiste de M. X.., et non son activité d’installateur de matériel servant à l’alimentation du bétail ; qu’en fondant sa décision sur la proposition d’assurance, qui n’engageait ni l’assuré, ni l’assureur, la cour d’appel a dénaturé les documents précités et violé les articles L. 112-2, alinéa 1, du Code des assurances, et 1134 du Code civil ; Mais attendu que les juges du second degré ont relevé que, selon la proposition d’assurance, les activités de M. X.. comprenaient celle de “réparation de matériel agricole” et d’“installation chez les souscripteurs” ; que le contrat établi à la suite de cette proposition et produit devant la Cour de cassation énonce, dans ses conditions générales, que l’assurance a été spécialement étudiée pour répondre aux besoins des professionnels de l’automobile… et de certains engins de chantier ou machines agricoles, et, dans ses conditions particulières, que l’assuré a, entre autres activités, celle de réparateur de machines agricoles ; que le rapprochement de ces clauses rendait leur interprétation nécessaire, d’où il suit que le grief de dénaturation n’est pas fondé ».
364 | B anque
et
a ssurance
digitales
« La police d’assurance est datée du jour où elle est établie. Elle indique : – les noms et domiciles des parties contractantes ; – la chose ou la personne assurée ; – la nature des risques garantis ; – le moment à partir duquel le risque est garanti et la durée de cette garantie ; – le montant de cette garantie ; – la prime ou la cotisation de l’assurance. La police indique en outre : – la loi applicable au contrat lorsque ce n’est pas la loi française ; – l’adresse du siège social de l’assureur et, le cas échéant, de la succursale qui accorde la couverture ; – le nom et l’adresse des autorités chargées du contrôle de l’entreprise d’assurance qui accorde la couverture ». Cette disposition est complétée par l’article R. 112-1 du Code des assurances. § 4 – Preuve de la remise
844. L’information incombe à l’entreprise d’assurance. Ce sera à elle de démontrer qu’elle a bien informé le souscripteur des conditions générales et spéciales d’assurance982. De manière générale, l’article L. 112-2, alinéa 3, du Code des assurances délègue au pouvoir réglementaire le soin de définir « les moyens de constater la remise effective des documents mentionnés ». C’est ainsi que la remise des informations précontractuelles est constatée par une mention signée et datée par le souscripteur apposée au bas de la police, par laquelle celui-ci reconnaît avoir reçu au préalable ces documents et précisant leur nature et la date de leur remise (article R. 112-3 du Code des assurances). Une signature électronique devrait permettre d’établir cette remise983. 982. Cass. civ. 1re, 28 mars 2008, n° 07-10807, inédit (pour une opération bancaire). 983. Ce point sera à étudier en fonction de l’ordonnance prévue à l’art. 104 de la Loi pour la République numérique : « I. – Dans les conditions prévues à l’article 38 de la Constitution, le Gouvernement est autorisé à prendre par ordonnance les mesures relevant du domaine de la loi permettant, par voie dématérialisée sur un support durable et accessible au client, de remettre, fournir, mettre à disposition ou communiquer des informations ou des documents relatifs à un contrat régi par le Code monétaire et financier, le Code des assurances, le Code de la mutualité, le titre III du livre IX du Code de la sécurité sociale ou le livre III du Code de la consommation, ainsi que de conclure ou de modifier ces contrats, le cas échéant via une
la
contractualisation d ’ opérations complexes
| 365
Sur le fondement de l’article L. 112-2 du Code des assurances, combiné aux articles L. 112-3 et L.112-4, la Cour de cassation a indiqué : « qu’il résulte de ces textes que lorsque l’assureur subordonne sa garantie à la réalisation d’une condition, il doit rapporter la preuve qu’il a précisément porté cette condition à la connaissance de l’assuré »984. (V. partie I, chapitre I) 845. En matière d’assurance-vie, l’article L. 132-5-2 du Code des assurances prévoit : « Avant la conclusion d’un contrat d’assurance sur la vie ou d’un contrat de capitalisation, par une personne physique, l’assureur remet à celle-ci, contre récépissé, une note d’information sur les conditions d’exercice de la faculté de renonciation et sur les dispositions essentielles du contrat ». § 5 – Signature du contrat d’assurance
846. Le contrat d’assurance985 est un contrat synallagmatique aléatoire, conclu à titre onéreux, à exécution successive puisque sa durée s’échelonne dans le temps. Il est aussi rangé parmi les contrats d’adhésion puisqu’il est rédigé par
signature électronique, ces supports dématérialisés se substituant aux documents écrits sur support papier, tout en garantissant au client une protection au moins équivalente. II. – L’ordonnance prévue au I du présent article est prise dans un délai d’un an à compter de la promulgation de la présente loi. Un projet de loi de ratification est déposé devant le Parlement dans un délai de cinq mois à compter de la promulgation de l’ordonnance ». 984. Cass. civ., 22 janv. 2009, n° 07-21530, inédit. 985. Rappelons qu’avant la délivrance du contrat ou de l’avenant, les parties peuvent s’engager l’une envers l’autre par la remise à l’assuré d’une « note de couverture », acte qui se distingue essentiellement du contrat ou de l’avenant par son caractère temporaire puisqu’elle est établie en attendant la régularisation de l’un des documents précités (Cass. civ. 1re, 14 janv. 1992, n° 90-13.352). La date d’expiration mentionnée sur la note de couverture marque la fin de la garantie si le contrat ou l’avenant qu’elle précède n’a pas été signé à cette date (Cass. civ. 1re, 3 nov. 1969 : Cass. 1re civ., 9 nov. 1999, n° 97-14.252). À défaut d’une date d’expiration et en l’absence de contrat d’assurance au moment du sinistre, il appartient à l’assureur de prouver que la garantie donnée par la note de couverture a pris fin (Cass. civ. 1re, 25 oct. 1994). La note de couverture, émanant de l’assureur ou de son représentant, n’est, en principe, signée que de lui. Son contenu n’est pas fixé par la loi. C’est le juge du fond qui décide si le document qui lui est soumis peut ou non être considéré comme une « note de couverture », cet intitulé n’ayant lui-même rien d’obligatoire (Cass. civ. 1re, 19 déc. 1989). Habituellement, il s’agit d’un document assez sommaire mentionnant la date d’effet de l’assurance, son objet et sa nature, le montant des garanties et la cotisation due par l’assuré. Mais ni l’omission de ce dernier élément, ni l’absence d’identification de l’assuré ou de signature de l’assureur ne rendent la note de couverture inopérante quand il peut y être suppléé (Cass. civ. 1re, 30 mars 1994). La mise en œuvre d’une note de couverture doit être faite en fonction des conditions générales de la police type de l’assureur même si la note n’y fait pas référence (Cass. civ. 1re, 7 mars 1989). Toutefois, le juge du fond dispose ici d’un large pouvoir d’appréciation et il peut aussi bien estimer que l’assuré ne saurait prétendre ignorer les stipulations du contrat lorsque la note de couverture y renvoie (Cass. 1re civ., 11 oct. 1954) que décider que l’assureur ne peut exciper des clauses restrictives de garantie dès lors qu’il ne prouve pas les avoir portées à la connaissance de l’assuré, le renvoi au contrat type étant inopérant (Cass. civ. 1re, 7 mars 1989). L’accord des parties peut également résulter de tout autre écrit, fut-ce un télex ou une lettre missive de l’assureur (Cass. civ. 1re, 23 juin 1992).
366 | B anque
et
a ssurance
digitales
l’assureur qui, théoriquement, impose ses conditions à son souscripteur. Il peut être civil, commercial ou mixte selon la qualité des parties. Le contrat d’assurance est un contrat consensuel, parfait dès que l’accord des parties est réalisé sur ses dispositions essentielles : événements et risques garantis, durée, cotisation due par l’assuré. Quoique l’article L. 112-2, alinéa 4, du Code des assurances décide que « seule la police ou la note de couverture constate leur engagement réciproque », il n’est pas douteux que la fonction de la police n’est que probatoire et que « le contrat d’assurance est parfait, sauf convention contraire, dès la rencontre des volontés de l’assureur et de l’assuré »986. 847. Toutefois, avec les obligations d’assurance, les clauses types qu’elles imposent au contenu contractuel, le consensualisme est largement encadré par les dispositions du Code des assurances. Rappelons que la preuve de la rencontre des consentements est en principe subordonnée à la rédaction d’un écrit, ce qui écarte une déclaration verbale, écrit que définit l’article L. 112-2 du Code des assurances comme étant la police ou la note de couverture. Un arrêt de la chambre criminelle de la Cour de cassation du 27 mai 2008987 vient rappeler qu’un contrat d’assurance souscrit sur l’Internet est réputé valablement formé le jour où la demande a été acceptée en ligne par l’assureur, peu importe l’absence des documents exigés par l’assureur après cette date dès lors que le demandeur était dans l’impossibilité de les fournir. Dès lors qu’il n’est pas obligatoire de remplir des exigences de forme, il eut néanmoins été préférable que l’assureur mette en place une procédure de souscription fiable, en intégrant de la traçabilité comme, par exemple, un procédé d’horodatage pour faire démarrer le délai de trente jours et un suivi du dossier. En termes de sécurité juridique et technique, il semble qu’une telle souscription du contrat en ligne apporterait à l’assureur une garantie d’identification du demandeur, d’échange des consentements et d’intégrité du contenu du contrat. 848. En outre, conformément à l’article L. 112-3, alinéas 1 à 3, du Code des assurances, « Le contrat d’assurance et les informations transmises par l’assureur au souscripteur mentionnées dans le présent code sont rédigés par écrit, en français, en caractères apparents. Par dérogation aux dispositions du précédent alinéa concernant l’emploi de la langue française, lorsque, en vertu des articles L. 181-1 et L. 183-1, les parties au contrat ont la possibilité d’appliquer une autre loi que la loi française, les 986. Cass. civ. 1re, 28 févr. 1989 : Bull. civ. I, 1989, n° 93. 987. Com. com. électr. 2009, comm. 29, note É. A. Caprioli.
la
contractualisation d ’ opérations complexes
| 367
documents mentionnés au premier alinéa du présent article peuvent être rédigés dans une autre langue que le français. Le choix d’une autre langue que le français est effectué d’un commun accord entre les parties et, sauf lorsque le contrat couvre les grands risques définis à l’article L. 111-6, à la demande écrite du seul souscripteur. Lorsque les parties au contrat n’ont pas la possibilité d’appliquer une autre loi que la loi française, ces documents peuvent toutefois, d’un commun accord entre les parties et à la demande écrite du seul souscripteur, être rédigés dans la langue ou dans l’une des langues officielles de l’État dont il est ressortissant ». En matière de consentement de l’assuré (en cas d’assurance décès), l’article L. 132-2 du Code des assurances dispose : « L’assurance en cas de décès contractée par un tiers sur la tête de l’assuré est nulle, si ce dernier n’y a pas donné son consentement par écrit avec indication du capital ou de la rente initialement garantis. Le consentement de l’assuré doit, à peine de nullité, être donné par écrit, pour toute cession ou constitution de gage et pour transfert du bénéfice du contrat souscrit sur sa tête par un tiers. Les dispositions du premier alinéa ne sont pas applicables aux contrats d’assurance de groupe à adhésion obligatoire ». L’article L. 132-5, alinéa 1, du Code des assurances prévoit que ces contrats doivent comporter des clauses « tendant à définir, pour assurer la sécurité des parties et la clarté du contrat, l’objet du contrat et les obligations respectives des parties », selon des énonciations précisées par décret en Conseil d’État. § 6 – Le droit de renonciation
849. Conformément à l’article L. 132-5-1 du Code des assurances, le souscripteur dispose d’un délai de 30 jours pour renoncer au contrat qu’il a signé. La compagnie d’assurance a l’obligation de faire figurer cette faculté de renonciation quand elle existe et ses conditions d’exercice dans les documents contractuels qu’elle remet. Le cas échéant pour faciliter l’exercice de ce droit pour l’assuré le contrat doit mentionner, avant l’espace dévolu à la signature, que le souscripteur a un droit de renonciation. Pour exercer ce droit, le souscripteur doit en informer la compagnie d’assurance en envoyant une lettre de renonciation par courrier recommandé avec demande d’avis de réception dans un délai de 30 jours à compter du versement initial. Si le contrat comporte des réserves ou des modifications substantielles par rapport à la proposition initiale, le délai de renonciation court à compter de la date de réception du contrat ou à l’acceptation écrite par le souscripteur de ces réserves ou modifications.
368 | B anque
et
a ssurance
digitales
Ce délai expire le dernier jour à vingt-quatre heures. S’il expire un samedi, un dimanche, un jour férié ou chômé alors il n’est pas prorogé. En revanche, ce droit de renonciation ne s’applique pas aux contrats d’une durée maximale de deux mois. Si le souscripteur exerce son droit de renonciation, la compagnie d’assurance doit lui restituer l’intégralité des sommes versées sans pouvoir effectuer une quelconque retenue. La compagnie d’assurance dispose d’un délai maximal de 30 jours à compter de la réception de la lettre recommandée pour procéder au règlement de ces sommes. Passé ce délai, les sommes non restituées produisent de plein droit intérêt au taux légal, majoré de moitié durant les deux premiers mois, puis au double du taux légal à l’expiration de ce délai. § 7 – Questionnaire de santé
850. La souscription d’un contrat d’assurance est effectuée de manière concomitante à la collecte des données des souscripteurs. Aux termes de l’article 8 de la loi n° 78-17 du 6 janvier 1978 « Informatique et Libertés » : « I. – Il est interdit de collecter ou de traiter des données à caractère personnel qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l’appartenance syndicale des personnes, ou qui sont relatives à la santé ou à la vie sexuelle de celles-ci (…) ». Ce principe est aménagé par des exceptions et des encadrements spécifiques en fonction des personnes souhaitant traiter ces informations. Pour les organismes d’assurance, de capitalisation, de réassurance, d’assistance et par leurs intermédiaires, la CNIL a édicté la norme simplifiée n° 16988 (ci-après la « NS-16 ») permettant le traitement de données de santé pour la passation et l’exécution des contrats d’assurance, de capitalisation, de réassurance et d’assistance. La NS-16 impose, pour la gestion de données de santé, des mesures de sécurité spécifiques : « S’agissant des données de santé, le responsable de traitement s’engage à respecter les dispositions prévues par le code de bonne conduite annexé à la 988. Délibération n° 2013-212 du 11 juillet 2013 concernant les traitements automatisés de données à caractère personnel relatifs à la passation, la gestion et l’exécution des contrats mis en œuvre par les organismes d’assurance, de capitalisation, de réassurance, d’assistance et par leurs intermédiaires (norme simplifiée n° 16), JO 14 août 2013.
la
contractualisation d ’ opérations complexes
| 369
convention AERAS concernant la collecte et l’utilisation de données relatives à l’état de santé en vue de la souscription ou de l’exécution d’un contrat d’assurance. » Ce guide de bonne conduite989 précise qu’il est nécessaire que les entreprises organisent : – un service spécifique : « En tout état de cause, compte tenu des risques assurés et de la nature spécifique des informations fournies, il est impératif que les sociétés d’assurances concernées disposent d’un service médical apte à analyser et conserver ces informations ». – la confidentialité de leurs informations : « La confidentialité doit être organisée au sein des entreprises, physiquement pour le service, administrativement pour les circuits (courrier, téléphone, informatique, meubles de rangement des dossiers, etc.). Une protection totale des dossiers et des informations transmises est assurée ». – une confidentialité sur tous les documents contenant des données de santé : « Les rapports médicaux et les examens complémentaires relèvent des mêmes règles de confidentialité que les questionnaires médicaux ». – une absence d’accès à ses éléments par les services administratifs : « En aucun cas, les services administratifs des sociétés d’assurance ne peuvent connaître les éléments relatifs à l’état de santé qui ont fondé la décision (acceptation avec ou sans surprime, refus, ajournement ou demande de complément d’instructions médicales), ni les éléments des contrats ayant trait à l’état de santé ». Ces éléments militent pour l’organisation, au sein de la procédure de souscription, de circuits distincts permettant de gérer d’un côté la souscription du contrat et de l’autre l’administration du questionnaire de santé, des correspondances et des pièces justificatives comportant des données de santé.
989. Convention AERAS révisée suite à la mise en place d’un « droit à l’oubli », 2 sept. 2015, disponible sous le lien : http://www.economie.gouv.fr/files/files/PDF/Convention-AERASrevisee-droit-oubli-0209015.pdf
PA R T I E I I I LES NOUVEAUX SERVICES DIGITAUX
851. Confronté à l’apparition de nouveaux services issus des nouvelles technologies, le monde bancaire, financier, assurantiel doit s’adapter aux spécificités de chacun, qu’il s’agisse de services disposant d’un cadre juridique établi (Chapitre I) ou en cours d’encadrement (Chapitre II). Au préalable, face au big bang annoncé dans la banque et l’assurance, de nouveaux acteurs sont identifiés : les Fintech (Chapitre préliminaire).
CHAPITRE PRÉLIMINAIRE Les Fintech, nouveaux acteurs du monde bancaire, financier, assurantiel 852. Le monde de la banque, de la finance et de l’assurance est soumis à de nombreux défis. Comment favoriser l’émergence de nouveaux acteurs, de nouveaux services innovants sans altérer le tissu qualitatif et sécurisé du monde bancaire, financier, assurantiel ? Comment encadrer ces nouveaux services sans les étouffer tout en protégeant les consommateurs contre des risques et des dérives encore mal connus ? D’autant que les initiatives toujours plus nombreuses et induites par les nouvelles technologies fleurissent pour proposer aux personnes des services innovants et aux banques des capacités qu’elles n’imaginaient pas il y a encore quelques années. Tel est le cas, par exemple, de ce brevet déposé par Facebook permettant aux organismes bancaires, assurantiels ou financiers d’analyser la liste des « amis » d’une personne afin de prévoir sa capacité de remboursement990. S’il s’agit d’un raz de marée silencieux pour le grand public, le phénomène n’en reste pas moins un raz de marée. Selon Accenture991, les investissements dans le secteur des Fintech ont augmenté au cours du premier trimestre 2016 de plus de 60 % par rapport à la même période l’année passée. De fait, les investissements pour les Fintech basées en Europe et en Asie-Pacifique représentent 62 % des investissements mondiaux. En France de 2014 à 2015, l’investissement a augmenté de plus de 750 %. Mais la définition de Fintech est avant tout empirique (section I) et les autorités en charge de la régulation financière (section II) commencent seulement à encadrer le phénomène.
990. « Et si une banque vous refusait un prêt à cause de vos amis Facebook ? », Le Point, disponible sous le lien : http://www.lepoint.fr/economie/et-si-une-banque-vous-refusait-un-pret-a-causede-vos-amis-facebook-08-08-2015-1955630_28.php 991. « Les investissements dans les FinTech continuent d’augmenter en 2016, surtout en Europe et en Asie, selon une nouvelle étude Accenture », disponible sous le lien : https://www. accenture.com/fr-fr/company-news-release-fintech-investments
374 | B anque
et
a ssurance
digitales
SECTION I FINTECH : UNE DÉFINITION EMPIRIQUE992 853. Les Fintech (et les Assurtech) sont des sociétés qui, comme l’indique leur nom, ont pour objet de fournir sur le secteur financier (bancaire, assurantiel) des services basés sur les innovations. Au sein de l’ACPR, l’accent est mis autour de la notion de projet financier innovant, projet défini comme étant « la création d’une entreprise (de type “start-up”) alliant un fort degré d’innovation et une intervention sur un ou plusieurs domaines financiers relevant de l’ACPR »993. Ce faisant, ne sont pas uniquement visées les avancées technologiques, qui parfois peuvent n’être que des pratiques anciennes dématérialisées, mais également des innovations d’usages et d’applications. D’autres définissent la Fintech comme étant « une entreprise digitale du monde financier »994 ou comme une société associant « les technologies digitales aux services financiers »995. Dans « La Révolution Fintech »996, les Fintech sont envisagées sous l’angle de l’« Ubérisation », soulignant ainsi que ces entreprises appuient leur développement sur l’utilisation de technologies innovantes, un modèle économique souvent disruptif, l’évolution du comportement des clients conjuguée à la lourdeur des acteurs en place et enfin le souhait des régulateurs et des pouvoirs publics d’introduire de la concurrence au sein de professions dites « fermées ». Par ailleurs, le phénomène se qualifie autant par ses propriétés générales (alliance de la finance et des nouvelles technologies) que par son impact intrinsèque sur un monde de la finance bousculé pas ces nouveaux acteurs. C’est que le phénomène n’a cessé de prendre de l’ampleur au point de forcer les acteurs historiques à la réaction, nombreuses étant désormais les banques à prendre part de manière plus ou moins étendue ou directe à ce phénomène par le biais d’associations, partenariats, prises de participation… La définition se veut donc empirique. Les entreprises, dont les tailles et objets diffèrent, se rejoignent cependant sur leur capacité à proposer des modèles 992. T. Bonneau et T. Verbiest, Fintech et Droit, RB Édition, 2017. 993. Pôle ACPR FinTech Innovation, définitions du « projet financier innovant », disponible sous le lien : https://acpr.banque-france.fr/lacpr/missions/pole-acpr-fintech-innovation.html 994. H. de Vauplane, « Quelle réglementation pour les FinTech ? », Rev. Banque n° 799, sept. 2016, p. 20 et s. 995. H.de Vauplane, « Les nouveaux acteurs de la finance », in « Les mutations de l’industrie financière », Rev. d’économie financière, n° 118, juin 2015. 996. R. Bouyala, La révolution FinTech, RB Édition, coll. Les essentiels de la Banque et de la Finance, 2016.
l es f intech ,
nouveaux acteurs du monde Bancaire , financier , assurantiel
| 375
innovants au monde de la finance, souvent en rupture avec le système bancaire, parfois en complément.
SECTION II UNE PRISE EN COMPTE PROGRESSIVE PAR LES AUTORITÉS EN CHARGE DE LA RÉGULATION FINANCIÈRE 854. Depuis leur émergence, les autorités se penchent sur les modalités de leur encadrement. Il était à craindre que, du fait de la lourdeur des processus administratifs, l’intégration des Fintech pâtisse d’une réaction tardive des autorités laissant se développer ces pratiques en agissant à contretemps. Cependant, l’ACPR et l’AMF ont entendu avancer à destination de ces nouveaux interlocuteurs. L’AMF a ainsi annoncé la création d’une division Fintech, innovation et compétitivité997 dont l’objectif est « d’analyser les innovations en cours dans le secteur des services d’investissement, et d’identifier les enjeux en matière de compétitivité et de régulation ». Parallèlement, l’ACPR a créé au sein de sa structure un Pôle dédié, le Pôle ACPR « FinTech Innovation » afin de créer une interface de dialogue avec les sociétés porteuses de projets998 en leur apportant conseil, orientation et coordination dans le cadre de leurs démarches d’agrément ou d’autorisation. Ce pôle participe également à la mise en œuvre du Forum Fintech. En effet, l’AMF et l’ACPR ont lancé une initiative à destination des sociétés innovantes, le « Forum Fintech ». Envisagée comme une instance consultative et de dialogue, sa première réunion s’est tenue le 18 juillet 2016999. Comptant actuellement 34 membres, son objectif est d’« appréhender les enjeux associés au développement des Fintech, à la fois en termes d’opportunités et de risques éventuels ». 855. Cette démarche française se démarque des approches mises en œuvre au sein d’autres pays européens et notamment en Grande-Bretagne au sein de 997. Communiqué de presse « L’AMF annonce la création d’une division Fintech, innovation et compétitivité et la nomination de Franck Guiader à sa tête » disponible sous le lien : http:// www.amf-france.org/Actualites/Communiques-de-presse/AMF/annee-2016.html?docId=wor kspace%3A%2F%2FSpacesStore%2F44e4489d-712b-4280-ad59-4b6ccd34ad74 998. Pôle ACPR FinTech Innovation disponible sous le lien : https://acpr.banque-france.fr/lacpr/ missions/pole-acpr-fintech-innovation.html 999. Communiqué de presse « L’AMF et L’ACPR lancent le Forum FinTech », disponible sous le lien : http://www.amf-france.org/Actualites/Communiques-de-presse/AMF/annee-2016.html?docI d=workspace%3A%2F%2FSpacesStore%2Ffef66ab3-71de-4e2b-b707-d0ca87df1509
376 | B anque
et
a ssurance
digitales
laquelle la Financial Conduct Authority a entendu proposer aux entreprises une « Regulatory sandbox »1000. Il s’agit ainsi de mettre à disposition des entreprises un espace pour tester leurs services et leurs modèles économiques (« business model ») dans un environnement réel mais sans être assujettis aux mêmes obligations réglementaires. Ce modèle, qui a pour avantage de permettre de tester facilement les concepts et ainsi de favoriser l’émergence rapide de nouveaux services, a pour écueil de reporter à plus long terme l’appréciation de la viabilité réelle du système, une fois que celui-ci est face aux réalités réglementaires. Ces différentes initiatives démontrent que les institutions se rejoignent sur la nécessité d’apporter à ces nouveaux intervenants le soutien nécessaire afin d’assister, si ce n’est à la création des nouveaux acteurs majeurs de demain, à tout le moins des outils qui dicteront les services financiers du futur. S’il n’est pas possible de dresser le portrait de l’ensemble des services innovants apportés par ces sociétés, dont la substance même est d’être protéiforme, il peut être évoqué plusieurs services distincts qui, par leurs apports, changent et changeront le visage de la banque et de l’assurance digitales.
1000. Pour plus d’informations sur ce point, v. la page relative à la « Regulatory sandbox » proposée par le site de la « Financial Conduct Authority », disponible sous le lien : https://www.fca.org. uk/firms/project-innovate-innovation-hub/regulatory-sandbox
CHAPITRE I Les services disposant d’un cadre juridique 856. Divers services disposent d’ores et déjà d’un cadre juridique comme le coffre-fort numérique (section I), les services d’agrégation ou d’initiation de paiement (section II), les services de crowdfunding (section III).
SECTION I LE COFFRE-FORT NUMÉRIQUE 857. Le « coffre-fort numérique » (ou CFN) peut être défini comme un dispositif matériel et/ou logiciel assurant la conservation de documents, données numériques et garantissant leur intégrité et pérennité1001. À vocation probatoire, il trace toutes les opérations effectuées afin de pouvoir démontrer les actions réalisées. En la matière, deux normes techniques françaises sont applicables : la norme AFNOR NF Z42-013 présentée précédemment et la norme NF Z42-020 « spécifications fonctionnelles d’un composant coffre électronique destiné à la conservation d’informations numériques dans des conditions de nature à en garantir leur intégrité dans le temps »1002, établissant les fonctions minimales que doit remplir ce type de dispositif pour garantir l’intégrité dans le temps des documents et des informations conservés contre tout risque d’altération de leur contenu. § 1 – Définition du coffre-fort numérique
858. L’article 87 de la loi pour une République numérique ajoute des dispositions relatives aux services de coffre-fort numérique intégrées au nouvel article L. 137 du Code des procédures civiles d’exécution et donne une approche fonctionnelle de ce dernier :
1001. V. FNTC, « Guide de l’interopérabilité des coffres-forts électroniques », Collection les guides de la confiance de la FNTC, mars 2012, p. 26, disponible sur le site : www.fntc.org. 1002. Site de l’AFNOR, page spécifique à la norme : http://www.boutique.afnor.org/norme/nfz42-020/specifications-fonctionnelles-d-un-composant-coffre-fort-numerique-destine-a-laconservation-d-informations-numeriques-dans-des-/article/796213/fa176610
378 | B anque
et
a ssurance
digitales
« Un service de coffre-fort numérique est un service qui a pour objet : 1° La réception, le stockage, la suppression et la transmission de données ou documents électroniques dans des conditions permettant de justifier de leur intégrité et de l’exactitude de leur origine ; 2° La traçabilité des opérations réalisées sur ces documents ou données et la disponibilité de cette traçabilité pour l’utilisateur ; 3° L’identification de l’utilisateur lors de l’accès au service par un moyen d’identification électronique respectant l’article L. 136 ; 4° De garantir l’accès exclusif aux documents électroniques, données de l’utilisateur ou données associées au fonctionnement du service à cet utilisateur, aux tiers autres que le prestataire de services de coffre-fort numérique, explicitement autorisés par l’utilisateur à accéder à ces documents et données et, le cas échéant, au prestataire de services de coffre-fort numérique réalisant un traitement de ces documents ou données au seul bénéfice de l’utilisateur et après avoir recueilli son accord exprès dans le respect de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ; 5° De donner la possibilité à l’utilisateur de récupérer les documents et les données stockées dans un standard ouvert aisément réutilisable et exploitable par un système de traitement automatisé de données, sauf dans le cas des documents initialement déposés dans un format non ouvert ou non aisément réutilisable qui peuvent être restitués dans leur format d’origine, dans des conditions définies par décret. Le service de coffre-fort numérique peut également proposer des services de confiance au sens du règlement n° 910/2014/UE du Parlement européen et du Conseil du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive n° 1999/93/ CE. Ce service de coffre-fort numérique peut bénéficier d’une certification établie selon un cahier des charges proposé par l’autorité nationale de la sécurité des systèmes d’information après avis de la Commission nationale de l’informatique et des libertés et approuvé par arrêté du ministre chargé du Numérique. Les modalités de mise en œuvre du service de coffre-fort numérique et de sa certification par l’État sont définies par décret en Conseil d’État pris après avis de la Commission nationale de l’informatique et des libertés.
l es
services disposant d ’ un cadre juridique
| 379
II. – La section III du chapitre II du titre II du livre Ier du Code de la consommation est complétée par une sous-section 5 ainsi rédigée : Sous-section 5 Appellation de coffre-fort numérique Art. L. 122-22. – Le fournisseur qui se prévaut d’une offre de service de coffrefort numérique défini aux 1° à 5° de l’article L. 137 du Code des postes et des communications électroniques et qui ne respecte pas les obligations qui y sont énoncées est passible des sanctions prévues aux articles L. 132-2 et L. 132-3 du présent code ». Ainsi, le service de coffre-fort numérique peut être considéré – si le prestataire le décide – comme un service de confiance et être soumis à ce titre aux exigences du règlement eIDAS (de façon spécifique en termes de sécurité). En outre, une certification pourra être effectuée en France par l’ANSSI sous réserve de respecter un cahier des charges et après avis de la CNIL1003. On notera avec intérêt que l’ACPR est en charge de réguler ce service. En application de ce texte, deux projets de décret ont été élaborés. Le premier « vient préciser les modalités de mise en œuvre de ce service de coffre-fort numérique ainsi que de sa certification par l’État. ». Le second détermine les conditions de récupération des documents et données stockés par un service de coffre-fort numérique (portabilité/réversibilité). § 2 – Documents cibles
859. Certains organismes bancaires, financiers ou assurantiels proposent un service de coffre-fort numérique permettant de stocker les documents électroniques en ligne de leurs clients, quel que soit le type de format (texte, images numérisées…). Il en va ainsi des : • contrats ; • avis d’imposition ; • relevés de compte ; • factures et garanties ; • diplômes ; • et autres documents administratifs. D’autres documents sont plus sujets à caution comme ceux contenant des données relatives à la santé des clients. Dans cette situation, si les organismes bancaires, financiers ou assurantiels entendent ouvrir ce service à l’ensemble des données de santé, les coffres-forts nécessiteront un agrément spécifique délivré par le ministre de la Santé, après consultation de la CNIL1004. 1003. Cf. infra § 3. Sur ce texte, v. Com. com. électr. 2017, comm. n° 28, note É. A. Caprioli. 1004. Il ne sera pas fait état ici des questions d’hébergement de données de santé.
380 | B anque
et
a ssurance
digitales
§ 3 – Labellisation des coffres-forts numériques par la CNIL
860. En outre, dans le cadre de sa délibération n° 2013-270 du 19 septembre 2013, la CNIL a adopté une recommandation visant les services dits de « coffrefort numérique ou électronique ». Il est vrai qu’une recommandation constitue avant tout une ligne de conduite que la CNIL souhaite imposer aux responsables de traitements concernés, dans des domaines d’activité. Pour la CNIL, le coffre-fort numérique ou électronique s’entend d’une « forme spécifique d’espace de stockage numérique dont l’accès est limité à son seul utilisateur et aux personnes physiques spécialement mandatées par ce dernier », l’espace de stockage étant défini comme un service ayant « pour objet de conserver des documents dématérialisés sur un support informatique ». Le coffre-fort numérique doit garantir l’intégrité, la disponibilité et la confidentialité des données stockées et, dans ce contexte, la mise en œuvre de mesures spécifiques de sécurité est exigée. En outre, le fournisseur du service « ne doit pas être techniquement en mesure d’accéder au contenu du coffre ainsi qu’à ses éventuelles sauvegardes, sans le consentement exprès de l’utilisateur concerné ». La CNIL souligne qu’un service de coffre-fort numérique est un traitement automatisé de données à caractère personnel au sens de l’article 2 de la loi « Informatique et Libertés » de 1978 modifiée, à double titre : du fait de son fonctionnement (opérations informatisées) et de son contenu (lié à une personne physique identifiable). La CNIL rappelle que, conformément à l’article 5-I-2° de la loi, la recommandation est également applicable aux responsables de traitement étrangers (établis en dehors de l’Union européenne) qui utilisent des moyens de traitement situés en France (via un prestataire sous-traitant tel qu’une filiale, par exemple). 861. S’agissant des formalités préalables à accomplir, le responsable du traitement doit adresser une déclaration normale à la CNIL. Cette déclaration doit contenir les données personnelles traitées nécessaires à la réalisation de la prestation, à savoir les données d’identification des utilisateurs (pour lesquelles il est précisé qu’elles doivent permettre de les identifier de façon certaine) et les données de connexion nécessaires au fonctionnement du service. Fidèle à sa position sur le sujet, la CNIL a tenu à préciser que le numéro de Sécurité sociale ne saurait être utilisé « pour le routage d’un document dématérialisé ». La CNIL exclut également que les fournisseurs de coffres-forts numériques puissent stocker des données de santé, sauf à être dûment agréés à cette fin. À défaut d’agrément, les fournisseurs ne sont donc pas autorisés à proposer aux utilisateurs le stockage ou l’organisation des données relatives à la santé, ni même de créer par défaut un dossier santé. En outre, ces prestataires sont donc tenus de déconseiller à l’utilisateur de stocker des données de santé dans leur coffre-fort. 862. En ce qui concerne les destinataires des données, les prescriptions de la Recommandation visent exclusivement le contenu des coffres-forts (rien n’étant indiqué pour les données d’identification des utilisateurs ou pour les données de
l es
services disposant d ’ un cadre juridique
| 381
connexion) pour préciser que les documents sur les serveurs sont uniquement consultables par l’utilisateur du service et les personnes spécialement mandatées et doivent être protégés par des mesures techniques interdisant leur accès à des tiers non autorisés. De même, la durée de conservation des données n’est abordée que pour les contenus. Le fournisseur est ainsi tenu de supprimer : – « immédiatement » les documents pour lesquels il reçoit une demande de suppression de la part de l’utilisateur ; – « sans délai » pour les copies répliquées en ligne du document supprimé ; – dans un délai d’un mois pour les éventuelles sauvegardes. 863. En principe, le fournisseur s’engage à offrir un service de stockage pérenne, en conséquence de quoi, dans l’hypothèse de cessation de son activité, il doit s’engager à avertir les utilisateurs suffisamment en avance afin qu’ils puissent s’organiser pour récupérer les données stockées. L’obligation d’information est rappelée au visa de l’article 32 de la loi « Informatique et Libertés » étant noté que l’utilisateur doit également être informé du type de coffre-fort mis à sa disposition et des conditions d’utilisation. Pour la récupération de documents auprès de tiers, il est recommandé aux fournisseurs de coffres-forts numériques d’adopter des solutions techniques permettant de ne pas avoir à collecter d’informations confidentielles sur l’utilisateur (de type identifiant, mot de passe), et ce afin de ne pas contrevenir aux conditions d’utilisation des services tiers. 864. La CNIL a mis en œuvre un label en matière de services de coffre-fort numérique (Délibération n° 2014-017 du 23 janvier 20141005). La société CECURITY.COM, avec son produit CECURCRYPT, a reçu le premier label en juillet 20161006. Si la CNIL communique sur ce premier Label, peu d’informations ont été rendues publiques. Tout au plus a-t-il été indiqué que les données sont chiffrées à toutes les étapes selon un dispositif répondant aux exigences de l’ANSSI et que l’authentification mise en œuvre est une authentification forte. Ce coffre-fort numérique répond, par conséquent, aux exigences de sécurité et aux principes relatifs à la protection des données à caractère personnel. Le recours au coffre-fort numérique peut constituer une alternative intéressante pour le stockage de données, dans une optique de conformité en vue de la labellisation « Gouvernance » délivrée par la CNIL. 1005. JO 7 févr. 2014. 1006. Délibération n° 2016-222 du 21 juillet 2016, portant labellisation d’un service de coffre-fort numérique intitulé « CecurCrypt » présentée par la société CECURITY.COM, disponible à l’adresse : https://www.legifrance.gouv.fr/affichCnil.do?oldAction=rechExpCnil&id=CNILTEX T000032934229&fastReqId=1411597595&fastPos=1
382 | B anque
et
a ssurance
digitales
§ 4 – Les mesures de sécurité
865. La recommandation dresse une liste plutôt conséquente des mesures visant à assurer la sécurité des données stockées dans le coffre-fort électronique. On peut ainsi recenser les mesures de sécurité techniques classiques, comme le chiffrement des données ou l’utilisation, dans la mesure du possible, « des produits cryptographiques certifiés ou qualifiés ». Les fournisseurs doivent également « rendre accessible, sans surcoût, un outil permettant aux utilisateurs de récupérer l’intégralité du contenu de leur coffre-fort de façon simple, sans manipulation complexe ou répétitive, et ce afin de faciliter le changement de fournisseur ». La CNIL s’était déjà inquiétée des difficultés engendrées par les services de coffres-forts numériques au regard des données à caractère personnel. L’autorité avait, en effet, noté que peu de fournisseurs offraient aux utilisateurs la possibilité de télécharger l’intégralité des fichiers du coffre-fort. 866. La question du recours à des anti-virus sur les documents entrants dans le coffre-fort numérique n’est pas directement abordée par la recommandation. Certaines mesures figurant dans le § 5 de la recommandation laissent entendre que le passage à l’antivirus constitue effectivement une mesure de sécurité : • « les fournisseurs doivent proposer des fonctionnalités de traçabilité permettant aux utilisateurs de visualiser l’activité récente sur leur coffre-fort numérique, afin de détecter les éventuelles intrusions non souhaitées ; • les fournisseurs doivent mettre en place des outils permettant de détecter et bloquer les connexions illégitimes aux coffres-forts numériques ». Toutefois, dans le cadre des fichiers devant passer à l’anti-virus une solution est envisageable pour le fournisseur de coffre-fort numérique, étant précisé qu’en principe, le passage à l’anti-virus d’un document chiffré est impossible et que l’on part du principe que le fournisseur de coffre ne dispose pas de la clé de déchiffrement utilisée par le client. Si un programme malveillant figure dans ce document, il pourrait alors être mis en quarantaine dans un archivage de sécurité et le client serait informé de cet incident. § 5 – Quid en cas de décès du titulaire du coffre-fort ?
867. L’article 39 de la loi Informatique et Libertés sur le droit d’accès vise expressément les personnes dont les données à caractère personnel font l’objet d’un traitement (ou non). Un accès est autorisé par le Code de la santé publique pour les données d’ordre médical dans la mesure où elles « leur sont nécessaires pour leur permettre de connaître les causes de la mort, de défendre la mémoire du défunt ou de faire valoir leurs droits »1007.
1007. CSP, art. 1110-4.
l es
services disposant d ’ un cadre juridique
| 383
868. Par ailleurs, sur le plan de la jurisprudence, le Conseil d’État a consacré un droit d’accès des héritiers au fichier FICOBA1008 (Fichier national des comptes bancaires et assimilés). En qualité « d’ayants droit héritant des soldes des comptes bancaires », les héritiers se sont vus reconnaître le statut de « personne concernée »1009 au sens de la loi « Informatique et Libertés ». Il convient de souligner que cette décision est rendue au visa de l’article 39 de la loi « Informatique et Libertés » qui reconnaît à toute personne physique un droit de communication pour « des données à caractère personnel qui la concernent ». Il est vrai que l’article 39 de la loi « Informatique et libertés » ne comporte pas de mention relative au droit d’accès des héritiers en particulier. Le Conseil d’État a cependant appuyé sa décision sur le fait que les héritiers sont titulaires d’un droit d’accès personnel « dont ils n’héritent pas de la personne défunte, mais qui leur est propre ». 869. S’agissant de l’accès au coffre-fort numérique, les héritiers ne disposent pas d’un droit d’accès direct après le décès du client1010. Pour résoudre cette question de l’accessibilité « post mortem » des données du défunt, l’article 63 de la loi sur la République numérique (précitée) crée un nouvel article 40-1-I dans la loi « Informatique et libertés » rappelant que les droits de la personne s’éteignent à son décès, sous réserve des directives relatives à la conservation, l’effacement et à la communication de ses données à caractère personnel, directives enregistrées auprès d’un tiers de confiance certifié par la CNIL. En l’absence de directives, les héritiers peuvent exercer, après le décès de leur auteur, ses droits dans la mesure nécessaire : « – à l’organisation et au règlement de la succession du défunt. À ce titre, les héritiers peuvent accéder aux traitements de données à caractère personnel qui le concernent afin d’identifier et d’obtenir communication des informations utiles à la liquidation et au partage de la succession. Ils peuvent aussi recevoir communication des biens numériques ou des données s’apparentant à des souvenirs de famille, transmissibles aux héritiers ; – à la prise en compte, par les responsables de traitement, de son décès. À ce titre, les héritiers peuvent faire procéder à la clôture des comptes utilisateurs du défunt, s’opposer à la poursuite des traitements de données à caractère personnel le concernant ou faire procéder à leur mise à jour ».
1008. CE, 29 juin 2011, n° 339147, Juris-Data n° 2011-012803. http://www.legifrance.gouv.fr/affichJuriAdmin.do?oldAction=rechExpJuriAdmin&idTexte=C ETATEXT000024315834&fastReqId=1410582746&fastPos=1 1009. Article 2 de la loi « Informatique et Libertés » : La personne concernée par un traitement de données à caractère personnel est celle à laquelle se rapportent les données qui font l’objet du traitement. 1010. CE, 8 juin 2016, Mme et MM. D., n° 386525, publié au Recueil Lebon.
384 | B anque
et
a ssurance
digitales
SECTION II LES INITIATEURS DE PAIEMENT ET LES AGRÉGATEURS DE COMPTES DE PAIEMENT 870. Dans le monde bancaire, de nouveaux services ont fait récemment leur apparition, proposant des processus sans cesse plus innovants, facilitant la vie des clients en faisant fi des limites imposées par les banques. Induits par les avancées technologiques, de nouveaux services ont été créés, gravitant autour des prestations de service de paiement sans nécessairement rentrer dans leur cadre. Tel est le cas de services permettant au client d’agréger au sein d’une même interface les données relatives à ses comptes qu’ils soient issus d’une même banque ou de plusieurs banques distinctes. L’agrégation de comptes de paiement ne fait que permettre le visionnage de données déjà existantes, mais cette relative innocuité masque mal le réel impact sur les modèles commerciaux mis en œuvre par le monde bancaire1011. L’intérêt de ce service est étroitement lié au phénomène de multi-bancarisation. De nombreux consommateurs disposant désormais de comptes au sein d’au moins deux établissements bancaires, les interfaces respectives de chacune des banques ne permettent pas une compréhension de l’ensemble. Ce service, transcendant les limites des différentes interfaces des banques concernées, permet ainsi au client d’avoir une vision globale de ses comptes, de travailler les interfaces pour avoir une vision fine de ses dépenses et donc de mieux appréhender sa situation financière à un instant T. 871. De fait, en intervenant entre la banque et son client, les agrégateurs peuvent peu à peu éloigner les clients de leurs banques. Dans un monde où la banque se fait progressivement digitale et où la banque physique perd chaque jour du terrain, le lien principal entre le client et sa banque est son site Internet sur lequel le client peut interagir au quotidien. À ce titre, en s’intercalant entre ces deux interlocuteurs, ces intervenants heurtent le nouveau « business model » des banques en perturbant pour ces dernières leurs relations avec leurs clients. En effet, si le client dispose de toutes les informations sur une seule interface, quel sera son intérêt de se connecter à son espace bancaire ? En France, des acteurs tels que Bankin et Linxo permettent ainsi d’analyser les finances de leurs utilisateurs en se connectant à leur compte en ligne et en récupérant leurs données de transactions.
1011. J.-C. Huyssen et C. Bontemps, « DSP 2 : entre continuité et innovation », Banque & Droit, juill.août 2016, p. 5.
l es
services disposant d ’ un cadre juridique
| 385
Cependant, ne reposant sur aucune disposition légale, de nombreux doutes ont fait jour au regard de la sécurisation d’un tel procédé. En effet, faute d’accord avec les banques, ces sociétés agissent en sollicitant les données d’authentification de leurs clients pour se connecter en lieu et place de ce dernier. Or, les actions de collecte des informations relatives à ces transactions peuvent être interprétées, d’un certain point de vue, comme des atteintes au Système de traitement automatisé de données (STAD), réprimées aux articles 323-1 et suivants du Code pénal. 872. Dans son Livre vert intitulé « Vers un marché intégré des paiements par carte, par Internet et par téléphonie mobile », la Commission européenne s’est interrogée en 2012 sur la nécessité de promouvoir et d’accélérer l’intégration du marché. Au détour de ses interrogations concernant les « informations sur la disponibilité de fonds », la Commission fixe en quelques mots les interrogations essentielles relatives à ce nouvel acteur1012. En effet, si les clients des banques peuvent accepter de confier à des prestataires les informations concernant la disponibilité de fonds sur leur compte bancaire, les banques sont tentées de s’y opposer pour des raisons de sécurité. Cependant, cette attitude, qui peut être justifiée, laissait craindre l’émergence d’entraves à la création de nouveaux services. Ce faisant, la Commission formulait les questions suivantes : « 13) Est-il nécessaire de permettre à des établissements non bancaires, avec l’accord du client, d’accéder aux informations concernant la disponibilité de fonds sur les comptes bancaires et, si oui, quelles limites faudrait-il poser à de telles informations ? Devrait-on envisager une intervention des pouvoirs publics, et si oui, quels aspects devrait-elle couvrir et quelle forme devrait-elle prendre ? »
1012. Livre vert « Vers un marché intégré des paiements par carte, par Internet et par téléphonie mobile » du 11 janvier 2012, disponible sous le lien : http://ec.europa.eu/finance/payments/ cim/index_fr.htm « 4.1.7. Informations sur la disponibilité de fonds Pour de nombreux modèles opérationnels de services de paiement, les informations préalables sur la disponibilité des fonds – nécessaires pour les autorisations et/ou garanties de paiement d’une transaction donnée – sont un élément essentiel. En tant qu’instances d’hébergement des comptes bancaires, les banques ont une fonction de “passerelle” déterminante pour la viabilité de nombreux modèles opérationnels. Même si, pour certains nouveaux services de paiement, les consommateurs acceptent que les informations concernant la disponibilité de fonds sur leur compte bancaire soient transmises aux prestataires de services de paiement de leur choix, les banques peuvent refuser de révéler ces informations à d’autres prestataires de services de paiement. Étant donné l’importance des paiements sécurisés, la confiance dans les systèmes de paiement en général et le fait que les banques sont soumises à une surveillance, de tels refus peuvent être justifiés dans certains cas. Néanmoins, cela génère un conflit d’intérêts pour les banques, qui peuvent être incitées à refuser de coopérer et ce, malgré la volonté de leurs clients. Cela pourrait entraver indûment l’émergence de solutions alternatives de paiement sûres et efficaces, même si elles sont soumises à des exigences prudentielles ».
386 | B anque
et
a ssurance
digitales
C’est par le biais de la directive concernant les services de paiement dans le marché intérieur1013, dite « DSP 2 », que les grandes lignes du statut de ces nouveaux intervenants ont été fixées. § 1 – Régime juridique de l’initiation de paiement
873. La définition du service d’initiation de paiement constitue le service 7 au sens de l’annexe I de la directive. L’article 4-15 de la DSP 2 définit le « service d’initiation de paiement » comme étant un « service consistant à initier un ordre de paiement à la demande de l’utilisateur de services de paiement concernant un compte de paiement détenu auprès d’un autre prestataire de services de paiement ». L’initiation de paiement tient du paiement direct en ligne de compte à compte par virement : « ces services de paiement interviennent dans les paiements dans le cadre du commerce électronique en établissant une passerelle logicielle entre le site Internet du commerçant et la plate-forme de banque en ligne du prestataire de services de paiement gestionnaire de compte du payeur en vue d’initier des paiements par l’Internet sur la base d’un virement » (DSP 2, cons. 27). Il assurera au bénéficiaire que le paiement a été initié, si bien que ce dernier sera incité à livrer les biens ou fournir les services sans retard injustifié (cons. 29). « L’initiation de paiement crée une perturbation certaine dans notre classification tripartite des opérations de paiement (CMF, art. L. 133-3 II). Sont-elles ordonnées : – Par le payeur, qui donne un ordre de paiement à son PSP ? Il s’agit là d’une opération de paiement. – Par le payeur, qui donne un ordre de paiement par l’intermédiaire du bénéficiaire ? Nous sommes en présence d’un paiement par carte. – Par le bénéficiaire, qui donne un ordre de paiement au PSP du payeur fondé sur le consentement du payeur au bénéficiaire ? C’est de virement dont il est question. Mais où rangera-t-on l’initiation de paiement ? Elle semble certes déclencher une opération de virement mais son client serait le bénéficiaire… »1014. Les prestataires de services d’initiation de paiement seront soumis à un agrément préalable obligatoire avant tout exercice de leur activité, mais cet agrément est 1013. Directive n° 2015/2366/UE du Parlement européen et du Conseil du 25 novembre 2015 concernant les services de paiement dans le marché intérieur, modifiant les directives n° 2002/65/CE, n° 2009/110/CE et n° 2013/36/UE et le règlement n° 1093/2010/UE, et abrogeant la directive n° 2007/64/CE (Texte présentant de l’intérêt pour l’EEE), JOUE n° 337, 23 déc. 2015, p. 35. 1014. P. Storrer, « Du droit de donner libre accès à son compte de paiement », Banque & Droit, juill.-août 2016, p. 14.
l es
services disposant d ’ un cadre juridique
| 387
allégé par rapport aux autres prestataires de services de paiement. Ils doivent, en revanche, souscrire au même titre que les agrégateurs de comptes de paiement une assurance en responsabilité civile professionnelle. Ils bénéficieront du passeport (DSP 2, cons. 41) et seront recensés dans les registres de l’ABE (art. 15). Le dispositif de lutte contre les abus du droit d’établissement (cons. 36) devrait leur être applicable. Conformément aux articles 66 et 67 de la DSP 2, les prestataires ne devraient pas : – pouvoir fournir leur service sans le consentement explicite du donneur d’ordre au payeur ; – demander à l’utilisateur des données autres que celles nécessaires à la fourniture du service d’initiation ; – détenir les fonds du payeur en liaison avec la fourniture du service d’initiation de paiement ; – modifier le montant, le bénéficiaire ou toute autre caractéristique de l’opération. Le prestataire de services d’initiation de paiement doit veiller à la confidentialité des données de sécurité personnalisées du client, s’identifier auprès du PSP gestionnaire du compte et communiquer avec lui et l’utilisateur de manière sécurisée. De son côté, le PSP gestionnaire de compte se doit également de communiquer de manière sécurisée et de traiter les demandes de données sans discriminations « autres que fondées sur des raisons objectives ». § 2 – Régime juridique de l’agrégation de comptes de paiement
874. L’agrégation de comptes de paiement1015 ou service d’information sur les comptes se définit au sens de la DSP 2 comme « un service en ligne consistant à fournir des informations consolidées concernant un ou plusieurs comptes de paiement détenus par l’utilisateur de services de paiement soit auprès d’un autre
1015. Un compte de paiement se définit comme « un compte qui est détenu au nom d’un ou plusieurs utilisateurs de services de paiement et qui est utilisé aux fins d’exécution d’opérations de paiement » (art. 4.12). Le pouvoir réglementaire ou le législateur devraient déterminer si peuvent être qualifiés de compte de paiement : – les comptes de cantonnement entendus au sens de l’article L. 522-17 du Code monétaire et financier comme des comptes tenus par un établissement de crédit habilité à recevoir des fonds à vue du public et ou les fonds restant sur le compte de l’utilisateur de services de paiement à la fin du jour ouvrable suivant le jour où ils ont été reçus, tel que défini au d) de l’article L. 133-4, sont déposés ; – les comptes de dépôt prévus à l’article L. 312-1 du Code monétaire et financier ; – les comptes de monnaie électronique (la monnaie électronique étant définie à l’article L. 315-1 du Code monétaire et financier).
388 | B anque
et
a ssurance
digitales
prestataire de services de paiement, soit auprès de plus d’un prestataire de services de paiement » (art. 4. 16). Cela signifie que l’agrégateur de comptes de paiement doit être entendu comme un prestataire de services de paiement à part entière1016. Les prestataires d’information sur les comptes pourront accéder en ligne aux informations des comptes de paiement désignés et aux opérations de paiement associées. 875. La particularité de ces activités est l’absence d’entrée en possession de fonds de clients, le service d’information sur les comptes n’entraîne même aucun contrôle de ces fonds, ni aucune opération de paiement. Le prestataire fournit donc ses services en s’appuyant sur les comptes de paiement tenus par d’autres PSP et en fournissant un service complémentaire aux services de paiement traditionnels. Cette absence de détention a conduit le législateur européen à considérer que ces nouveaux services présentaient un risque modéré et à exporter leurs services dans tout l’Espace économique européen. L’article 331017 établit que les personnes physiques ou morales fournissant uniquement le service d’information sur les comptes sont traitées comme des établissements de paiement. Cependant, cet article a surtout pour objet de définir les contours de leur régime juridique. Celui-ci apparaît comme considérablement allégé. Pour exemple, au sein de la section I et II relatives aux règles applicables aux établissements de paiement, seule une partie de l’article 5 (demandes d’agrément) et les articles 14 (enregistrement dans l’État membre d’origine) et 15 (registre de l’ABE) leur sont applicables. De même, concernant les dispositions en matière de transparence et d’information, seuls les articles 41 (charge de la preuve s’agissant des exigences en matière d’information), 45 et 52 relatifs respectivement aux informations sur les opérations de paiement isolées et les contrats-cadres. Les prestataires qui n’exercent que le service d’agrégation de comptes de paiement seront agréés comme n’importe quel autre établissement de paiement, mais bénéficieront d’exigences prudentielles assouplies avec un capital initial de 1016. « Les services d’information sur les comptes » sont cités comme étant des services de paiement (annexe I, point 8). 1017. DSP 2, art. 33 : « Prestataires de services d’information sur les comptes 1. Les personnes physiques ou morales fournissant uniquement le service de paiement visé à l’annexe I, point 8, sont exemptées de l’application de la procédure et des conditions fixées dans les sections I et II, à l’exception de l’article 5, paragraphe 1, points a), b), e) à h), j), l), n), p) et q), de l’article 5, paragraphe 3, et des articles 14 et 15. La section III s’applique, à l’exception de l’article 23, paragraphe 3. 2. Les personnes visées au paragraphe 1 du présent article sont traitées comme des établissements de paiement, étant entendu que les titres III et IV ne leur sont pas applicables, à l’exception des articles 41, 45 et 52, le cas échéant, et des articles 67, 69 et 95 à 98 ».
l es
services disposant d ’ un cadre juridique
| 389
50 000 euros et aucune autre exigence en fonds propres. Les personnes physiques ou morales qui n’exercent que le service d’informations sur les comptes seront, quant à elles, dispensées d’agrément et d’exigences prudentielles. Elles devront seulement se soumettre à une procédure d’enregistrement spécifique. Toutefois, les prestataires d’initiation de paiement comme les prestataires d’information sur les comptes devront être couverts par une assurance en responsabilité civile professionnelle ou une garantie équivalente couvrant les territoires où ils fournissent leurs services et dont le montant minimal devra être déterminé selon les critères définis par une orientation à venir de l’ABE. Enfin, ce nouveau statut permettra aux prestataires fournissant ces services de bénéficier de la reconnaissance mutuelle et d’exercer leurs activités en libre établissement ou en libre prestation de services dans tous les États membres de l’UE ou parties à l’EEE. De même, les prestataires d’information sur les comptes pourront accéder en ligne aux informations des comptes de paiement désignés et aux opérations de paiement associées. Ce droit d’accès est considéré par les acteurs traditionnels comme une source de faille potentielle dans leurs dispositifs de sécurité. Toutefois, les risques induits par ce droit d’accès doivent être appréciés en regard des mesures adoptées pour renforcer la sécurité et de l’aménagement de règles de responsabilité. 876. Le renforcement de la sécurité par la DSP 2 revêt deux aspects principaux : – l’authentification forte (v. partie I, chapitre III, section II) ; – la sécurité des communications (v. partie I, chapitre IV). La DSP 2 entend répondre à l’une des problématiques les plus aiguës du système : l’accès par les prestataires aux informations contenues au sein des comptes. En effet, quels accès les banques doivent-elles réserver à ces nouveaux acteurs sur leurs bases de données clients ? Quels doivent être les éventuels accords entre ces nouveaux prestataires et les banques ? Par le biais de l’article 67 « Règles relatives à l’accès aux données des comptes de paiement et à l’utilisation de ces données en cas de services d’information sur les comptes », la DSP 2 fixe plusieurs principes. Tout d’abord, il est affirmé qu’un utilisateur de services de paiement peut recourir à des services permettant l’accès aux données des comptes si tant est que celui-ci soit accessible en ligne. De plus, la DSP 2 impose plusieurs limites concernant l’accès par les prestataires de services d’information aux informations ainsi mises à leur disposition, mais également concernant leur utilisation. Ainsi, une fois recueilli le consentement explicite de l’utilisateur, ces prestataires ne peuvent accéder qu’aux comptes désignés et ne peuvent les utiliser à d’autres fins que la fourniture du service.
390 | B anque
et
a ssurance
digitales
Surtout, par cet article, la DSP 2 impose à chacun des acteurs des obligations réciproques. Le prestataire de services d’information sur les comptes doit veiller à la confidentialité des données de sécurité personnalisées du client, s’identifier auprès du PSP gestionnaire du compte et communiquer avec lui et l’utilisateur de manière sécurisée. De son côté, le PSP gestionnaire de compte se doit également de communiquer de manière sécurisée et de traiter les demandes de données sans discriminations « autres que fondées sur des raisons objectives ». L’accès au compte pour commencer une opération de paiement est certes concevable en soi. En revanche, le fait de s’y introduire pour en récupérer des informations, même sans mouvementer des fonds est déjà plus dangereux dès lors que les données de paiement l’emporteront sur le paiement lui-même. 877. L’article 94-2 double l’exigence de finalité du traitement de données à caractère personnel (lutte contre la fraude) par le recueil du consentement : « les prestataires de services de paiement n’ont accès à des données à caractère personnel nécessaires à l’exécution de leurs services de paiement, ne les traitent et ne les conservent qu’avec le consentement explicite de l’utilisateur de services de paiement ». Enfin, l’article spécifie clairement qu’il n’est pas nécessaire que les deux interlocuteurs entretiennent des relations contractuelles. Certains auteurs ont, cependant, souligné que ces mesures reposaient sur une forme de paradoxe car si la directive vise à assurer la sécurité des services de paiement, en donnant plus de choix aux consommateurs, elle augmente corrélativement les risques liés à la sécurité1018. § 3 – Quelles actions à venir ?
878. La Loi n° 2016-1691 du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique (JO du 10 décembre 2016) prévoit, à l’article 70, les dispositions permettant au Gouvernement, dans un délai de 18 mois, de transposer celles de la directive. Cependant, ces dispositions devraient être adoptées dans un délai plus court, la directive indiquant dans son article 115 que « les États membres adoptent et publient avant le 13 janvier 2018 les dispositions nécessaires pour se conformer à la présente directive (…) ». En tout état de cause, les dispositions transitoires de cet article permettent aux prestataires qui exerçaient déjà avant le 12 janvier 2016 de continuer leur activité pendant cette période conformément au cadre réglementaire en vigueur.
1018. S. Gobalakichenin : « Agrégateurs et initiateurs de paiement face au risque de fraude : les enjeux liés aux nouveaux services de paiement », Rev. Banque 2015, disponible sous le lien : http://www.revue-banque.fr/management-fonctions-supports/article/agregateursinitiateurs-paiement-face-au-risque-fr
l es
services disposant d ’ un cadre juridique
| 391
Pendant cette période et aux termes de l’article 98, l’« European Banking Authority » (EBA ou ABE en français) élabore des projets de normes techniques de réglementation à l’intention des prestataires de services de paiement. Parmi ces normes, l’article 67 lui confie l’élaboration des normes relatives à l’identification et à la communication entre les PSP et les prestataires de services d’information. L’ABE a soumis ces projets de normes techniques à la Commission européenne le 23 février 20171019. De fait, l’ABE affiche sur son site plusieurs documents sous le statut « Under development » et, notamment, le projet de « Regulatory Technical Standards on strong customer authentication and secure communication under PSD2 ». Ce projet de norme devait reposer sur une authentification forte du client, ceci afin de favoriser la confiance entre les différents acteurs. À noter que certains États prennent d’ores et déjà des mesures pour effacer la résistance des banques. Tel est le cas de l’Allemagne, où l’Autorité de la concurrence allemande (« Bundeskartellamt ») a considéré que les banques nationales allemandes ne respectaient pas le droit de la concurrence en interdisant, pour des prétendus motifs de sécurité, à leurs clients d’utiliser leurs numéros d’identification personnels et leurs numéros de transaction dans les systèmes de paiement non bancaires1020. De fait, les banques ont été longtemps réticentes à accepter la création de ces services, mais également à les proposer. En effet, les banques n’ont pas manqué d’être rapidement confrontées à des risques issus de ces pratiques, notamment en termes de relation-client et, corrélativement, de désintermédiation1021. Boursorama Banque a lancé officiellement son propre agrégateur de données1022, un outil permettant d’agréger les opérations en provenance de différents comptes bancaires et de gérer son budget. Aujourd’hui, les établissements bancaires, financiers ou assurantiels traditionnels se posent de manière prégnante la question de la prise de participation dans les agrégateurs de comptes de paiement et initiateurs d’opérations de paiement. Toutefois, cela ne doit pas se faire sans « due diligences » contractuelles, sécurité, données à caractère personnel fondées sur la DSP 2. 1019. V. EBA/RTS/2017/02. 1020. Bundeskartellamt press releases, 5 juill. 2016 : « Restriction of online payment services by German banking industry in violation of competition law », disponible sous le lien : http://www.bundeskartellamt.de/SharedDocs/Meldung/EN/Pressemitteilungen/2016/ 05_07_2016_Sofort%C3%BCberweisung.html?nn=3599398 1021. M. Giordanengo, « L’agrégation de comptes bouscule la banque de détail », Rev. Banque 2016, disponible sous le lien : http://www.revue-banque.fr/banque-detail-assurance/article/ agregation-comptes-bouscule-banque-detail 1022. S. Chaptal, « Boursorama lance officiellement son agrégateur de comptes », Rev. Banque 2011, n° 737, disponible sous le lien : http://www.revue-banque.fr/banque-detail-assurance/ breve/boursorama-lance-officiellement-son-agregateur-com
392 | B anque
et
a ssurance
digitales
SECTION III LES PLATEFORMES DE CROWDFUNDING 879. Depuis ces dernières années, la pratique du « crowdfunding », entendue comme « un système ouvert au public de participation financière à des projets proposés par des plates-formes Internet agissant en qualité d’intermédiaires »1023, s’est fortement développée. Mais derrière ce terme coexistent trois modes différents1024 de financement participatif : – le crowdgiving, qui consiste à contribuer à un projet via un don ; – le crowdlending, qui consiste à contribuer à un projet par l’octroi d’un prêt ; – le crowdfunding, qui consiste à contribuer à un projet sous forme de titres de financement. Éléments de contexte 880. Les pratiques de crowdfunding ne disposaient pas d’un régime juridique propre, ce qui rendait difficile leur appréhension juridique. Afin de pallier l’absence de règles précises et spécifiques, mais également pour clarifier la situation des acteurs du financement participatif, l’AMF et l’ACPR ont publié le 14 mai 2013 deux guides1025 : l’un à destination des plateformes et l’autre à destination des porteurs. Dès septembre 2013, elles ont lancé une consultation publique sur les réformes envisageables et ont formulé des propositions afin de faciliter le développement du financement participatif1026. Cette réforme était attendue car cette forme de financement soulevait de nombreuses questions1027. La première étape d’adoption de règles spécifiques au financement participatif renvoie à l’habilitation confiée au Gouvernement de favoriser le développement
1023. G. Leclair, « Crowdfunding : peut-on raisonnablement être associé avec… la foule ? », JCP éd. E & A 2013, 1709. 1024. J. M. Mouin, « Régulation du crowdfunding : de l’ombre à la lumière », Bull. Joly Bourse, 1er juill. 2014, n° 7-8, p. 356. 1025. AMF et ACPR, « Guide du financement participatif (crowdfunding) à destination des plateformes et des porteurs de projet », 13 mai 2013 : http://www.acp.banque-france.fr/ fileadmin/user_upload/acp/Communication/Communiques%20de%20presse/20130514guide-professionnel-crowdfunding.pdf 1026. AMF et ACPR, « Consultation publique sur les réformes envisageables pour accompagner les initiatives du financement participatif (crowdfunding), un nouveau cadre pour faciliter le développement du financement participatif », 30 sept. 2013 : http://www.amf-france.org/ Publications/Consultations-publiques/Archives.html?docId=workspace%3A%2F%2FSpaces Store%2F9ca0ca5a-e7b5-40df-8391-122027eb7cc0 1027. J.-M. Moulin, « La régulation du crowdfunding à la française », RDBF n° 4, oct. 2013 ; P. Storrer, « Crowdfunding, bitcoin : quelle régulation ? », D. 2014, p. 832.
l es
services disposant d ’ un cadre juridique
| 393
du financement participatif1028. Par la suite, une ordonnance1029 en date du 30 mai 2014 relative au financement participatif est entrée en vigueur le 1er octobre 20141030. Cette ordonnance a été suivie par un décret1031 en Conseil d’État du 16 septembre 2014 venant préciser diverses mesures. L’ordonnance a entendu distinguer selon que le financement participatif est effectué sous forme de titres, de prêts ou de dons. Ainsi, elle a créé deux statuts de plateformes, propres à chacun de ces financements1032 : d’une part, les plateformes de financement participatif sous forme de titres (§ 1) et, d’autre part, les plateformes de financement participatif sous forme de dons et de prêts (§ 2). Pour autant, les deux types de plateforme créés sont soumis à certaines dispositions communes (§ 3).
1028. Loi n° 2014-1 du 2 janvier 2014 habilitant le Gouvernement à simplifier et sécuriser la vie des entreprises, JO 3 janv. 2014, p. 50. L’article 1 dispose : « Dans les conditions prévues à l’article 38 de la Constitution, le Gouvernement est autorisé à prendre par ordonnances toute mesure relevant du domaine de la loi afin : (...) 3° De favoriser le développement du financement participatif dans des conditions sécurisées, notamment en : a) Créant un statut de conseiller en investissement propre au financement participatif ainsi que les conditions et obligations qui s’y attachent ; b) Adaptant au financement participatif le régime et le périmètre des offres au public de titres financiers par les sociétés qui en bénéficient et en modifiant le régime de ces sociétés en conséquence ; c) Étendant au financement participatif les exceptions à l’interdiction en matière d’opérations de crédit prévue à l’article L. 511-5 du Code monétaire et financier ». 1029. Ordonnance n° 2014-559 du 30 mai 2014 relative au financement participatif, JO 31 mai 2014 p. 9075 ; F.-J. Crédot et Th. Samin, « Ordonnance n° 2014-559 du 30 mai 2014 relative au financement participatif », RDBF n° 5, sept. 2014, comm. 163. 1030. « La réforme du crowdfunding en vigueur », RLDI 2014, n° 108. 1031. Décret n° 2014-1053 du 16 septembre 2014 relatif au financement participatif, JO 17 sept. 2014, p. 15228 ; « Financement participatif : publication du décret d’application », RLDA 2014, n° 97 ; Th. Bonneau, « Le financement participatif », JCP éd. E & A 2014, 1523 ; X. Delpech, « Publication du décret sur le financement participatif », Dalloz actualité, 24 sept. 2014. Ce décret est notamment venu préciser : « s’agissant du financement participatif sous forme de prêts, le décret fixe les plafonds applicables aux prêts et aux emprunts. Il fixe les conditions d’honorabilité et de capacité professionnelle requises pour l’exercice de l’activité, les règles de bonne conduite applicables aux intermédiaires en financement participatif ainsi que les mentions qui doivent figurer sur les contrats type mis à disposition des prêteurs et des emprunteurs. Il prévoit des obligations allégées pour les intermédiaires en financement participatif qui présentent des appels aux dons. Le décret prévoit les conditions d’immatriculation des conseillers en investissements participatifs et des intermédiaires en financement participatif sur le registre unique géré par l’organisme pour le registre des intermédiaires en assurance (ORIAS). Il précise les règles applicables aux établissements de paiement qui bénéficient d’un régime prudentiel allégé, en matière de capital et de montant d’opérations de paiement qu’ils peuvent effectuer. Enfin, le décret comporte les dispositions applicables aux outre-mer » (notice du décret). 1032. P.-H. Conac, « Le nouveau régime du financement participatif (crowdfunding) », Rev. soc. 2014, p. 461 ; N. Rontchevsky, « Instauration d’un cadre juridique du financement participatif », RTD com. 2014, p. 662 ; A.-V. Le Fur, « Enfin un cadre juridique pour le crowdfunding, une première étape dans la réglementation », D. 2014, p. 1831.
394 | B anque
et
a ssurance
digitales
§ 1 – Les plateformes de financement participatif sous forme de titres
881. Le financement participatif sous forme de titres est proposé par les conseillers en investissement participatif, dont le statut a été créé1033 et encadré par l’ordonnance du 30 mai 2014. A.
Le conseiller en investissement participatif
882. Le statut de conseiller en financement participatif est défini à l’article 547-1-I du Code monétaire et financier. Il s’agit de « personnes morales exerçant à titre de profession habituelle une activité de conseil en investissement (…) portant sur des offres de titre de capital et de titres de créances définies par décret » mené au moyen d’un site Internet remplissant les caractéristiques fixées par le règlement général de l’AMF1034.
1033. A.-C. Muller, « Création du statut de Conseiller en Investissements Participatifs (CIP) », RDBF 2014, comm. 149. 1034. L’article 217-1 du règlement général de l’AMF dispose : « En cas d’offres réalisées par l’intermédiaire d’un site internet dans les conditions prévues à l’article 325-32 et ne faisant pas l’objet d’un prospectus visé par l’AMF, l’émetteur doit fournir par l’intermédiaire de ce site préalablement à toute souscription : 1° Une description de son activité et de son projet, accompagnée notamment des derniers comptes existants, des éléments prévisionnels sur l’activité ainsi que d’un organigramme de l’équipe dirigeante et de l’actionnariat ; 2° Une information sur le niveau de participation auquel les dirigeants de l’émetteur se sont eux-mêmes engagés dans le cadre de l’offre proposée ; 3° Une information exhaustive sur tous les droits attachés aux titres offerts dans le cadre de l’offre proposée (droits de vote, droits financiers et droits à l’information) ; 4° Une information exhaustive sur tous les droits (droits de vote, droits financiers et droits à l’information) attachés aux titres et catégories de titres non offerts dans le cadre de l’offre proposée ainsi que les catégories de bénéficiaires de ces titres ; 5° Une description des dispositions figurant dans les statuts ou un pacte et organisant la liquidité des titres ou la mention explicite de l’absence de telles dispositions ; 6° Les conditions dans lesquelles les copies des inscriptions aux comptes individuels des investisseurs dans les livres de l’émetteur, matérialisant la propriété de leur investissement, seront délivrées ; 7° Une description des risques spécifiques à l’activité et au projet de l’émetteur ; 8° Une copie des rapports des organes sociaux à l’attention des assemblées générales du dernier exercice et de l’exercice en cours ainsi que, le cas échéant, une copie du (ou des) rapport(s) du (ou des) commissaire(s) aux comptes réalisé(s) au cours du dernier exercice et de l’exercice en cours. L’émetteur est responsable du caractère complet, exact et équilibré des informations fournies. Une instruction de l’AMF précise les modalités de mise en œuvre de cet article ». L’article 325-32 du règlement général de l’AMF énonce : « En application du I de l’article L. 547-1 du Code monétaire et financier, les caractéristiques que doit présenter le site internet sont les suivantes : – l’accès aux détails des offres est réservé aux investisseurs potentiels qui ont fourni leurs coordonnées et qui ont pris connaissance des risques et les ont expressément acceptés ; – la souscription aux offres suppose que les investisseurs potentiels aient préalablement fourni les informations requises au 6° de l’article L. 547-9 du Code monétaire et financier ; – le site doit proposer plusieurs projets ; – les projets ont été sélectionnés sur la base de critères et selon une procédure préalablement définis et publiés sur le site ».
l es
services disposant d ’ un cadre juridique
| 395
Le conseiller en financement participatif ne constitue, ni plus, ni moins, qu’une sous-catégorie de conseillers en investissement, lesquels exercent à titre de profession habituelle les activités de conseil en investissement sur des titres financiers, de conseil sur la fourniture de services d’investissement et, sous certaines conditions, de conseil sur la réalisation d’opérations sur des biens divers. 883. De cette façon, afin de bénéficier de la qualification de conseiller en investissement participatif (CIP), la plateforme doit donc : – être établie en France, – être une personne morale, – exercer à titre de profession habituelle : • une activité de conseil en investissement portant sur des offres de titre de capital et de titres de créances, étant précisé par le décret n° 2016-1453 du 28 octobre 2016 relatif aux titres et aux prêts proposés dans le cadre du financement participatif que l’activité de conseil en investissement participatif porte sur les offres d’actions ordinaires et d’obligations à taux fixe1035 ; • via un site Internet conformément au règlement général de l’AMF mais aussi à la loi pour la République numérique1036. 884. Ce dernier prévoit que : – l’accès aux détails des offres est réservé aux investisseurs potentiels qui ont fourni leurs coordonnées et qui ont pris connaissance des risques et les ont expressément acceptés ; – la souscription aux offres suppose que les investisseurs potentiels aient préalablement fourni les informations requises aux 6°1037 de l’article L. 547-9 du Code monétaire et financier (v. obligation d’information) ; – le site doit proposer plusieurs projets ; – les projets ont été sélectionnés sur la base de critères et selon une procédure préalablement définis et publiés sur le site.
1035. CMF, art. D. 547-1. 1036. V. notamment N. Martial-Braz, « République numérique », RDBF 2016, comm. 204, sur la possibilité d’appliquer le statut d’opérateur de plateforme en ligne prévu à l’article L. 111-7 du Code de la consommation (nouveau) aux « Intermédiaires en financement participatif » (n° 2). 1037. Les CIP doivent « s’enquérir auprès de leurs clients ou de leurs clients potentiels de leurs connaissances et de leur expérience en matière d’investissement ainsi que de leur situation financière et de leurs objectifs d’investissement, de manière à s’assurer que l’offre proposée est adaptée à leur situation. Lorsque les clients ou les clients potentiels ne communiquent pas les informations requises, l’offre ne peut pas être considérée comme adaptée ».
396 | B anque
et
a ssurance
digitales
L’activité des conseillers en investissement participatif est limitée à certaines prestations. Ainsi, ils ne peuvent fournir que les prestations suivantes : – des conseils en matière de : • structure de capital ; • de stratégie industrielle et de questions connexes ; • de fusions et de rachat d’entreprises ; – prestation de prise en charge des bulletins de souscription dans les conditions du règlement général de l’AMF ; – donner des consultations juridiques à titre de profession habituelle et rédiger des actes sous seing privé pour autrui uniquement dans les conditions et limites des articles 54, 55 et 60 de la loi du 31 décembre 19711038 ; – des services d’investissement sans être soumis à la procédure d’agrément. Cependant, ils ne pourront prétendre au bénéfice des dispositions des articles L. 532-16 à L. 532-27 ; – une activité d’intermédiation en financement participatif dès lors qu’ils ne fournissent pas de services de paiement. Les CIP sont autorisés à se livrer ou à recourir à des activités de démarchage bancaire ou financier en vertu de l’article L. 341-3-6° du Code monétaire et financier. Dans l’exercice de leur activité, les conseillers en investissement participatif doivent respecter un certain nombre d’obligations. Toutefois, il est à noter que les Prestataires de services en investissement (PSI) ayant reçu un agrément pour fournir un service de conseil en investissement au sens du 5° de l’article D. 321-1 du Code monétaire et financier1039, ne sont pas soumis à ces obligations. B.
Le régime juridique des conseillers en financement participatif
885. Les conseillers en financement participatif sont tenus à un certain nombre d’obligations (1) sous le contrôle de l’AMF (2).
1038. Loi n° 71-1130 du 31 décembre 1971 portant réforme de certaines professions judiciaires et juridiques. 1039. CMF, art. D. 321-1 : « 5. Constitue le service de conseil en investissement le fait de fournir des recommandations personnalisées à un tiers, soit à sa demande, soit à l’initiative de l’entreprise qui fournit le conseil, concernant une ou plusieurs transactions portant sur des instruments financiers. Le règlement général de l’Autorité des marchés financiers précise la notion de recommandation personnalisée au sens de la présente disposition ».
l es 1.
Obligations
a.
Formalités
services disposant d ’ un cadre juridique
| 397
886. Avant toute chose, les conseillers en investissement participatif doivent être immatriculés au registre unique des intermédiaires (ORIAS) et doivent adhérer à une association chargée du suivi de ses membres dans les conditions fixées par le règlement général de l’AMF. Par ailleurs, ils doivent pouvoir justifier à tout moment de l’existence d’un contrat d’assurance les couvrant, en cas de manquement à leurs obligations professionnelles, contre les conséquences pécuniaires de leur responsabilité civile professionnelle. Toutefois, les CIP sont tenus par cette obligation depuis le 1er juillet 20161040. Au surplus, les dirigeants des plateformes de conseil en investissement participatif devront répondre aux exigences d’honorabilité et de compétences énoncées à l’article D. 547-2 et D. 547-3 du Code monétaire et financier. b.
Interdictions
887. Il est précisé que les conseillers en investissement participatif ne peuvent recevoir que les fonds destinés à les rémunérer, et donc en aucun cas recevoir les titres financiers de leurs clients. De ce fait, ils ne peuvent pas exercer l’activité d’établissement de paiement consistant à recevoir et transmettre des fonds. c.
Obligations
888. En outre, afin de protéger leurs clients, les conseillers en investissement participatif sont soumis à des règles de bonne conduite (précisées en particulier dans le règlement général de l’AMF). Ainsi, ils sont tenus à des obligations de loyauté, de mise en garde et d’information en vertu de l’article L. 547-9 du Code monétaire et financier. Ces obligations ont vocation à leur permettre de prévenir leurs clients des risques auxquels ils s’exposent et de s’assurer que l’offre proposée est adaptée. Ce faisant, les conseillers en financement participatif doivent : – s’informer des connaissances et expériences en matière d’investissement, de la situation financière ainsi que des objectifs d’investissement de leurs clients ; – informer les clients de la nature des prestations fournies aux émetteurs de titres, des frais qui s’y rapportent, de la nature juridique et de l’étendue des relations entretenues avec l’émetteur.
1040. Article 37 de l’ordonnance du 30 mai 2014 relative au financement participatif.
398 | B anque
et
a ssurance
digitales
Si la société dans laquelle le client souhaite investir (directement ou indirectement) a pour objet de détenir et de gérer des participations dans une autre société, le conseiller en financement participatif doit : – s’assurer que ces sociétés respectent les prescriptions de l’article L. 227-2-1 du Code de commerce, – que leurs clients ne sont pas lésés, – qu’ils disposent de toutes les informations nécessaires à l’appréciation de leur investissement, – le cas échéant, qu’ils sont destinataires du rapport du commissaire aux comptes aux associés. 2.
Le contrôle des conseillers en investissement participatif
889. L’AMF veille au respect des obligations légales, réglementaires ou professionnelles des conseillers en investissement participatif 1041. L’AMF veille à la régularité des « offres ne donnant pas lieu à la publication du document d’information mentionné au premier alinéa du I de l’article L. 412-11042 et réalisée par l’intermédiaire (…) d’un conseiller en investissements participatifs au moyen de son site Internet ». Étant soumis au contrôle de l’AMF, les CIP : – doivent une contribution dont le montant est supérieur à 400 euros mais inférieur ou égal à 1 000 euros ; – peuvent faire l’objet de sanctions de la part de la Commission des sanctions de l’AMF. Quelle que soit la nature des faits reprochés les professionnels contrôlés par l’AMF encourent des sanctions disciplinaires (l’avertissement, le blâme, l’interdiction à titre temporaire ou définitif de l’exercice de toute ou partie des services fournis) et des sanctions pécuniaires. Ces dernières ne peuvent excéder cent millions d’euros ou le montant x 10 des profits éventuellement réalisés. Les sommes sont
1041. Article 2 de l’ordonnance du 30 mai 2014 et article L. 561-36-I-2° du Code monétaire et financier. 1042. « Sans préjudice des autres dispositions qui leur sont applicables, les personnes ou les entités qui procèdent à une offre au public de titres financiers ou à une admission de titres financiers aux négociations sur un marché réglementé doivent, au préalable, publier et tenir à la disposition de toute personne intéressée un document destiné à l’information du public, portant sur le contenu et les modalités de l’opération qui en fait l’objet, ainsi que sur l’organisation, la situation financière et l’évolution de l’activité de l’émetteur et des garants éventuels des titres financiers qui font l’objet de l’opération, dans des conditions prévues par le règlement général de l’Autorité des marchés financiers. Ce document est rédigé en français ou, dans les cas définis par le même règlement général, dans une autre langue usuelle en matière financière. Il comprend un résumé et doit être accompagné, le cas échéant, d’une traduction du résumé en français, sauf si l’opération est une admission aux négociations sur un marché réglementé sans offre au public au sens de l’article L. 411-1 ».
l es
services disposant d ’ un cadre juridique
| 399
versées au Trésor public ou au Fonds de garantie auquel est affilié le professionnel condamné. Néanmoins, l’AMF peut déléguer le contrôle de l’activité des conseillers en financement participatif aux associations chargées de leur suivi (auxquelles les CIP ont l’obligation d’adhérer)1043. Les conseillers en investissement participatif ne sont cependant pas les seuls acteurs du financement participatif. De fait, un autre statut de plateforme de financement participatif a été créé conjointement : celui des intermédiaires en financement participatifs. § 2 – Les plateformes de financement participatif sous forme de dons ou prêts
890. Les plateformes proposant un financement participatif sous forme de prêts ou dons vont recevoir la qualification d’intermédiaire en financement participatif lequel sera soumis à des obligations dans l’exercice de son activité. A.
L’intermédiaire en financement participatif
891. Un intermédiaire en financement participatif (IFP) est : – une personne morale ; – exerçant à titre de profession habituelle ; – une activité d’intermédiation en financement participatif, qui consiste en la mise en relation, au moyen d’un site Internet, des porteurs d’un projet déterminé et des personnes finançant ce projet1044. En principe, les intermédiaires en financement participatif ne peuvent pas exercer d’autres activités que celle d’intermédiation en financement participatif. Il leur est ainsi prohibé d’exercer les fonctions d’Intermédiaire en opération de banque et service de paiement (IOBSP) ainsi que celle de Conseillers en investissement (CIF). Cependant, à titre d’exception, ils peuvent l’exercer en plus de celles qu’ils exercent en qualité de : – établissements de crédit, et quand leur activité d’intermédiation en financement participatif est exercée à titre accessoire ; elle est également cumulable avec celle d’intermédiaire en assurance ; – société de financement ;
1043. CMF, art. L. 621-9-II-10 bis. 1044. CMF, art. L. 548-1.
400 | B anque
et
a ssurance
digitales
– établissement de paiement. Les IFP peuvent donc, en plus, fournir des services de paiement et, notamment, collecter les fonds levés afin de les reverser ensuite au porteur de projet. Cependant, le cas échéant, un agrément par l’ACPR en qualité d’établissement de paiement ou un enregistrement en tant qu’agent prestataire de services de paiement sera nécessaire ; – agent de prestataire de services de paiement ; – établissement de monnaie électronique ; – entreprise d’investissement ; – conseiller en investissement participatif (pour rappel, dès lors que les IFP ne fournissent pas des services de paiement car les CIP ne peuvent pas recevoir d’autres fonds que ceux destinés à les rémunérer). Le projet en recherche de financement est entendu comme consistant en « un achat ou un ensemble d’achat de biens ou prestations de services concourant à la réalisation d’une opération prédéfinies quant à son objet, son montant et son calendrier » (CMF, art. L. 548-1). Le projet consistant en un achat, toute autre opération est exclue du financement participatif. Ainsi, par exemple, la recherche ne pourra pas lever de fond directement via ce type de plateforme (en revanche, on pourrait, entre autres, imaginer qu’elle puisse recourir à ce type de financement pour récolter de l’argent afin de financer l’achat de matériel nécessaire à la recherche). B.
Les modes de financement : prêts et/ou dons
892. Le financement d’un projet via une plateforme d’intermédiation en financement participatif peut être de deux natures : un don ou un prêt. Le prêt consenti en espèce par le prêteur est, a priori, un prêt de consommation dans la mesure où l’argent, prêté par le prêteur pour le financement du projet du porteur, se consomme dès qu’il est utilisé. De fait, le prêt de consommation (prêt) est défini comme « le contrat par lequel une des parties livre à une autre une certaine quantité de choses qui se consomment par l’usage, à la charge par cette dernière de lui en rendre autant de même espèce et qualité »1045. Par la suite, le prêt a la faculté d’être ou non à intérêts.
1045. C. civ., art. 1892.
l es 1.
services disposant d ’ un cadre juridique
| 401
Nature de la participation en fonction de la situation
893. Tout d’abord, il faut noter la création d’une nouvelle dérogation au monopole bancaire1046 permettant aux personnes physiques agissant à des fins non professionnelles ou commerciales de consentir des prêts rémunérés dans le cadre du financement participatif. De fait, en vertu de l’article L. 511-5 du Code monétaire et financier, les opérations de crédit à titre habituel sont l’apanage des établissements de crédit et des sociétés de financement. Si les utilisateurs ont toujours le choix entre la possibilité de faire un don ou un prêt, l’ordonnance a, dans certains cas, conditionné et a fortiori restreint la nature du financement possible en fonction de la finalité du projet du porteur : – Si les personnes (physiques et morales) agissent à des fins professionnelles, le projet pourra être financé par des : • crédits1047 (prêt à intérêt) ; • prêts ; • et dons. – Si les personnes physiques souhaitent financer une formation initiale ou continue, le projet pourra être financé par des : • crédits ; • prêts sans intérêts sous réserve que les prêteurs n’agissent pas dans un cadre professionnel ou commercial ; • et des dons. – Si les personnes physiques n’agissent pas pour des besoins professionnels : • prêt sans intérêts, sous réserve que les prêteurs n’agissent pas dans un cadre professionnel ou commercial ; • dons. Il faut ici constater que le prêt ne peut, dans cette hypothèse, a priori, être octroyé que dépourvu d’intérêts.
1046. CMF, art. 511-6-7° ; v. aussi, « Les incidences sur le monopole bancaire et le monopole des prestataires de services de paiement de l’ordonnance sur le financement participatif », Gaz. Pal., 18 sept. 2014, n° 261, p. 5. 1047. Ceux visés par l’article L. 511-6 7° du Code monétaire et financier : 7. L’interdiction des opérations de crédit ne s’applique pas « Aux personnes physiques qui, agissant à des fins non professionnelles ou commerciales, consentent des prêts dans le cadre du financement participatif de projets déterminés, conformément aux dispositions de l’article L. 548-1 et dans la limite d’un prêt par projet. Le taux conventionnel applicable à ces crédits est de nature fixe et ne dépasse pas le taux mentionné à l’article L. 313-3 du Code de la consommation. Un décret fixe les principales caractéristiques de ces prêts, notamment leur durée maximale ».
402 | B anque
et
a ssurance
digitales
Bien que certaines plateformes proposent des financements uniquement par don, elles peuvent choisir le statut d’intermédiaire en financement participatif 1048 et seront alors soumises aux mêmes obligations que ce dernier. Résumé des modes de financement participatif des projets : Prêts avec intérêt
Prêts sans intérêt
Dons
Titres financiers
Personnes morales
X
X
X
X
Personnes physiques agissant à des fins professionnelles
X
X
X
Sans objet
Personnes physiques souhaitant financer une formation initiale ou continue
X
X*
X
Sans objet
Non
X*
X
Sans objet
Porteurs de projet
Autres personnes physiques n’agissant pas pour des besoins professionnels
* sous réserve que les prêteurs n’agissent pas dans un cadre professionnel ou commercial. Source : Document AMF, ACPR : S’informer sur le nouveau cadre applicable au financement participatif, 2014.
2.
Régime du prêt et du crédit
894. S’agissant du financement de projet par un prêt, il a été précisé suite au décret n° 2016-1453 du 28 octobre 2016 relatif aux titres et aux prêts proposés dans le cadre du financement participatif que : – le prêt sans intérêt (crédit) ne peut excéder 5 000 euros par prêteur et par projet ; – le crédit ne peut excéder 2 000 euros par prêteur et par projet et ne peut excéder 7 ans ; – le porteur de projet ne peut emprunter plus de 2,5 millions d’euros. Il appartient à l’IFP de s’assurer, en recueillant tout élément auprès du porteur de projet, que ce dernier respecte bien ces exigences. C.
Le régime juridique des intermédiaires en financement participatif
895. Dans l’exercice de leur activité d’intermédiation, les intermédiaires en financement participatif sont tenus à des obligations (1) et, de ce fait, soumis à une surveillance des autorités de contrôle en la matière. Cependant, ils peuvent être également amenés à travailler en collaboration avec elles. 1.
Les obligations encadrant l’activité d’IFP
896. Afin d’exercer leur activité, les intermédiaires en financement participatif doivent accomplir certaines formalités, mais également respecter des obligations. 1048. CMF, art. L. 548-2-II.
l es a.
services disposant d ’ un cadre juridique
| 403
Formalités
Les intermédiaires en financement participatif sont soumis à un grand nombre d’obligations énoncées par l’ordonnance. À l’instar des CIP, il incombe aux intermédiaires en financement participatif : – de s’immatriculer au registre ORIAS, afin de bénéficier du label ; – que ses dirigeants ou gérants remplissent des conditions d’honorabilité et de compétences1049 ; – de pouvoir justifier à tout moment d’un contrat d’assurance les couvrants contre les conséquences pécuniaires de sa responsabilité civile professionnelle en cas de manquement aux obligations de l’article L. 548-6 du Code monétaire et financier. b.
Obligations
Les obligations des intermédiaires en financement participatif sont prévues à l’article L. 548-6 du Code monétaire et financier. Il s’agit de règles de bonne conduite et d’organisation qui consistent principalement en des obligations d’information et de transparence. Ainsi, ils sont tenus de : – s’identifier auprès du public. Pour ce faire, ils indiquent : leur nom et leur dénomination sociale, l’adresse de leur siège social, leur adresse de courrier électronique, leur numéro d’immatriculation au registre et, le cas échéant, leur agrément en tant qu’établissement de paiement ; – procurer les conditions de sélection des porteurs et de leurs projets ; – fournir leurs conditions de rémunération et les frais exigés ; – fournir les informations sur les caractéristiques du projet et du prêt (montant total, durée, modalités et conditions de remboursement, possibilité ou non de se rétracter) ; – mettre en garde contre les risques encourus : • par le prêteur : la défaillance du porteur (à ce titre l’IFP doit informer sur les taux de défaillance enregistrés sur les projets déjà présentés sur la plateforme) ; • par le porteur : un endettement excessif et les conséquences d’un défaut de paiement ; – mettre à disposition un outil permettant au prêteur d’évaluer ses capacités de financement. Il est précisé que ces capacités seront évaluées en tenant compte du montant déclaré de ses ressources annuelles, de ses charges annuelles et de son épargne ; 1049. CMF, art. R. 548-2 et R. 548-3.
404 | B anque
et
a ssurance
digitales
– fournir un contrat-type de financement dont les mentions obligatoires sont précisées à l’article R. 548-6 du Code monétaire et financier ; – fournir un document récapitulatif au porteur de projet : montant total, taux conventionnel, durée du prêt, modalité de remboursement et coût total ; – définir et organiser les modalités de suivi des opérations de financement et de leur gestion jusqu’à leur terme, même dans l’hypothèse où il cesserait son activité. 2.
Relations avec les autorités de contrôle
897. D’une part, les intermédiaires en financement participatif entretiennent des relations avec la Banque de France. En effet, il est prévu que : – la Banque de France est habilitée à se faire communiquer par les IFP tous documents et renseignements nécessaires pour l’exercice de ses missions fondamentales1050 ; – dans l’autre sens, la Banque de France peut communiquer tout ou partie des renseignements qu’elle détient sur la situation financière d’entreprises aux IFP1051. D’autre part, les IFP peuvent être soumis au contrôle de l’Autorité de contrôle prudentiel et de résolution, auquel cas leur seront applicables « les dispositions relatives au traitement des établissements de crédit, des sociétés de financement, des établissements de monnaie électronique, des établissements de paiement et des entreprises d’investissement en difficultés »1052. Dans le cadre du contrôle par l’ACPR, et compte tenu des modalités particulières de contrôle dont elles font l’objet, une contribution forfaitaire comprise entre 100 et 300 euros est due sauf si l’activité d’intermédiation en financement participatif est exercée par les établissements suivants : établissement de crédit, établissement de paiement, établissement de monnaie électronique ou sociétés de financement. § 3 – Dispositions communes
898. Tout d’abord, les IFP et les CIP sont assujettis aux obligations de lutte contre le blanchiment des capitaux et le financement du terrorisme1053. Ensuite, ils sont susceptibles de faire l’objet de sanctions pénales. Ainsi, l’exercice par une personne physique de la profession de CIP ou d’IFP en violation des 1050. 1051. 1052. 1053.
CMF, art. L. 141-6. CMF, art. L. 144-1-II. CMF, art. L. 613-24 à L. 613-31-19. Cf. partie I, chapitre III, section I.
l es
services disposant d ’ un cadre juridique
| 405
conditions d’exercice est sanctionné par le Code monétaire et financier (par renvoi au Code pénal) de 5 ans d’emprisonnement et 375 000 euros d’amende. Des peines complémentaires sont également susceptibles d’être prononcées : – interdiction des droits civiques, civils et de famille ne pouvant excéder 5 ans (droit de vote, éligibilité – lesquels emportent l’interdiction ou l’incapacité d’exercer une fonction publique – exercice d’une fonction juridictionnelle ou d’expert devant une juridiction)1054 ; – interdiction pour une durée maximum de 5 ans d’exercer une fonction publique ou d’exercer une activité professionnelle ou sociale dans l’exercice de laquelle ou à l’occasion de laquelle l’infraction a été commise1055 ; – affichage ou diffusion de la décision1056. La plateforme, personne morale, peut également, le cas échéant, être déclarée pénalement responsable de cette violation dans l’hypothèse où l’infraction a été commise pour son compte, par ses organes ou représentants. Alors, elle encourt, d’une part, une amende de 1 875 000 euros1057 et, d’autre part, les peines prévues par l’article 131-39 du Code pénal. Sont ainsi envisagés par cet article : la dissolution, l’interdiction, à titre définitif ou pour une durée de cinq ans au plus, d’exercer directement ou indirectement une ou plusieurs activités professionnelles ou sociales, le placement sous surveillance judiciaire, fermeture définitive ou pour une durée de cinq ans au plus des établissements, l’affichage de la décision. Dans le souci de faciliter la compréhension et donc la mise en œuvre de ce nouveau régime juridique des plateformes de financement participatif, l’AMF et l’ACPR ont publié le 30 septembre 2014 un document1058 d’information à destination des porteurs et des plateformes et le 1er octobre 2014 leur position sur les placements non garantis et le financement participatif1059.
1054. 1055. 1056. 1057. 1058.
Modalités prévues à l’article 131-26 du Code pénal. Modalités prévues à l’article 131-27 du Code pénal. Modalités prévues à l’article 131-35 du Code pénal. En vertu de l’article 131-38 du Code pénal, 5 fois 375 000 euros. ACPR et AMF, « S’informer sur le nouveau cadre applicable au financement participatif (crowdfunding) », 30 sept. 2014. 1059. « L’ACPR et l’AMF précisent le cadre réglementaire du financement participatif (crowdfunding) », JCP éd E. et A. n° 41, 9 oct. 2014, act. 742 ; AMF, Communiqué de presse, 25 sept. 2014.
CHAPITRE II Les services en cours d’encadrement 899. D’autres services – souvent dans un premier temps décriés par les organismes bancaires, financiers ou d’assurances – sont en cours d’encadrement comme : – les monnaies virtuelles (section I) ; – la technologie blockchain (section II) ; – les API (section III) ; – ou les « Réseaux mobiles virtuels » (section IV).
SECTION I LES MONNAIES VIRTUELLES1060 900. Le 11 avril 2016, la Banque centrale chinoise indiquait ne pas interdire Bitcoin (au contraire de la Russie, ou de la Banque australienne). A contrario, Amazon annonçait 3 jours plus tard refuser les bitcoins1061 sur ses services. En août 2016, la plateforme d’échange de bitcoins Bitfinex avait annoncé le vol de quelque 65 millions de dollars détenus par ses utilisateurs, soit 119 756 bitcoins1062. Au mois de février 2014, la plateforme Internet MtGox, qui permettait d’échanger des euros contre des bitcoins, a été victime d’une cyberattaque massive : plus de 750 000 bitcoins représentant une valeur de plusieurs centaines de millions d’euros ont été dérobés à quelque 125 000 utilisateurs à travers le monde. Cette attaque a eu pour conséquence la fermeture de MtGox1063. Ainsi, dans les faits, au-delà de l’opposition entre partisans et détracteurs, le bitcoin (mais aussi Litecoin, Namecoin, Ripple, Dogecoin et d’autres crypto1060. P. Storrer, Le droit de la monnaie électronique (préf. J.-J. Daigre et M. Roussille), RB Édition, 2014. 1061. Le bitcoin est l’unité de compte utilisée par ce système de paiement tandis que Bitcoin désigne un système de paiement utilisant l’Internet. 1062. J.-M. de Jaeger, « Des pirates volent 72 millions de dollars à une plateforme de Bitcoin », Le Figaro, 3 août 2016. 1063. « Le Bitcoin évite le krach malgré la fermeture de MtGox », Numerama, 25 févr. 2014 : http:// www.numerama.com/magazine/28568-le-bitcoin-evite-le-krach-malgre-la-fermeture-demtgox.html
408 | B anque
et
a ssurance
digitales
monnaies ou monnaies virtuelles) existe et le droit ne peut faire l’économie d’une analyse pour en déterminer les caractéristiques (§ 1), mais aussi les risques qui y sont associés (§ 2). § 1 – Les caractéristiques des monnaies virtuelles
901. Les monnaies virtuelles (et la monnaie emblématique qu’est le bitcoin) sont souvent considérées comme des objets financiers dont la qualification juridique est incertaine. Si les définitions sont nombreuses et par moments convergentes (A), l’essai de qualification juridique reste non concluant pour l’heure (B). A.
Les définitions du bitcoin
902. Plusieurs entités en charge de la régulation du secteur financier ont donné une définition du bitcoin : – pour la Commission européenne : confrontée aux attaques terroristes en 2015, la Commission a publié un plan d’action pour renforcer la lutte contre le financement du terrorisme le 2 février 20161064. Pour ce faire, elle a proposé de modifier certains aspects de la directive antiblanchiment en luttant contre l’anonymat associé à l’utilisation des monnaies virtuelles. Pour la première fois, la Commission intègre une définition des monnaies virtuelles : « a digital representation of value that is neither issued by a central bank or a public authority, nor necessarily attached to a fiat currency, but is accepted by natural or legal persons as a means of payment and can be transferred, stored or traded electronically »1065 (proposition article 3.18) reprenant la définition de l’Autorité bancaire européenne (ABE) (voir cette définition en français infra) ; – pour la Banque de France, le bitcoin est avant tout considéré comme une monnaie alternative à la monnaie légale qui se définit comme « une unité de compte virtuelle stockée sur un support électronique permettant à une communauté d’utilisateurs d’échanger entre eux des biens et des services sans avoir à recourir à la monnaie légale »1066 ; – pour l’Autorité bancaire européenne (ABE), il s’agit d’une monnaie virtuelle définie comme « une représentation numérique d’une valeur qui n’est ni délivrée par une banque centrale, une autorité publique ni nécessairement attachée à une monnaie conventionnelle, mais qui est utilisée par une personne physique ou morale comme un 1064. V. notamment : http://ec.europa.eu/justice/criminal/files/aml-factsheet_en.pdf 1065. Proposal for a Directive of the European Parliament and of the Council amending Directive n° 2015/849/EU on the prevention of the use of the financial system for the purposes of money laundering or terrorist financing and amending Directive n° 2009/101/EC, COM (2016) 450 final, 2016/0208 (COD). 1066. « Les dangers liés au développement des monnaies virtuelles : l’exemple du Bitcoin », Banque de France, Focus, n° 10, déc. 2013, disponible sur le site : https://www.banque-france.fr
l es
services en cours d ’ encadrement
| 409
moyen d’échange et qui peut être transférée, conservée ou échangée électroniquement »1067 ; – pour l’AMF, reprenant la Banque centrale européenne, il constitue une « monnaie non régulée et numérique, qui est émise et généralement contrôlée par ses développeurs et qui est utilisée et acceptée par les membres de communautés virtuelles spécifiques »1068 ; – pour la « Commodity Futures Trading Commission » (CFTC) : il constitue une matière première (« commodity ») au sens du « Commodity Exchange Act » au même titre que l’or, l’argent, le blé ou le pétrole. Elle a, par conséquent, sanctionné les exploitants de la plateforme Coinflip et ses dirigeants pour non-enregistrement en qualité de plateforme de négociation de swaps1069. Pour les techniciens, le bitcoin est une crypto-monnaie, créée en 2009, du fait de son architecture. Elle fonctionne dans un réseau de pair à pair, à l’aide d’un logiciel et d’un protocole open source, sans aucune autorité de régulation et repose sur un système de cryptographie asymétrique (à clef publique et à clef privée). « Le réseau de la plus populaire des crypto-monnaies, le bitcoin inclut deux types de nœuds (node). En premier lieu, les nœuds intégraux (full node) sauvegardent l’intégralité des transactions et sont au nombre d’un peu moins de dix mille. Ils ont la mémoire de la totalité de la block chain. En second lieu, les nœuds de paiement simplifié, NPS (Simplified Payment Verification Node) n’incluent que l’en-tête des blocs qui constituent la quasi-totalité des nœuds du réseau et prennent la forme le plus souvent de portefeuille électronique. La block chain n’est que l’enchaînement de blocs d’information qui ont la forme suivante : Block #387330 Nombre de transactions
1485
Nombre total de bitcoins transférés
38.222,06451731
Nombre de bitcoins transférés à des personnes autres que l’expéditeur
4.153,76036301
Hash du bloc précédent (#387329)
00000000000000000595cb35c10cb47efe32 caba1773f0955800405d4c6f79d6
Merkle Root
b5058af01451be965f5a5b923118ade17e4b1 eb88e90bf0a10fc7b2db42dbc6b
1067. EBA « Opinion on “virtual currencies” », 4 juill. 2014 : http://www.eba.europa.eu 1068. AMF, « Cartographie 2014 des risques et tendances sur les marchés financiers et pour l’épargne », n° 15, juill. 2014, disponible sur le site : www.amf-france.org 1069. Commodity Futures Trading Commission, Press release PR7231-15, 17 sept. 2015.
410 | B anque
et
a ssurance
digitales
Frais totaux de transaction
0.2716368 BTC
Numéro de bloc
38733
Cible à atteindre
79,102,380,900.23
Clé de cible (nonce)
3122803744
Récompense de minage
25 BTC
Liste des transactions
[liste non reproduite]
Un SPV ne stocke qu’un sommaire du bloc (header) qui n’est formé qu’une partie des informations se trouvant dans le bloc. Il s’agit de la version du protocole bitcoin utilisée, le hash du bloc précédent, la racine Merkle (Merkle Root), l’heure à laquelle le bloc a été miné, la cible à atteindre et la clé de cible (nonce). Ce sont les nœuds du réseau qui traitent chacune des transactions »1070. En outre, les questions relatives à l’utilisation des blockchains seront traitées dans la section II du présent chapitre. B.
La difficulté de qualifier juridiquement les monnaies virtuelles
903. Si le bitcoin est une monnaie virtuelle, on ne peut cependant pas le qualifier de monnaie électronique au sens de l’article L. 315-1 du Code monétaire et financier (issu de la transposition de l’article 2.2 de la directive n° 2009/110/ CE), qui la définit comme « une valeur monétaire qui est stockée sous une forme électronique, y compris magnétique, représentant une créance sur l’émetteur, qui est émise contre la remise de fonds aux fins d’opérations de paiement définies à l’article L. 133-3 et qui est acceptée par une personne physique ou morale autre que l’émetteur de monnaie électronique ». De prime abord, le bitcoin ne peut être qualifié de monnaie électronique ou de moyen de paiement au sens de la directive « Services de paiement » (v. partie II, chapitre II, section III) dans la mesure où il n’est pas émis contre remise de fonds, et ce même si certaines exigences doivent trouver à s’appliquer1071. 1070. Pour une description détaillée et compréhensible des aspects techniques d’une transaction via bitcoin : M. Bali, « Les crypto-monnaies, une application des blockchain technologies à la monnaie », RDBF 2016, étude 8. 1071. Notons à ce titre que l’ABE, dans son « Opinion on the EU Commission’s proposal to bring Virtual Currencies into the Scope of Directive 2015/849/EU » (EBA-Op-2016-07) du 11 août 2016, a indiqué : « 17. The EBA’s views are based on its previous assessment, as conveyed in the EBA Opinion in July 2014, that suggests that, while some of the provisions of the PSD2 could potentially be suitable to address specific risks arising from virtual currencies, VCs incur additional, technology-specific risks that makes them distinct from conventional fiat currencies that are in the scope of PSD2. So-called ’51 % attacks’, for example, is one such risk, which describes a scenario in which a pool of miners attains 51 % of the computational power with which units of a particular VC scheme are mined, which in turn allows that pool to block transactions.
l es
services en cours d ’ encadrement
| 411
Pour l’heure, une certaine incohérence perdure entre les positions de la Banque de France ou de l’ABE et d’autres autorités en charge de la régulation du secteur bancaire en France ou en Europe. Ainsi, la position de l’ACPR relative aux opérations sur bitcoins en France1072 met en exergue le fait que : « dans le cadre d’une opération d’achat/vente de bitcoins contre une monnaie ayant cours légal, l’activité d’intermédiation consistant à recevoir des fonds de l’acheteur de Bitcoins pour les transférer au vendeur de Bitcoins relève de la fourniture de services de paiement. Exercer cette activité à titre habituel en France implique de disposer d’un agrément de prestataire de services de paiement (établissement de crédit, établissement de monnaie électronique ou établissement de paiement) délivré par l’ACPR ». Ainsi, les plateformes d’intermédiation1073 permettant la conversion de monnaies virtuelles doivent disposer de cet agrément1074, induisant – indirectement en tous les cas – une qualification de monnaie. Cette position semble renforcée par les amendements proposés par la directive anti-blanchiment : « 1. Member States shall ensure that providers of exchanging services between virtual currencies and fiat currencies, custodian wallet providers, currency exchange and cheque cashing offices, and trust or company service providers are licensed or registered, and that providers of gambling services are regulated » (projet d’article 47). L’objectif de cette mesure est avant tout de réduire, voire d’éliminer tout risque d’anonymat lié à une transaction donnée. Contrairement à la monnaie électronique, le bitcoin n’est pas assorti d’une garantie légale de remboursement à tout moment et à la valeur nominale. Ainsi, il ne peut être considéré comme une monnaie légale et peut, à tout le moins
The risk of a 51 % attack is technologically not hypothetical: in the specific case of bitcoin, there have been occasions where mining pools have temporarily attained 51 % of the computational power, although this has not so far resulted in attacks occurring. Further legal and business model analysis would therefore be required before bringing VC schemes, or some of the entities, into the scope of PSD2. 19. PSD2 is therefore currently not suitable for mitigating all the risks arising from VC transactions. Instead, a separate regulatory regime, or more far-reaching amendments to PSD2, would be required, the elements of which the EBA had proposed in its Opinion of July 2014. Such a regulatory regime, or such amendments to PSD2, would require several years to develop, consult, finalise and transpose, and is therefore not an option, given the short time frame within which the Commission was asked to develop its proposals. It may therefore be advisable for the Commission and co-legislators to initiate as soon as possible the comprehensive analysis that is needed for assessing which, if any, regulatory regime would be most suitable for VC transactions ». 1072. Position 2014 P-01, 29 janv. 2014, disponible sur le site : https://acpr.banque-france.fr 1073. Il conviendra de déterminer là encore si le statut d’opérateur de plateforme défini par la loi pour la République numérique s’applique. V. N. Martial Braz, « République numérique », RDBF 2016, comm. 204. 1074. 338 bitcoins ont été saisis en France en juillet 2014 sur le site d’une plateforme d’échange non agréée par l’ACPR. Pour plus de détails, v. http://www.contrepoints.org/2014/07/12/171972les-autorites-francaises-ont-saisi-200-000-euros-en-bitcoin
412 | B anque
et
a ssurance
digitales
pour l’instant, être refusé en paiement sans contrevenir à l’article R. 642-3 du Code pénal1075. L’AMF les considère comme « un produit bancaire, un indice, une “mesure financière” au sens de l’article D. 211-1 A 1 du Code monétaire et financier pour servir de support à des contrats financiers, un bien assimilable à une marchandise ou même à un bien divers »1076. Cette voie est d’ailleurs retenue par certains États comme la Chine, la Thaïlande ou la Corée du Sud. D’autres, comme l’Allemagne, par l’entremise de son autorité de supervision financière, ont qualifié les monnaies virtuelles d’« unités de compte » qui entrent dans la catégorie des instruments financiers au même titre que les devises (soit une quasi-monnaie)1077. Mais, même si la qualification juridique des monnaies virtuelles semble difficile, leur existence est bien reconnue en matière fiscale1078 ! Elles sont assimilées à des gains aux jeux en ligne par la Chine et, à ce titre, sont soumises à l’impôt sur le revenu, comme des biens immobiliers par l’Allemagne ou comme des revenus du capital par les États-Unis. En France, une instruction fiscale du 11 juillet 20141079 a indiqué que les plus-values seront imposées au barème progressif de l’impôt sur le revenu, au premier euro, au titre des Bénéfices non commerciaux (BNC) si celles-ci sont occasionnelles, ou au titre des Bénéfices industriels et commerciaux (BIC) si l’activité d’achat-revente est habituelle. Cette qualification implique également leur déductibilité sous conditions en cas de moins-values. Ils seront aussi imposés au titre de l’Impôt de solidarité sur la fortune (ISF) et soumis aux Droits de mutation à titre. De même, la revente1080 par un « mineur » des unités de crypto-monnaie qui lui ont été remises au titre de sa participation au minage d’un bloc, voire de la perception d’une fraction des commissions de transaction est imposable.
1075. Cet article dispose : « Le fait de refuser de recevoir des pièces de monnaie ou des billets de banque ayant cours légal en France selon la valeur pour laquelle ils ont cours est puni de l’amende prévue pour les contraventions de la 2e classe ». 1076. AMF, préc. 1077. Rapport d’information n° 767 rectifié, « Enjeux liés au développement du Bitcoin et des autres monnaies virtuelles », Ph. Marini, F. Marc, Sénat, 23 juill. 2014 : http://www.senat.fr/ rap/r13-767/r13-7671.pdf Le Gouverneur de la Banque centrale chinoise a même comparé les bitcoins aux timbres échangés par les philatélistes. 1078. Il ne sera pas fait état de l’assujettissement ou non à la TVA, mais il convient de distinguer la vente de biens et de services contre des bitcoins et les échanges de bitcoins contre des monnaies légales. 1079. Instruction fiscale BNC – BIC – ENR – PAT – Régime fiscal applicable aux bitcoins, 11 juill. 2014, disponible sur le site : http://bofip.impots.gouv.fr 1080. Mais quid de la rémunération d’un mineur au titre d’une participation à un minage ou si le mineur n’utilise ses bitcoins que pour l’achat de biens ou de services ? M. Quéméner, « Les monnaies virtuelles ; risques et préconisations de Tracfin », RLDI oct. 2014, p. 33.
l es
services en cours d ’ encadrement
| 413
La CJUE1081 a considéré que des opérations d’échange de devises traditionnelles contre des bitcoins et, inversement, constituent des prestations de services fournies à titre onéreux dès lors qu’elles consistent en « l’échange de différents moyens de paiement » au sens de la directive TVA. Elle en déduit que ces opérations d’échange sont exonérées de TVA comme toutes opérations portant sur « les devises, les billets de banque et les monnaies qui sont des moyens de paiement légaux ». On peut penser que la démarche actuelle de la Commission européenne visant à imposer aux plateformes de monnaie virtuelle les obligations de lutte contre le blanchiment permettra d’acheter une certaine respectabilité à une monnaie sulfureuse (les bitcoins servent également à payer sur le « dark Web »), et pour laquelle de nombreux risques ont été pointés par les autorités réglementaires. § 2 – Les risques juridiques liés à l’utilisation des monnaies virtuelles
904. Le travail de qualification est rendu nécessaire pour déterminer les règles particulières trouvant à s’appliquer aux bitcoins et autres monnaies virtuelles et les leviers offerts au droit en cas de litige d’un consommateur ou d’une entreprise portant par exemple, sur la fermeture d’une plateforme de conversion, un piratage de portefeuille/compte de monnaie virtuelle, l’inexécution d’une transaction… L’une des principales craintes manifestées par Tracfin1082, l’ABE ou la Commission européenne a trait à l’anonymat des transactions et des personnes. En effet, l’ouverture d’un portefeuille/compte de monnaie virtuelle ne nécessite, actuellement, et en contravention le plus souvent avec la position de l’ACPR précitée, aucune formalité particulière. En qualité de prestataires de services de paiement (statut visé par l’ACPR), les plateformes de conversion intervenant en France doivent répondre aux exigences de vérification d’identité des clients conformément aux articles L. 561-5 et suivants du Code monétaire et financier1083. Cette démarche pourrait se généraliser suite à l’initiative de la Commission européenne qui vise à étendre le périmètre de la directive anti-blanchiment aux plateformes de conversion et son corollaire la mise en place d’un système de licence ou d’enregistrement obligatoire. L’identification du donneur d’ordre ou du bénéficiaire devrait donc en être facilitée dans une optique de lutte contre le blanchiment d’argent à l’échelle internationale : le fait de disposer d’un moyen d’authentification (ex. : certificat…)
1081. CJUE, 5e ch., 22 oct. 2015, aff. C-264/14, Hedqvist : Juris-Data n° 2015-023733 ; Europe 2015, comm. 516, note A.-L. Mosbrucker. 1082. Groupe de travail « Monnaies virtuelles » ‒ « L’encadrement des monnaies virtuelles », juin 2014, disponible à l’adresse : http://www.economie.gouv.fr/files/rapport_monnaies virtuelles_web.pdf 1083. V. partie I, chapitre III.
414 | B anque
et
a ssurance
digitales
de son correspondant peut constituer une précaution nécessaire pour pouvoir imputer une action (acheter ou vendre) à un tiers. De plus, les traces des transactions ne sont pas systématiquement conservées. Par exemple, la création d’un site fictif de e-commerce acceptant le paiement en monnaie virtuelle permettrait aux escrocs, une fois le site fermé, de disposer librement des fonds dans tous les pays sans trouver la moindre trace d’une transaction. Ces éléments mettent en exergue la nécessaire fiabilité des systèmes d’information que les plateformes de conversion devront pouvoir démontrer en justice. Le risque est en effet important que les coffres-forts contenant les bitcoins des clients soient l’objet de tentatives de piratage. Les certifications de sécurité (ISO 27001 par exemple) de ces dernières pourraient être un indice du sérieux des pratiques suivies par le prestataire, à destination des professionnels comme des particuliers. On peut penser que les modalités de la DSP 2 relatives aux mesures de sécurité pourraient servir de modèles aux exigences de sécurité propres aux plateformes de conversion (Partie I, Chapitre IV). De plus, si le Code monétaire et financier est applicable aux plateformes de conversion dans toutes les hypothèses lorsqu’il est installé en France, le Code de la consommation l’est également pour les clients consommateurs. Dès lors, les dispositions relatives à la vente à distance de services ou de services financiers (partie I, chapitre I) devraient également être prises en compte. Ainsi, l’information préalable ou le délai de rétractation au moment de l’inscription sur une plateforme de conversion ainsi que leur traduction en conditions contractuelles seront également à prendre en compte dans le choix d’un prestataire.
SECTION II LA TECHNOLOGIE BLOCKCHAIN 905. Avant tout, il convient de ne pas confondre LA Blockchain et UNE Blockchain1084. LA Blockchain est une technologie, souvent associée au Bitcoin (voir supra) qu’elle sous-tend. UNE Blockchain sera spécifique à une organisation donnée ou une application donnée. Elle désignera, pour chaque organisation, une chaîne de blocs, des conteneurs numériques, sur lesquels sont stockées des informations de toute nature : transactions, contrats, titres de propriétés, œuvres d’art…
1084. JO 29 avr. 2016. v. É. A. Caprioli, « La blockchain ou la confiance dans une technologie », JCP éd. G, 2016, En questions, 672 ; Y. Moreau et C. Dornbierer, « Les enjeux de la technologie de la blockchain », D. 2016, 1856.
l es
services en cours d ’ encadrement
| 415
En outre, l’ordonnance n° 2016-520 du 28 avril 2016 relative aux bons de caisse définit les minibons. Elle a intégré la première définition légale d’un type particulier de Blockchain à laquelle il peut être recouru « pour l’émission et la cession de minibons », ces opérations pouvant – de manière alternative enregistrée dans un registre papier (CMF, art. L. 223-4) ou « être inscrites dans un dispositif d’enregistrement électronique partagé permettant l’authentification de ces conditions, notamment de sécurité, définies par décret en Conseil d’État » (CMF, art. L. 223-12)1085. Pour autant, cette définition ne semble pas conforme aux caractéristiques souvent reconnues (voire attendues) à la Blockchain, à savoir un protocole ouvert permettant la gestion décentralisée et cohérente de l’historique des transactions (pour les blockchains dites « publiques »). Notons, concernant le décret en Conseil d’État, qu’un groupe de travail devra déterminer les conditions de nature à assurer la tenue d’un registre électronique distribué, fiable, sécurisé et susceptible d’être audité. En outre, l’article 120 de la loi n° 2016-1691 du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique prévoit : « (...) 1° Adapter le droit applicable aux titres financiers et aux valeurs mobilières afin de permettre la représentation et la transmission, au moyen d’un dispositif d’enregistrement électronique partagé, des titres financiers qui ne sont pas admis aux opérations d’un dépositaire central ni livrés dans un système de règlement et de livraison d’instruments financiers ; (...). ». L’Ordonnance est encore à venir. Cette ordonnance n’est qu’un premier pas vers la reconnaissance généralisée de la technologie de la blockchain. Il reste à souhaiter que le groupe de travail prévu dans le rapport de l’ordonnance puisse effectuer la synthèse nécessaire entre droit, technique et organisation pour cet objet aux confluents de bien des domaines. En d’autres termes, deux agents (qui se connaissent ou pas) peuvent échanger des actifs sans que la transaction ne doive être sécurisée et validée par une autorité centrale. § 1 – Les caractéristiques de la technologie de la Blockchain A.
Il s’agit d’un protocole ouvert…
906. Un protocole peut être entendu comme une méthode standard qui permet la communication entre des processus (s’exécutant éventuellement sur différentes machines), c’est-à-dire un ensemble de règles et de procédures à respecter pour émettre et recevoir des données sur un réseau. 1085. É. A. Caprioli, « Consécration légale de la “blockchain” dans les bons de caisse », Com. com. électr. 2016, comm. 58 ; P. Agosti, « La blockchain a sa première définition légale », Usine Digitale, mai 2016 : http://www.usine-digitale.fr/article/la-blockchain-a-sa-premieredefinition-legale.N392352 ; H. de Vauplane, « La blockchain et la loi », Les Échos, 21 févr. 2016 : http://www.lesechos.fr/idees-debats/cercle/cercle-154276-la-blockchain-et-la-loi1201704.php
416 | B anque
et
a ssurance
digitales
L’article 4 de la loi pour la confiance dans l’économie numérique1086 définit le « standard ouvert » comme « tout protocole de communication, d’interconnexion ou d’échange et tout format de données interopérable et dont les spécifications techniques sont publiques et sans restriction d’accès ni de mise en œuvre ». Cependant, le protocole de la Blockchain, quoiqu’en disent certains, n’a pas la même valeur universelle que le protocole de l’Internet TCP-IP : il n’est ni unique, ni normalisé par un organisme reconnu comme l’ISO ‒ International Organisation for Standardization, l’ETSI ‒ European Telecommunicationss Standards Institute, l’IETF ‒ Internet Engineering Task Force, ou le W3C ‒ World Wide Web. B.
...visant à assurer la gestion décentralisée et cohérente de l’historique de transactions
907. Que le système soit cohérent et décentralisé signifie qu’au lieu de devoir consolider l’information en un point qui serait l’autorité centrale, l’ensemble de l’information est disponible en chaque nœud du réseau. Il n’est plus besoin d’un « grand livre » central pour valider l’ensemble des informations. En effet, les « blocs » contenant plusieurs transactions sont détenus par les titulaires eux-mêmes et non par une autorité centrale. Ces blocs permettent de garantir à chaque instant l’intégrité et l’authenticité de chaque transaction (c’est-à-dire la cohérence d’une transaction donnée) avec les blocs de chaîne précédents en recourant à des outils cryptographiques, chaque transaction étant vérifiée chronologiquement puis intégrée dans la version N+1 de la blockchain. § 2 – Le mode de fonctionnement de la technologie de la Blockchain1087 A.
Description d’une Blockchain
908. L’horodatage permet de sauvegarder des documents sur la blockchain du réseau Bitcoin pour justifier de sa possession à un moment donné (le « timestamping » en anglais, horodatage en français). Parce que le document est inscrit sur la blockchain, cela suffit à prouver que le document existe bien à l’instant T et qu’il n’a pas été modifié en T+N. Néanmoins, il ne semble pas que l’horodatage utilisé dans le cadre des blockchains respecte les normes visées dans le règlement européen sur l’identification et les services de confiance du 23 juillet 2014, ni le décret du 20 avril 2011 relatif à l’horodatage ou encore la norme IETF RFC 3161.
1086. Loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique, JO 22 juin 2004, p. 11168. 1087. L. Leloup, Blockchain ‒ La révolution de la confiance, Eyrolles, 2017.
l es
services en cours d ’ encadrement
| 417
Pour qu’une transaction soit effectuée sur la Blockchain, ses informations doivent être intégrées à un bloc. L’ajout de nouveaux blocs est le résultat d’un consensus entre les acteurs du réseau. B.
Étapes de validation d’une transaction
909. Dès lors que des procédés cryptographiques sont utilisés, la validation d’une transaction nécessite la résolution d’un casse-tête numérique. Pour vérifier une transaction, les « mineurs » vont se servir de la clé publique jointe par le titulaire à la transaction et qui correspond à l’adresse où sont stockées les transactions. En utilisant un algorithme, ils vont vérifier la correspondance entre une clé publique et la signature du titulaire de la transaction. Une fois la transaction vérifiée ainsi que toutes les autres transactions contenues dans le bloc, les mineurs doivent valider la démarche en résolvant un casse-tête numérique. Dans chaque bloc à valider, on trouve un certain de nombre de transactions, mais aussi une référence aux derniers blocs de transactions tout juste précédemment validés ainsi qu’un nombre entier x dont il faut trouver la valeur et qu’on ajoute à la création du bloc de transactions. Le calcul à réaliser pour trouver la valeur de cet entier x doit être tel que le résultat du hachage, de toutes les informations formant le bloc, y compris la valeur x, soit inférieur à un nombre publiquement connu appelé « cible ». Tous les volontaires vont donc essayer de trouver ce x, ce qui est loin d’être évident. Il n’y a aucun indice qui permette de guider le choix de x et il est difficile de retrouver des données de départ à partir d’une empreinte donnée. Le seul moyen de calculer est de tester des valeurs au hasard, ce qui prend un temps considérable et consomme une grande puissance de calcul. Une fois le problème résolu, chaque utilisateur du réseau met à jour – via cette validation – sa chaîne de blocs quasi simultanément en y intégrant ce bloc nouvellement validé.
418 | B anque
et
a ssurance
digitales
Étapes de validation d’une transaction en bitcoins :
1. A. crée un portefeuille numérique.
2. A. génère un couple de clés de chiffrement : une clé publique et une clé privée.
3. A. achète des bitcoins sur un site Web et range aussi dans son portefeuille la référence de la transaction.
4. A. passe commande d’un livre auprès de B.
5. B. envoie à A. l’adresse à laquelle il doit transférer les bitcoins.
6. A. rassemble l’adresse de B., le montant de la transaction et les références des transactions précédentes .
7. À partir des éléments qu’elle a rassemblés et de sa clé privée, A. produit une Signature numérique.
8. A. envoie au réseau la transaction signée et sa clé publique.
9. La transaction et la clé publique sont mises avec d’autres transactions et leurs clés publiques dans un bloc.
10. Des volontaires, les « mineurs », vérifient l’authenticité de la signature d’A. à l’aide de la clé publique.
11. Puis ils tentent de résoudre un casse-tête numérique (Proof of Work) pour chaque bloc.
12. Le premier mineur qui a résolu le cassetête envoie la solution à tous les autres qui la vérifient.
13. Si la solution est juste, ils valident le bloc (qui vient incrémenter la blockchain) et donc la transaction entre A. et B.
14. Le mineur qui a résolu le casse-tête numérique perçoit une récompense en bitcoins.
§ 3 – Les aspects juridiques de la Blockchain1088
910. Le règlement européen eIDAS1089 sur l’identité et les services de confiance contient à la fois des règles juridiques et des normes techniques de sécurité. De plus, il est non moins essentiel que les transactions réalisées dans la blockchain répondent aux nouvelles exigences du Code civil applicables depuis le 1er octobre 2016, spécialement en matière de contrats, preuve et signature électroniques. 1088. É. A. Caprioli, « La blockchain dans la banque et la finance », in Études à la mémoire de Philippe Neau-Leduc, (à paraître en 2017) ; T. Bonneau et T. Verbiest, Fintech et Droit, RB Édition, 2017, v. spéc. p. 74 et s. Table-ronde : Blockchain et smart contracts : enjeux technologiques, juridiques et business, CDE, n° 2, mars-avril 2017, p. 8. 1089. V. pour plus de détails sur le règlement eIDAS, É. A. Caprioli, Signature électronique et dématérialisation, LexisNexis, coll. Droit et pratiques, 2014.
l es
services en cours d ’ encadrement
| 419
• Identification et anonymat : à défaut, d’identification, le contrat pourrait être
privé de ses effets juridiques, voire être annulé. Dans les blokchains publiques, l’identité est auto déclarée, la clé n’étant pas certifiée par une autorité de certification. De plus, l’authentification du titulaire repose sur l’adresse qui est connue (clé publique) et qui se trouve dans la transaction figurant dans le bloc attestant que telle transaction a bien été réalisée et vérifiée. Dès lors, comment bénéficier d’une signature électronique avancée (art. 26-a) ou qualifiée ? L’anonymat des parties pose des problèmes juridiques connexes, tels que par exemple l’intérêt à agir ou la mise en jeu des responsabilités et des garanties. • Horodatage : ce service est fondamental pour assurer la traçabilité et la validation des blocs ; il ne semble pas que les BC suivent les règles et normes énoncées dans le règlement eIDAS (TSP / RFC 3161). • Preuve : à l’évidence, les preuves (de travail ou de participation) ne sont pas des preuves d’actes juridiques conformes au Code civil, sauf en ce qui concerne la preuve libre (faits juridiques ou contrats inférieurs à 1 500 euros) ou si un texte en dispose autrement. • Sécurité : en vertu de l’article 19 du règlement, les prestataires de services de confiance (PSCo) sont tenus de prendre des mesures garantissant que le niveau de sécurité est adapté pour assurer la gestion des risques, de notifier les failles de sécurité et les violations de données personnelles ou pour les PSCo qualifiés de disposer d’un plan de continuité d’activité (art. 24-2, i). En outre, il ne faut pas omettre la question essentielle de la protection des données à caractère personnel comme notamment le respect du principe de « droit à l’oubli » que l’on retrouve à l’article 17 du règlement du 27 avril 2016 (effacement des données). Ce principe a été consacré par la CJUE dans l’affaire Google Spain du 13 mai 20141090. Or, dans la blockchain, on dispose d’un registre public qui suppose la conservation des données sans possibilité de les effacer. Cette conservation est sans limite. D’ailleurs, cela interroge sur qui doit procéder aux formalités ; et, plus généralement, qui est le responsable de traitement et qui détermine les finalités du traitement ? Comment établir une durée de conservation si la blockchain ne le prévoit pas ? Et quelles sont les mesures de sécurité ? § 4 – Les applications de la Blockchain
911. Pour l’instant, hormis les applications de crypto-monnaies, il existe encore peu de réalisations concrètes de Blockchains. Il convient d’analyser le transfert de propriété des minibons de caisse (§ 1) et de « The DAO » en vue de financer des projets d’Internet des objets (IOT) (§ 2).
1090. CJUE, gde ch., 13 mai 2014, aff. C-131/12, Google Spain SL, Google Inc. c/ Agencia Española de Protección de Datos e. a. : Juris-Data n° 2014-009597 ; JCP éd. E 2014, 1326, note M. Griguer ; JCP éd. E 2014, 1327, note G. Busseuil ; A. Debet, « Google Spain : Droit à l’oubli ou oubli du droit ? », Com. com. électr. 2014, étude 13.
420 | B anque
A.
et
a ssurance
digitales
Le transfert de propriété des minibons
912. L’article L. 223-13 du Code monétaire et financier, issu de l’ordonnance n° 2016-520 du 28 avril 2016 (préc.) énonce que « le transfert de propriété de minibons résulte de l’inscription de la cession dans le dispositif d’enregistrement électronique mentionné à l’article L. 223-12, qui tient lieu de contrat écrit pour l’application des articles 1321 et 1322 du Code civil ». Selon toute vraisemblance, cette disposition se projetait déjà dans « l’après 1er octobre 2016 », date à laquelle l’ordonnance n° 2016-131 du 10 février 2016 portant réforme du droit des contrats, du régime général et de la preuve des obligations1091 est entrée en application. En effet, les nouveaux articles 1321 et 1322 du Code civil traitent de la question spécifique de la cession de créances, transposable pour le transfert de propriété des minibons. Ainsi, le contrat écrit – requis sous peine de nullité pour les cessions de créances – prendra la forme de l’inscription de la cession dans la Blockchain. Ainsi, il convient de vérifier si les « smart contracts »1092, entendus comme « des programmes, accessibles et auditables par toutes les parties autorisées, dont l’exécution est donc contrôlée et vérifiable, conçus pour exécuter les termes d’un contrat de façon automatique lorsque certaines conditions sont réunies. Les règles qui régissent le programme peuvent notamment recouvrir tout événement vérifiable de façon informatique », et au rang desquels une inscription de cession peut figurer, intègrent le régime juridique des preuves écrites telles que reconnues par le Code civil, ainsi que par le règlement européen sur l’identification et les services de confiance du 23 juillet 2014, spécialement la signature et le cachet électroniques, et l’horodatage. B.
Ethereum et la confrontation de la Blockchain à la réalité
913. Ethereum est une fondation à but non lucratif dont le code est ouvert. Le produit – fondé sur un langage de programmation dédié (« Turing-complete ») et une crypto-monnaie propre l’Ether – est disponible au grand public depuis le printemps 2015 et rassemble une communauté étendue de développeurs indépendants. La majeure partie des projets Blockchain sont écrits avec Ethereum. L’une des grandes différences avec la Blockchain du Bitcoin a trait au fait que les participants du réseau d’Ethereum ne se contentent pas de valider des transactions monétaires : ils exécutent du code provenant d’applications que des développeurs peuvent créer et envoyer sur le réseau. Ce code permet en particulier la mise en place de « smart contracts », qui constituent le cœur du potentiel d’Ethereum. De plus, l’Ether a une fonction précise : payer l’exécution des « smart contracts », dont le fonctionnement peut consommer des ressources importantes. 1091. Cf. partie I, chapitre V. 1092. Éric A. Caprioli, « Les “Smart Contracts” dans la blockchain : quézako ? », disponible sur le site de l’Usine Digitale, 10 janvier 2017.
l es
services en cours d ’ encadrement
| 421
En juin 20161093, un individu (ou un groupe) a exploité une faille dans le code d’un « smart contract » d’une organisation autonome décentralisée (« The DAO ») développé par Slock.it qui s’appuie sur la blockchain Ethereum et utilise sa monnaie virtuelle, les ethers. Sa mission est de faire du crowdfunding en vue de financer des projets d’Internet des objets (IOT) et des voitures intelligentes. Finalement, le préjudice s’est élevé à près d’un tiers des 168 millions de dollars collectés, soit environ 50 millions de dollars. L’attaquant a respecté le code (informatique) de « The DAO » et s’est donc trouvé « juridiquement » inattaquable. Comme il n’existe pas d’organe central pour décider des actions à mener, les mineurs de « The DAO » avaient jusqu’au 14 juillet pour choisir la solution définitive par un vote. À défaut, l’individu aurait pu récupérer son butin au préjudice des investisseurs détenteurs des « tokens » (ethers). Pour résoudre le problème, Ethereum a recouru à un « hard forken » en juillet 2016 consistant à modifier le code de la Blockchain afin de récupérer les ethers « siphonnés » et de les redistribuer à leurs « légitimes » détenteurs. Pour choisir la solution, il n’y a eu qu’environ 20 % des détenteurs d’ethers qui ont pris part au vote. Ce qui semble relativement peu sur le plan de la représentativité. La faille du système réside essentiellement dans sa gouvernance (inexistante ou incertaine). La question ne se poserait pas dans une Blockchain non publique (de consortium ou privée), dans la mesure où la sécurité, le contrôle et l’organisation des pouvoirs de décisions relèveraient de l’organe central (une personne morale) investi de la gouvernance, mais aussi qui engagerait sa responsabilité. L’ensemble de cette organisation serait régi par des statuts et un règlement intérieur de fonctionnement.
SECTION III LES FOURNISSEURS D’API § 1 – Définition de l’API
914. Une API (« Application Programming Interface »), appelée en français « interface de programmation applicative », est un code qui permet à deux programmes logiciels de communiquer entre eux1094. Elle regroupe ainsi un ensemble de fonctions permettant à un développeur de rédiger un programme sollicitant les services d’un système d’information, d’une application et de concevoir des services.
1093. V. É. A. Caprioli « La blockchain pose de sérieux problèmes de confiance, de droit… et de sécurité », Usine Digitale, juill. 2016 : http://www.usine-digitale.fr/article/la-blockchainpose-de-serieux-problemes-de-confiance-de-droit-et-de-securite.N401527 ; « Blockchain : le délicat chemin de la confiance », Usine Digitale, nov. 2016 : http://www.usine-digitale.fr/ article/blockchain-le-delicat-chemin-de-la-confiance.N463208 1094. Définition donnée par Le MagIT via le lien : http://www.lemagit.fr/definition/API
422 | B anque
et
a ssurance
digitales
§ 2 – Les usages des API dans le monde de la banque, de la finance et de l’assurance
915. Dans le monde bancaire, financier ou de l’assurance, où les systèmes d’informations ont été créés de longue date par l’agrégation des différentes expériences et où les innovations sont alourdies par le poids des systèmes et contraints par la lourdeur des réglementations applicables qu’elles soient légales, réglementaires ou techniques, ces API peuvent permettre de repenser les modèles économiques et pratiques. Elles permettent par exemple aux développeurs de se connecter à des données de l’organisme bancaire, financier ou d’assurance, à son infrastructure pour les intégrer dans le développement de nouvelles applications1095. Elles peuvent avoir des usages1096 multiples tant internes qu’externes. En interne, ils peuvent permettre de fluidifier les interactions entre différentes applications d’un système d’information. En externe, elles permettent de faciliter le dialogue avec les applications des partenaires et de proposer aux clients les services attendus d’une banque. De fait, les API sont les premières briques acceptant la création de services à haute valeur ajoutée, ceux-ci permettant d’installer des dialogues et d’édifier de nouvelles pratiques. Les fournisseurs d’API deviennent, dès lors, les promoteurs d’une matière première dont la vocation est de créer de l’interaction là où régnait le cloisonnement. § 3 – L’Open banking
916. Progressivement, les API sont devenues de véritables enjeux stratégiques pour les banques et pour les sociétés de développement. En mai 2016, l’Euro Banking Association a publié un document d’information intitulé « Understanding the business relevance of Open APIs and Open Banking for banks » dont l’objet est de promouvoir des Open API1097. Séparant les API auxquelles seuls peuvent accéder les membres d’une organisation appelée « API fermées » ou « API privées » des API accessibles aux tiers appelées « Open
1095. V. sur ce point, Th. Dinard, « Les banques en route vers l’open innovation ? », disponible via le lien : http://www.revue-banque.fr/banque-detail-assurance/article/les-banques-enroute-vers-open-innovation 1096. Sur ce point v. Axway « Banking APIs State of the Market » disponible sous le lien : https:// www.axway.com/sites/default/files/report_files/axway_report_banking_apis_state_of_ the_market_report_apidays.pdf 1097. Euro Banking Association Information Paper « Understanding the business relevance of Open APIs and Open Banking for banks », disponible sous le lien : https://www.abe-eba. eu/downloads/knowledge-and-research/EBA_May2016_eAPWG_Understanding_the_ business_relevance_of_Open_APIs_and_Open_Banking_for_banks.pdf
l es
services en cours d ’ encadrement
| 423
API »1098, ce document rappelle que ces Open API permettent – contrairement à ce que pourrait laisser entendre le terme – aux entreprises de contrôler les accès en préservant la sécurité de leurs systèmes. Plusieurs initiatives ont vu le jour telle celle du Crédit Agricole qui, en créant une coopérative de concepteurs développeurs appelée « CA Store », propose de rémunérer les développeurs en fonction de l’utilisation de l’application mise à disposition par leurs soins1099. § 4 – Un encadrement juridique en cours d’évolution
917. Si la DSP 2 a pour objet de fluidifier les rapports entre les banques et les nouveaux entrants (cf. partie III, chapitre I, section II), elle ne fait pas explicitement référence aux API. Cependant, nombreux sont ceux qui estiment qu’en ouvrant la porte aux interactions avec les tiers (comme les agrégateurs de données et les initiateurs de paiement), la directive favorisera à terme la mise en œuvre des API, celles-ci étant à même de répondre aux besoins d’interopérabilité entre les systèmes.
SECTION IV MOBILE VIRTUAL NETWORK1100 918. Banques et réseaux mobiles sont longtemps apparus comme des services distincts mis en œuvre par des opérateurs distincts. Récemment, plusieurs mouvements ont démontré que ces deux services pouvaient être exercés par un seul et même opérateur. De nombreuses banques proposent désormais la possibilité de souscrire un abonnement téléphonique (par exemple, La Banque Postale, le Crédit Mutuel ou le CIC). Pareillement, un service de téléphonie mobile peut désormais permettre la mise en œuvre de paiements, notamment les paiements sans contact à l’aide du téléphone mobile et plus globalement permettre la mise en œuvre de la banque mobile (v. partie sur le paiement).
1098. Euro Banking Association Information Paper « Understanding the business relevance of Open APIs and Open Banking for banks », p. 7 : « APIs enable secure, controlled and cost-effective access to data and/or functionality, potentially by third parties. If APIs can only be accessed within the boundaries of one organisation, they are referred to as “Closed APIs” or “Private APIs”. If they can also be accessed by third parties (outside of the organizational boundaries), they are referred to as “Open APIs”. Open APIs are the focus of this information paper ». 1099. Sur ce point, v. Th. Dinard, « Les banques en route vers l’open innovation ? », disponible via le lien : http://www.revue-banque.fr/banque-detail-assurance/article/les-banques-enroute-vers-open-innovation 1100. Entendus comme « des opérateurs qui ne disposent pas de leur propre réseau radio et qui utilisent celui de l’un des trois opérateurs mobiles “historiques” (Orange, SFR ou Bouygues Télécom) en leur achetant des minutes de conversation en gros, pour offrir ensuite des services de communications mobiles à leurs abonnés », disponible sur le site : http://www. telecom-infoconso.fr/operateurs-mobiles-virtuels/
424 | B anque
et
a ssurance
digitales
En quelques années, le téléphone mobile, et plus particulièrement le smartphone, s’est généralisé. Permettant désormais la mise en œuvre d’applications toujours plus sophistiquées, ces équipements ont offert à chacun la possibilité de travailler à distance mais également de consommer à distance et à tout instant. Les paiements mobiles (v. partie II, chapitre II, section III), première étape de cet accès au monde via le téléphone mobile (après l’information), sont des transactions effectuées à l’aide d’un téléphone mobile. Le Livre vert « Vers un marché intégré des paiements par carte, par Internet et par téléphonie mobile »1101 définit les « m-paiements » comme « des paiements pour lesquels les données et l’ordre de paiement sont émis, transmis ou confirmés par le biais d’un téléphone ou d’un appareil mobile ». Certains États africains comme le Burkina Faso se sont dotés de dispositions législatives pour la contractualisation par téléphone mobile. Ces transactions peuvent être utilisées pour des achats en ligne ou non et peuvent être imputées selon différentes modalités, par exemple, sur le compte bancaire de la personne ou par le biais de la facture de l’opérateur. Le Livre vert différencie les paiements à distance par le biais d’Internet facturés par l’intermédiaire de l’opérateur de réseau mobile et les paiements de proximité passant par l’utilisation de téléphones spécialement équipés et utilisant notamment le protocole NFC. Les difficultés initiales du processus portaient sur l’acceptation même de ces transactions et sur les normes techniques nécessaires pour assurer la validité et la sécurité des transactions. L’une des questions parmi les plus épineuses est celle de la lisibilité des conditions générales de ventes sur l’écran du téléphone. Sur cette question des paiements mobiles, le Livre vert soulignait que le secteur bancaire et les opérateurs de réseau mobile avaient entamé des discussions sur la coopération et la normalisation afin d’assurer la totale interopérabilité des solutions de m-paiement et favoriser des normes ouvertes pour permettre la mobilité des consommateurs. Ce faisant, les questions proposées portaient essentiellement sur les travaux de normalisation à mettre en œuvre. L’article 104 de la Loi pour une République numérique prévoit : « I. – Dans les conditions prévues à l’article 38 de la Constitution, le Gouvernement est autorisé à prendre par ordonnance les mesures relevant du domaine de la loi permettant, par voie dématérialisée sur un support durable et accessible au client, de remettre, fournir, mettre à disposition ou communiquer des informations ou des documents relatifs à un contrat régi par le Code monétaire et financier, le Code des assurances, le Code de la mutualité, le titre III du livre IX du Code de la Sécurité sociale ou le livre III du Code de la consommation, ainsi que de conclure ou de modifier ces contrats, le cas échéant via une signature électronique, ces supports dématérialisés se substituant aux documents écrits sur support papier, tout en garantissant au
1101. COM/2011/0941 final. Document daté du 11 janvier 2012.
l es
services en cours d ’ encadrement
| 425
client une protection au moins équivalente. II. – L’ordonnance prévue au I du présent article est prise dans un délai d’un an à compter de la promulgation de la présente loi. Un projet de loi de ratification est déposé devant le Parlement dans un délai de cinq mois à compter de la promulgation de l’ordonnance ». Depuis lors, de nombreux acteurs de la téléphonie mobile ont entendu proposer un paiement mobile. Tel est le cas pour Apple, Samsung et Google. Apple a ainsi récemment lancé en France son service Apple Pay créé en 2014. Combinant technologie NFC et biométrie, ce service permet aux porteurs de certains produits Apple de payer en ligne et en magasin1102. Le groupe Société Générale a annoncé sa prise de participation au capital de TagPay1103, une FinTech française. Cette société avait développé une solution permettant à tout téléphone mobile de devenir un moyen de paiement grâce à une technologie basée sur le son (« Near Sound Data Transfer ») permettant de sécuriser les transactions par le biais d’un échange audio entre un téléphone portable et un récepteur (barne, terminal de point de vente ou un distributeur automatique de billets)1104. Proposant désormais un « Core Banking System », TagPay entend, par le biais de déploiement de filiales dans plusieurs pays africains, proposer ses services à toutes les populations mêmes munies d’un simple téléphone portable et non d’un smartphone.
1102. S. Chaptal, « Apple Pay arrive enfin en France », Rev. Banque, disponible sous le lien : http:// www.revue-banque.fr/management-fonctions-supports/breve/apple-pay-arrive-enfin-enfrance 1103. Société Générale, News room, « Société Générale entre au capital de la fintech Tagpay pour développer la banque mobile en Afrique », disponible sous le lien : https://www. societegenerale.com/fr/TagPay-Fintech-Capital-Banque-Mobile-Afrique 1104. G. Mussi, « TagPay transforme tous les téléphones en moyen de paiement », L’Expansion l’Express, disponible sous le lien : http://lexpansion.lexpress.fr/high-tech/tagpay-transformetous-les-telephones-en-moyen-de-paiement_1421727.html
INDEX Les chiffres renvoient aux numéros des paragraphes.
A
C
ABE ‒ Autorité bancaire européenne : 873 Accountability : 180 et s. ACPR ‒ Autorité de contrôle prudentiel et de résolution : 6, 29, 422 et s., 446 et s., 458, 459, 853 et s. Adresse IP : 140 et s. Agrégation de comptes de paiement : 874 et s. AMF ‒ Autorité des marchés financiers : 6, 30, 654 et s., 854, 903 Analyse d’impact : 183 et s. ANSSI ‒ Agence nationale en matière de sécurité et de défense des systèmes d’information : 559 et s., 634 et s. API ‒ Application Programming Interface : 914 et s. Archivage : 175 et s., 758 et s., 836 Arrêté du 3 novembre 2014 : 415 et s. Authentification : 90, 506 et s., 702 et s.
Certificat : 524 et s., 553 et s. Charte d’utilisation des ressources informatiques : 476 et s. Clause abusive : 87 et s., 681 Clauses contractuelles types : 334 et s. CNIL ‒ Commission nationale informatique et libertés : 105, 115 et s., 163 et s., 462, 627 et s., 762 Coffre-fort numérique : 857 et s. Compte de dépôt : 810, 818 Connaissance des clients (KYC) : 401 et s. Consentement : 311 et s., 731, 750 et s., 776 et s. Consentement préalable (CNIL) : 156 et s., 238 et s., 266 et s. Consommateur : 12 et s., 18 et s., 672 et s. Contrat d’assurance : 45, 80 et s., 837 et s. Contrat d’adhésion : 16 Contrat de crédit à la consommation : 44, 825 et s. Contrôle interne : 414 et s. Convention de preuve : 685 et s., Cookies : 145 et s., 258, 263, 268 Copie électronique : 769 bis et s. Cross canal : 2 Crowdfunding : 879 et s. Cybercriminalité : 559 et s. Cybersurveillance : 474 et s.
B Banque en ligne : 2, 76, 696 et s., 805 et s. Banque et assurance digitales : 3, 4 BCR ‒ Binding Corporate Rules : 334 et s. Big data : 297 et s. Blockchain : 9, 905 et s.
428 | B anque
et
a ssurance
digitales
D Data Loss Prevention : 602 et s. DGCCRF ‒ Direction générale de la concurrence, de la consommation et de la répression des fraudes : 30, 286, 290, 757, 824 Données à caractère personnel : 104 et s., 407 et s., 625 et s. Données bancaires : 132 et s., 254 et s. Données de santé : 126 et s., 247 et s., 463 et s. Données des personnes décédées : 138 Données pseudonymisées : 148 et s. Données relatives aux mineurs : 137, 257 DPD ‒ Délégué à la protection des données : 116 et s. Droit à l’effacement des données (CNIL) : 137, 223 Droit à l’information (CNIL) : 199 et s., 260 et s. Droit d’opposition (CNIL) : 209 et s., 281 et s. Droit de renonciation : 849 Droit de rectification : 222 Droit de rétractation : 69 et s. Droits des personnes (CNIL) : 195 et s., 275 et s. DSP 2 ‒ Directive sur les services de paiement : 32, 532, 652 et s., 872 et s.
F Failles de sécurité : 456, 638 et s., 650 et s. Faux ordres de virement internationaux : 588 et s. Finalité (principe de) : 152 et s., 265 et s., 310 et s., Fintech : 3, 8, 852 et s.
Formalités déclaratives (CNIL) : 163 et s., 272 et s. France Connect : 556 et s. Fuites d’information : 601 et s.
I Identification : 506 et s., 702 et s., 749 Imprévision : 682 et s. Informations précontractuelles : 34 et s., 46 et s., 679 et s., 829 et s., 838 et s. Initiation de paiement : 873 et s. Instant payment : 797 et s. Intégrité : 724 et s.
L LCEN ‒ Loi sur la confiance dans l’économie numérique : 22 et s., 229 et s. Loi de programmation militaire : 456, 633 et s. Lutte contre le blanchiment : 376 et s., 457
M Monnaies virtuelles : 900 et s.
O OIV ‒ Opérateur d’importance vitale : 634 et s. Open banking : 916 Original sous forme électronique : 736 et s.
P Paiement en ligne : 770, 772 et s.
i ndex | 429
PCI DSS ‒ Payment Card Industry Data Security Standard : 665 et s. Phishing : 572 et s. Portabilité des données : 204 et s. Prestataire de service de paiement : 773 et s. Prestations de Services Essentiels Externalisées : 438 et s. Preuve : 698 et s. Privacy by default : 181 et s. Privacy by design : 181 et s. Privacy Shield : 333 Profilage : 294 et s. Prospection commerciale : 224 et s.
Secret bancaire : 133, 450 et s., 694 Secret des affaires : 567 et s. Secret professionnel : 448 et s. Sécurité des données : 171 et s., 187 et s., 316 et s., 623 et s. Sécurité informatique : 90 et s., 534 et s. Signature électronique : 739 et s., 821, 846 et s. STAD ‒ Système de traitement automatisé de données : 562 et s. Support durable : 51 et s.
T Q Questionnaire de santé : 850 et s.
R Ransomware : 608 et s. Remise du contrat : 756 et s. Réseaux sociaux : 502 et s. RGPD ‒ Règlement général sur la protection des données : 108 et s., 632
S Safe Harbor : 332 et s.
Transfert des données : 262 et s., 318 et s., 340 et s.
U Usurpation d’identité : 579 et s.
V Validité de l’acte juridique : 729 et s. Vigilance : 385 et s. Violations de données personnelles : 189 et s. Virement SEPA : 791 et s. Vol de données : 616 et s.
BIBLIOGRAPHIE SÉLECTIVE Ouvrages AGOSTI, Pascal, CANTERO, Isabelle, CAPRIOLI, Éric A., CHOUKRI, Ilène, COUPEZ, François (ouvrage collectif sous la direction d’Éric A. CAPRIOLI), La Banque en ligne et le droit, RB Édition, coll. Les Essentiels de la Banque et de la Finance (Droit), 2014. ARESTAN, Philippe, Démarchage bancaire ou financier & Conseillers en investissements financiers (CIF) ‒ Aspects juridiques et pratiques. La loi de sécurité financière, 10 ans après, 5e éd., RB Édition, 2013. BONNEAU, Thierry et VERBIEST, Thibault, Fintech et Droit, RB Édition, coll. Les Essentiels de la Banque et de la Finance (Droit), 2017. BOUYALA, Régis, La révolution FinTech, RB Édition, coll. Les Essentiels de la Banque et de la Finance (Finance), 2016. CAPRIOLI, Éric A., Signature électronique et dématérialisation, LexisNexis, coll. Droit et pratiques, 2014. GEIBEN, Didier, OLIVIER Jean-Marie, VILOTTE, Jean-François, et VERBIEST, Thibault, Bitcoin et Blockchain. Vers un nouveau paradigme de la confiance numérique ?, RB Édition, coll. Les Essentiels de la Banque et de la Finance (Finance), 2016. LE TOURNEAU, Philippe, Contrats informatiques et électroniques, 9e éd., Dalloz, 2016. QUÉMÉNER, Myriam, Établissements financiers et cyberfraudes, RB Édition, coll. Les Essentiels de la Banque et de la Finance (Droit), 2011. STORRER, Pierre, Le droit de la monnaie électronique (préface de Jean-Jacques DAIGRE et Myriam ROUSSILLE), RB Édition, coll. Droit, 2014.
Revues « Protection des données personnelles. Commentaires sur le règlement européen du 27 avril 2017 », Banque & Droit, hors-série, mars 2017. Dossier « Données personnelles », Revue Banque, février 2014, n° 769, p. 22 à 63. « Quel droit pour le développement de la banque en ligne ? », Banque & Droit, hors-série, juin 2013.
432 | B anque
et
a ssurance
digitales
Colloque CAPRIOLI, Éric A., De l’authentification à la signature électronique : quel cadre juridique pour la confiance dans les communications électroniques internationales ?, Colloque de l’ONU sur le commerce électronique, New York, 14 au 16 février 2011, disponible sur le site : www.caprioli-avocats.com
TA B L E D E S M AT I È R E S Liste des principales abréviations ......................................................
7
Préface de Myriam Roussille ...............................................................
17
Introduction...........................................................................................
19
PARTIE I EXIGENCES JURIDIQUES APPLICABLES À LA BANQUE ET À L’ASSURANCE DIGITALES CHAPITRE I Enjeux et réalités de la protection des consommateurs en ligne ....
27
Section I Un cadre juridique hétérogène, stratifié et complexe ...................................
30
§ 1 – L’ordonnance du 6 juin 2005 sur la commercialisation à distance de services financiers auprès des consommateurs : la pierre angulaire de la transposition nationale ........................................................... § 2 – Le détour obligé par la loi pour la confiance dans l’économie numérique et l’ordonnance du 16 juin 2005 ........................................................................................... § 3 – Les principaux apports de la loi sur la consommation du 17 mars 2014 pour la banque et l’assurance en ligne .............................................................................. § 4 – La loi de séparation et de régulation des activités bancaires du 26 juillet 2013 : les mécanismes de contrôle pour les services bancaires ............................................. § 5 – Textes spécifiques aux produits et aux services financiers .........................................
35 36
Section II Les défis de l’obligation d’information précontractuelle du consommateur de banque et d’assurance en ligne .................................
38
§ 1 – Les contours de l’obligation d’information précontractuelle .................................... § 2 – Le contenu de l’obligation d’information précontractuelle ....................................... § 3 – La déclinaison de sanctions...................................................................................................
38 39 42
Section III La notion de support durable ..........................................................................
43
§ 1 – La notion de support durable en droit européen ..........................................................
44
31 32 33
434 | B anque
et
a ssurance
digitales
§ 2 – Les dispositions opérationnelles du droit français ........................................................ A. La reprise de la définition du support durable ........................................................ B. De l’usage du support durable en matière de contrats de banque et d’assurance en ligne .................................................................................................... 1. Les dispositions du Code de la consommation .............................................. 2. Les dispositions du Code monétaire et financier........................................... 3. Les dispositions du Code des assurances.......................................................... Section IV Droits de rétractation et de renonciation dans les services bancaires et assurantiels ..................................................................................................
46 46 47 47 48 49
50
§ 1 – Les dispositions du droit européen en matière de prestations bancaires et d’assurance à distance ....................................................................................................... § 2 – La transposition en droit français ....................................................................................... A. Les caractéristiques générales du droit de rétractation en matière de services financiers................................................................................. B. Les dispositions spécifiques à la banque en ligne ................................................... C. Les dispositions spécifiques à l’assurance en ligne................................................. A. Les modalités pratiques .................................................................................................. 1. Concernant le formulaire en ligne ...................................................................... 2. Concernant la détermination du point de départ .........................................
52 52 54 55 55 55
Section V Les mécanismes de protection contre les clauses abusives en ligne ........
56
§ 1 – Les clauses abusives touchant à l’authentification ........................................................ § 2 – La question de la survenance d’un problème technique..............................................
58 59
Section VI L’impact pour les consommateurs de la nature « hors sol » des contrats de banque et d’assurance digitale............................................
61
§ 1 – Au niveau de la réglementation européenne .................................................................. A. Le niveau de la protection du consommateur ......................................................... B. Le critère déterminant et néanmoins incertain du « lien étroit » ...................... § 2 – Au niveau de la législation nationale ................................................................................. A. Les règles entre États membres .................................................................................... B. Les rapports avec les États tiers et l’explicitation de la notion de lien étroit ......................................................................................................................
51 51
61 61 62 63 63 63
CHAPITRE II La protection des données à caractère personnel ............................
67
Section I Le cadre de la protection et certaines de ses évolutions à anticiper ..........
70
t aBle
des matières
§ 1 – La gouvernance des données ................................................................................................ A. Rappel du statut et des principales prérogatives de la CNIL .............................. B. Quelques lignes directrices sur le Délégué à la protection des données ........ 1. La désignation du Délégué à la protection des données personnelles ... a. La procédure..................................................................................................... b. La qualification ................................................................................................ c. Les incompatibilités ....................................................................................... 2. Les missions ............................................................................................................... 3. Les moyens................................................................................................................. 4. Le statut ...................................................................................................................... 5. Les responsabilités................................................................................................... § 2 – Le principe d’une protection différenciée selon les catégories de données ......... A. Les données protégées.................................................................................................... 1. Les données relatives à la santé .......................................................................... 2. Les données bancaires ............................................................................................ 3. Les données relatives aux mineurs ..................................................................... 4. Les données des personnes décédées ............................................................... B. Les identifiants numériques........................................................................................... 1. L’adresse IP ................................................................................................................. 2. Les témoins de connexion (cookies) .................................................................. 3. Les données pseudonymisées .............................................................................. § 3 – L’application des principes de protection aux services de banque et d’assurance en ligne ........................................................................................................... A. Le principe de finalité ..................................................................................................... B. L’accomplissement des formalités déclaratives...................................................... 1. Les principes du contrôle a priori de la CNIL .................................................. 2. Les formalités CNIL pour le secteur des assurances ..................................... 3. Les formalités CNIL pour le secteur bancaire ................................................. C. La sécurité des données .................................................................................................. D. Durée de conservation des données........................................................................... E. L’« Accountability » ou principe de responsabilité posé par le RGPD .............. 1. Les principes de « Privacy by design » et de « Privacy by default »........... 2. L’analyse d’impact sur la vie privée prévue par le RGPD ............................. 3. L’évolution du principe de sécurité pendant le traitement ....................... a. Les exigences portant sur les mesures de sécurité ............................... b. La notification des violations de données personnelles..................... c. L’évolution du statut du sous-traitant...................................................... § 4 – Le renforcement des droits des personnes ...................................................................... A. Les nouveaux droits .........................................................................................................
| 435
71 72 73 73 74 74 75 75 76 76 77 77 77 77 79 81 81 82 82 84 87 88 88 92 92 93 96 97 99 102 103 103 105 105 106 107 107 108
436 | B anque
1. 2. 3. 4.
et
a ssurance
digitales
Droit à l’information ............................................................................................... Droit à la limitation du traitement..................................................................... Droit à la portabilité des données ...................................................................... Droit lié à une décision automatisée .................................................................
108 109 110 111
B. Le renforcement des droits existants ......................................................................... 1. Le droit d’opposition .............................................................................................. a. Le droit d’opposition dans la loi « Informatique et Libertés »........... b. Le droit d’opposition dans le RGPD .......................................................... 2. Le droit d’accès aux données ............................................................................... a. Le droit d’accès dans la loi « Informatique et Libertés » ..................... b. Le droit d’accès dans le RGPD ..................................................................... 3. Le droit de rectification ......................................................................................... 4. Le droit à l’effacement des données..................................................................
111 111 111 112 113 113 116 117 117
Section II La prospection commerciale des données ....................................................
118
§ 1 – Les obligations posées par la loi pour la confiance dans l’économie numérique (LCEN) ....................................................................................................................
119
A. Le cadre juridique de la protection............................................................................. 1. Définition de la prospection directe ................................................................. 2. Critères de la prospection directe...................................................................... a. Les moyens visés ............................................................................................. b. Les personnes concernées ............................................................................
120 120 121 121 122
B. Le principe de la protection .......................................................................................... 1. Le consentement préalable (« Opt-in ») ............................................................ 2. L’obligation d’information ....................................................................................
123 123 124
§ 2 – Les contraintes liées à protection des données personnelles....................................
125
A. La constitution des fichiers de prospects ................................................................. 1. Les données interdites de prospection ............................................................. 2. Les données strictement encadrées ...................................................................
125 126 127
B. Le respect des principes « Informatique et Libertés »............................................ 1. L’information préalable de la personne concernée ...................................... 2. Le respect du principe de finalité ....................................................................... 3. L’accomplissement des formalités auprès de la CNIL .................................. 4. Le respect des droits des personnes .................................................................. a. Le droit d’opposition ..................................................................................... b. Le droit d’opposition avant toute prospection : les listes d’opposition...................................................................................................... c. Le droit d’opposition dans le RGPD ..........................................................
129 129 131 134 136 137
§ 3 – Les sanctions ..............................................................................................................................
139
137 139
t aBle
des matières
| 437
Section III Le profilage et le Big Data................................................................................
142
§ 1 – Définitions et caractéristiques du profilage ....................................................................
143
§ 2 – Définitions et caractéristiques du Big Data......................................................................
145
§ 3 – La difficile application des principes de protection .....................................................
146
Section IV Transfert des données à caractère personnel ...............................................
149
§ 1 – Cadre juridique applicable jusqu’en mai 2018..................................................................
151
A. Transfert et directive n° 95/46/CE du 24 octobre 1995 ........................................
151
1.
Le principe d’interdiction des transferts ne présentant pas un niveau de protection adéquat........................................................................
151
2. Les dérogations au principe ..................................................................................
152
a. La libre circulation des données dans les États membres ..................
153
b. Les pays bénéficiant d’un niveau de protection adéquat ...................
154
i.
Les fondements .....................................................................................
154
ii.
Le Safe Harbor .......................................................................................
154
iii.
Le bouclier de protection des données ou « Privacy Shield » .
156
Les clauses contractuelles ............................................................................
158
i.
Les clauses contractuelles types ......................................................
158
ii.
Les règles internes contraignantes ..................................................
159
B. Transfert et loi « Informatique, Fichiers et Libertés » ............................................
161
c.
1.
Le principe..................................................................................................................
162
2. Les dérogations.........................................................................................................
162
3.
Les sanctions..............................................................................................................
163
§ 2 – Transfert des données et règlement général de protection des données..............
164
A. Le principe général applicable aux transferts ..........................................................
165
B. Les fondements juridiques admis pour les transferts............................................
166
1.
Transferts fondés sur une décision d’adéquation ..........................................
166
a. Décisions d’adéquation .................................................................................
166
b. Décision d’inadéquation ...............................................................................
167
2. Transferts fondés sur des garanties appropriées ...........................................
168
3.
Transferts fondés sur des règles d’entreprise contraignantes ...................
169
C. Les dérogations prévues pour des situations particulières .................................
170
D. Les aspects internationaux des transferts .................................................................
170
438 | B anque
et
a ssurance
digitales
CHAPITRE III Conformité légale .................................................................................
173
Section I Lutte contre le blanchiment des capitaux et le financement du terrorisme.....................................................................................................
174
§ 1 – Les différents niveaux de vigilance..................................................................................... A. Vigilance simplifiée .......................................................................................................... B. Vigilance normale ............................................................................................................. C. Vigilance renforcée .......................................................................................................... § 2 – Identification et « connaissance client » ........................................................................... A. Extension du domaine de la connaissance client .................................................... B. Collecte raisonnable des informations en vertu de la protection des données personnelles............................................................................................... § 3 – Exemples de jurisprudence en matière de LAB-FT .........................................................
178 178 179 181 182 183 184 186
Section II Contrôle interne et sécurité de l’information .................................................
187
§ 1 – Arrêté du 3 novembre 2014 et contrôle interne dans le secteur bancaire.............. § 2 – Le Système d’Information, support du contrôle interne ............................................. § 3 – Prestations de services essentiels externalisées ............................................................. § 4 – Contrôle interne dans le secteur des assurances ...........................................................
187 190 194 196
Section III Secret professionnel ........................................................................................
197
§ 1 – Secret bancaire ......................................................................................................................... § 2 – Le secret des données de santé ...........................................................................................
198 202
CHAPITRE IV De la sécurité des systèmes d’information et de l’information ........
205
Section préliminaire Un cadre juridique de plus en plus étoffé ......................................................
205
Section I Sécurité et cybersurveillance des salariés ....................................................
206
§ 1 – Charte d’utilisation des ressources numériques ............................................................. A. Principes généraux............................................................................................................ B. Élaboration de la charte et respect de procédures................................................ C. Contenu de la charte ....................................................................................................... § 2 – Construction jurisprudentielle du régime juridique...................................................... A. Consécration de l’application de la charte ............................................................... B. Sécurisation interne et cyber-surveillance des salariés ........................................
207 208 209 212 212 212 214
t aBle
1. 2. 3. 4. 5.
des matières
| 439
Fichiers et messages électroniques .................................................................... Navigation sur Internet .......................................................................................... Équipements personnels ........................................................................................ Usage des réseaux sociaux .................................................................................... Les équipements téléphoniques ..........................................................................
214 215 217 218 219
Section II Identification et authentification .....................................................................
220
§ 1 – Principaux fondements relatifs à l’identification et l’authentification ................... A. Éléments de définitions .................................................................................................. 1. Sources françaises.................................................................................................... 2. Sources de l’Union européenne........................................................................... a. Identification électronique .......................................................................... b. Authentification .............................................................................................. B. Des bonnes pratiques relatives à l’authentification .............................................. C. Éclairages de la jurisprudence....................................................................................... 1. Manquement à l’obligation de sécurité ............................................................ 2. Authentification à facteur unique jugée trop faible ..................................... 3. Sur-authentification par SMS ............................................................................... 4. 3D Secure et l’obligation d’information............................................................ § 2 – Les usages de la pratique en matière d’authentification ............................................. A. Les systèmes reposant sur des codes et mots de passe........................................ 1. Login/mot de passe ................................................................................................ 2. Système dit de « bataille navale » ....................................................................... 3. Les OTP/SMS ou OTP par téléphone portable sur un serveur vocal ....... B. L’authentification biométrique .................................................................................... 1. Biométrie : des dispositifs sensibles ................................................................... 2. Authentification par reconnaissance vocale ................................................... 3. Les certificats électroniques ................................................................................ 4. France Connect ......................................................................................................... 5. Gestion de l’identité et Carte nationale d’identité électronique .............
222 222 222 223 223 226 228 231 231 231 232 233 234 234 234 234 234 235 235 236 238 240 241
Section III Lutte contre les fraudes numériques et la cybercriminalité .........................
242
§ 1 – Les directives européennes ................................................................................................... A. Directive relative aux attaques contre les systèmes d’information ................. B. La directive sur le secret des affaires ......................................................................... § 2 – De quelques délits applicables aux systèmes d’information ...................................... A. Phishing ................................................................................................................................ B. Usurpation d’identité ...................................................................................................... 1. L’infraction .................................................................................................................
244 244 245 246 247 249 250
440 | B anque
et
a ssurance
digitales
2. Applications jurisprudentielles............................................................................
250
C. Fraude aux « faux ordres de virement internationaux » (FOVI) ...........................
253
1.
La responsabilité de la banque ............................................................................
253
2. La sécurisation de l’accès ......................................................................................
256
D. Les fuites d’information..................................................................................................
257
« Data Loss Prevention » (DLP) : un moyen de protection des informations de l’entreprise..........................................................................
257
2. Une première jurisprudence sur la pratique des DLP....................................
258
3.
Quels enseignements retenir ? .............................................................................
259
E. Ransomware ou l’avènement de la prise d’otage numérique..............................
259
Les contours du « Ransomware » .........................................................................
260
2. Risques juridiques ....................................................................................................
261
3.
Parades juridiques ....................................................................................................
261
Le vol de données .............................................................................................................
263
Section IV Obligations relatives à la sécurité des systèmes d’information ..................
265
§ 1 – Principaux textes et leurs applications..............................................................................
266
A. Obligations dans le cadre de la protection des données à caractère personnel ......................................................................................................
266
B. Obligations dans le cadre de la protection des intérêts de la Nation .............
271
1.
1.
F.
1.
Obligations issues de la loi de programmation militaire.............................
271
2. Principales obligations à la charge des OIV .....................................................
272
C. Les notifications des failles de sécurité .....................................................................
274
1.
Les notifications des failles de sécurité dans l’ordonnance du 24 août 2011 ..........................................................................................................
277
a. Obligation de notification............................................................................
278
b. Le contenu de l’obligation de sécurité .....................................................
278
2. Les notifications dans la directive Sécurité des réseaux informatiques et la LPM .........................................................................................
279
3.
La DSP 2 .......................................................................................................................
280
D. Obligations de sécurité dans le règlement général de l’AMF..............................
281
§ 2 – Normes techniques et mesures de sécurité .....................................................................
281
A. Application des normes professionnelles .................................................................
282
B. Le standard PCI DSS .........................................................................................................
284
t aBle
des matières
| 441
CHAPITRE V Les aspects contractuels de l’assurance et de la banque digitale ..
287
Section I Le cadre juridique applicable à la banque digitale ........................................
287
§ 1 – Droit de la consommation et banque digitale ................................................................ § 2 – La réforme du Code civil et la banque digitale ............................................................... A. Les obligations d’informations précontractuelles .................................................. B. Les clauses abusives ......................................................................................................... C. La théorie de l’imprévision ............................................................................................
287 289 290 291 291
Section II Les clauses utiles .............................................................................................
292
§ 1 – Convention de preuve ............................................................................................................ § 2 – Le descriptif des services ....................................................................................................... § 3 – Obligations / responsabilités............................................................................................... § 4 – Les mesures de sécurité ......................................................................................................... § 5 – La clause « Informatique et Libertés » et la clause de secret bancaire ....................
292 293 294 294 294
Section III L’inclusion des stipulations relatives à la banque et à l’assurance digitales .............................................................................................................
294
§ 1 – Inclusion des conditions de Banque en ligne (BEL) dans la convention de compte de dépôt ............................................................................................................... § 2 – Inclusion des dispositions de banque en ligne (BEL) dans un document autonome ...................................................................................................................................
295 295
PARTIE II OPÉRATIONS DE BANQUE ET D’ASSURANCE DIGITALES CHAPITRE I Les principes de la digitalisation des documents.............................
299
Section I L’établissement d’un écrit électronique .........................................................
300
§ 1 – L’authentification / l’identification du client ................................................................. A. L’identification « KYC » de l’auteur .............................................................................. B. L’identification « civiliste » de l’auteur de l’acte ..................................................... § 2 – Les règles d’établissement de l’écrit sous forme électronique .................................. A. L’écrit requis à titre de preuve ..................................................................................... 1. L’identification de la personne ............................................................................ 2. L’intégrité de l’écrit dans le temps .....................................................................
300 300 303 305 306 306 306
442 | B anque
et
a ssurance
digitales
B. L’écrit requis à titre de validité de l’acte ..................................................................
308
C. L’original sous forme électronique..............................................................................
310
§ 3 – La phase de signature électronique proprement dite ..................................................
311
A. Le type de signature électronique utilisé..................................................................
311
B. Les fonctionnalités attendues de la signature électronique ............................... 1. L’identification du signataire................................................................................ 2. La manifestation du consentement....................................................................
315 315 316
§ 4 – Remise du contrat ....................................................................................................................
318
Section II La conservation des documents.....................................................................
319
§ 1 – Conservation de l’écrit électronique .................................................................................
319
§ 2 – Les copies électroniques ........................................................................................................
322
CHAPITRE II Les opérations de paiement numérique .............................................
327
Section I Les opérations de paiement ............................................................................
328
§ 1 – Obligations d’information .....................................................................................................
329
§ 2 – Consentement du client.........................................................................................................
330
§ 3 – Preuve de l’opération mal exécutée ..................................................................................
331
§ 4 – Modalités particulières de transmissions des ordres de paiement ..........................
331
§ 5 – Conservation – Prescription .................................................................................................
332
Section II Les instruments de paiement ..........................................................................
333
§ 1 – Les virements : le « SEPA Credit Transfer » .......................................................................
334
§ 2 – Les prélèvements : le « SEPA Direct Debit »......................................................................
335
§ 3 – Les paiements par carte bancaire : le « SEPA Card Framework »................................
336
§ 4 – L’« Instant Payment »...............................................................................................................
336
Section III Les formes des moyens de paiement .............................................................
337
§ 1 – Le paiement par SMS ..............................................................................................................
337
§ 2 – Le paiement via « E-Wallet » (réseaux sociaux)...............................................................
338
§ 3 – Le paiement via PayPal ...........................................................................................................
338
§ 4 – Le paiement par NFC...............................................................................................................
339
§ 5 – Le paiement en recourant à la vérification des transactions via la Blockchain ....
339
t aBle
des matières
| 443
CHAPITRE III Les fonctionnalités de la banque en ligne .........................................
341
Section I Consultation et émission de relevés d’opérations par voie électronique/Gestion des alertes ....................................................................
342
Section II Mise à disposition pour impression de Relevés d’identité bancaire ...........
343
Section III Les virements bancaires ..................................................................................
344
Section IV Fonctionnalité de base des espaces clients ..................................................
344
Section V Mise en place de simulations d’opération (crédit, assurance) .....................
346
Section VI Messagerie bancaire ........................................................................................
346
CHAPITRE IV La contractualisation d’opérations complexes .................................
349
Section I Ouverture d’un compte de dépôt ....................................................................
349
§ 1 – Obligation d’information précontractuelle et contractuelle..................................... § 2 – Remise de l’offre de contrat................................................................................................. § 3 – Acceptation du contrat / signature du client ................................................................. § 4 – Refus de souscription du contrat ........................................................................................ § 5 – L’exécution du contrat ........................................................................................................... § 6 – Sanctions.....................................................................................................................................
350 350 350 351 351 352
Section II La conclusion d’un contrat de crédit à la consommation ............................
353
§ 1 – L’information précontractuelle du consommateur ....................................................... § 2 – Offre de crédit .......................................................................................................................... § 3 – Conclusion du contrat de crédit.......................................................................................... A. Les règles de droit commun applicables ................................................................... B. Les règles dérogatoires du Code de la consommation ......................................... § 4 – Remise du contrat de crédit ................................................................................................. § 5 – Archivage / accessibilité du contrat de crédit ...............................................................
355 357 358 358 358 359 359
Section III La souscription d’un contrat d’assurance .....................................................
359
§ 1 – Notices précontractuelles .....................................................................................................
360
444 | B anque
et
a ssurance
digitales
§ 2 – Transmission de la proposition d’assurance émanant du souscripteur ................... § 3 – Établissement de la police d’assurance par la compagnie d’assurance ................... § 4 – Preuve de la remise ................................................................................................................. § 5 – Signature du contrat d’assurance ........................................................................................ § 6 – Le droit de renonciation ........................................................................................................ § 7 – Questionnaire de santé ..........................................................................................................
363 363 364 365 367 368
PARTIE III LES NOUVEAUX SERVICES DIGITAUX CHAPITRE PRÉLIMINAIRE Les Fintech, nouveaux acteurs du monde bancaire, financier, assurantiel.............................................................................................
373
Section I Fintech : une définition empirique ..................................................................
374
Section II Une prise en compte progressive par les autorités en charge de la régulation financière ...............................................................................
375
CHAPITRE I Les services disposant d’un cadre juridique .....................................
377
Section I Le coffre-fort numérique ..................................................................................
377
§ 1 – Définition du coffre-fort numérique .................................................................................
377
Sous-section 5 Appellation de coffre-fort numérique .................................................................
379
§ 2 – Documents cibles ..................................................................................................................... § 3 – Labellisation des coffres-forts numériques par la CNIL ............................................... § 4 – Les mesures de sécurité ......................................................................................................... § 5 – Quid en cas de décès du titulaire du coffre-fort ? .........................................................
379 380 382 382
Section II Les initiateurs de paiement et les agrégateurs de comptes de paiement ...
384
§ 1 – Régime juridique de l’initiation de paiement .................................................................. § 2 – Régime juridique de l’agrégation de comptes de paiement ....................................... § 3 – Quelles actions à venir ?.........................................................................................................
386 387 390
Section III Les plateformes de crowdfunding ..................................................................
392
§ 1 – Les plateformes de financement participatif sous forme de titres..........................
394
t aBle
des matières
| 445
A. Le conseiller en investissement participatif.............................................................
394
B. Le régime juridique des conseillers en financement participatif....................... 1. Obligations................................................................................................................. a. Formalités .......................................................................................................... b. Interdictions ..................................................................................................... c. Obligations ........................................................................................................ 2. Le contrôle des conseillers en investissement participatif.........................
396 397 397 397 397 398
§ 2 – Les plateformes de financement participatif sous forme de dons ou prêts .........
399
A. L’intermédiaire en financement participatif ............................................................
399
B. Les modes de financement : prêts et/ou dons ........................................................ 1. Nature de la participation en fonction de la situation ................................ 2. Régime du prêt et du crédit .................................................................................
400 401 402
C. Le régime juridique des intermédiaires en financement participatif ............... 1. Les obligations encadrant l’activité d’IFP ......................................................... a. Formalités .......................................................................................................... b. Obligations ........................................................................................................ 2. Relations avec les autorités de contrôle ..........................................................
402 402 403 403 404
§ 3 – Dispositions communes .........................................................................................................
404
CHAPITRE II Les services en cours d’encadrement ...............................................
407
Section I Les monnaies virtuelles ...................................................................................
407
§ 1 – Les caractéristiques des monnaies virtuelles ..................................................................
408
A. Les définitions du bitcoin ...............................................................................................
408
B. La difficulté de qualifier juridiquement les monnaies virtuelles .......................
410
§ 2 – Les risques juridiques liés à l’utilisation des monnaies virtuelles .............................
413
Section II La technologie Blockchain ..............................................................................
414
§ 1 – Les caractéristiques de la technologie de la Blockchain..............................................
415
A. Il s’agit d’un protocole ouvert… ...................................................................................
415
B. ...visant à assurer la gestion décentralisée et cohérente de l’historique de transactions...................................................................................................................
416
§ 2 – Le mode de fonctionnement de la technologie de la Blockchain ............................
416
A. Description d’une Blockchain .......................................................................................
416
B. Étapes de validation d’une transaction......................................................................
417
§ 3 – Les aspects juridiques de la Blockchain.............................................................................
418
446 | B anque
et
a ssurance
digitales
§ 4 – Les applications de la Blockchain........................................................................................ A. Le transfert de propriété des minibons ..................................................................... B. Ethereum et la confrontation de la Blockchain à la réalité .................................
419 420 420
Section III Les fournisseurs d’API .....................................................................................
421
§ 1 – Définition de l’API .................................................................................................................... § 2 – Les usages des API dans le monde de la banque, de la finance et de l’assurance ....................................................................................................................... § 3 – L’Open banking ......................................................................................................................... § 4 – Un encadrement juridique en cours d’évolution............................................................
421 422 422 423
Section IV Mobile Virtual Network .....................................................................................
423
Index ......................................................................................................
427
Bibliographie sélective.........................................................................
431
Des mêmes auteurs Dans la collection Essentiel de la Banque et de la Finance La banque en ligne et le droit Sous la direction de Éric A. Caprioli, avec les contributions de P. Agosti, I. Cantero, I. Choukri et F. Coupez
Dans la même collection Intermédiation financière – Opérations de banque – Services de paiement – Prêts participatifs – Services d’investissement : quelle réglementation et quelle responsabilité ? E. Bouretz Organismes de placements collectifs immobiliers (OPCI) (Les) – Régime juridiques É. Capron
Hors collection Big Data : menace ou opportunité pour l’Assurance ? P. Thourot et K. A. Folly Capital-investissement – Guide juridique et fiscal (Le) Fr.-Denis Poitrinal Financer une entreprise par le crowdfunding – Les nouvelles règles de l’investissement participatif D. Stucki êêêê Nouveauté Management et financement de l’innovation B. Yon, avec la collaboration de B. Attali Marchés obligataires – À la recherche des nouvelles frontières du risque S. Malécot êêêê Nouveauté Plus de marché pour plus d’État ! financière » F. Kramarz et Ph. Tibi
êêêê Grand Prix Turgot 2017 « Meilleur livre d’économie
Repères d’économie bancaire ‒ Les nouveaux défis du financement de l’économie Collectif sous la direction de V. Ohannessian et T. Waxin, avec M.-A. Barbat-Layani, C. Gallès, J. de Larosière, J.-H. Lorenzi, L. Quignon et A. Sienkiewicz êêêê Nouveauté Solvency 2 en 200 mots-clés Ph. Morin et P. Thourot (2e édition à paraître) Solvency 2 ‒ Impacts stratégiques et de marché F. Morlaye êêêê Nouveauté
Collection Marché / Finance Finance islamique (La) G. Causse-Broquet
Collection Master Analyse financière – Approche internationale – CFA Ph. Thomas Droit bancaire G. Decocq, Y. Gérard et J. Morel-Maroger Fusions-acquisitions Ph. Thomas Principes de Finance d’Entreprise – Corporate Finance – Création de valeur Ph. Thomas
448 | B anque
et
a ssurance
digitales
Collection Les essentiels de la banque et de la finance Banque et matières premières – Commodity Trade Finance D. Leboiteux et F. Constant êêêê Nouveauté Banque et son environnement en zone euro (La) J. Siliadin êêêê Nouveauté Bitcoin & Blockchain – Vers un nouveau paradigme de la confiance numérique ? Turgot 2017 de l’ouvrage collectif D. Geiben, O. Jean-Marie, T. Verbiest et J.-F. Vilotte
êêêê
Prix
Cyber-risques – Le nouvel enjeu du secteur bancaire et financier L. Zicry êêêê Nouveauté Fintech et Droit ‒ Quelle régulation pour les nouveaux entrants du secteur bancaire et financier ? Th. Bonneau et Th. Verbiest êêêê Nouveauté Hedge Funds ‒ Une analyse critique C. Kharoubi êêêê Nouveauté Innovation financière au service du climat (L’) – Les Obligations à Impact Environnemental A. Bouzidi et M. Mainelli êêêê Nouveauté Introduction à la comptabilité bancaire M. Formagne Introduction au Private Equity – Les bases du capital-investissement. France, Belgique, Luxembourg et Afrique francophone C. Demaria Investissement à haut rendement sociétal (L’) – La révolution de l’Impact Investing C. Antignac et B. Attali êêêê Nouveauté LBO – Montages à effet de levier – Private Equity Ph. Thomas Marketing bancaire et de l’assurance – Nouvelles tendances M. Badoc et E. Trouillaud Paiements à l’heure de l’Europe et de l’e/m-paiement (Les) R. Bouyala Real Estate – Finance de l’immobilier Ph. Thomas en collaboration avec A. Romanet-Perroux Révolution FinTech (La) R. Bouyala êêêê Nouveauté Trade Finance – Principe et fondamentaux D. Leboiteux (2e édition à paraître)
Retrouvez tous les ouvrages publiés chez RB Édition www.revue-banque.fr
Formaté typographiquement par DESK (53) : 02 43 01 22 11 – [email protected]
L
e secteur bancaire et assurantiel est au cœur de la révolution digitale qui innerve l’ensemble de la société. Précurseurs, les établissements bancaires et les entreprises d’assurance ont dû modifier en profondeur leurs pratiques et procédures pour satisfaire une clientèle toujours plus exigeante en termes de réactivité et de sécurité. La digitalisation de la banque et de l’assurance est la technique qui permet le passage de l’information analogique au numérique, au moyen des technologies de l’information, en vue de traitements et d’échanges entre systèmes d’information via les réseaux numériques, mais aussi avec les équipements personnels des clients. Les réglementations applicables sont de plus en plus complexes. Avec la digitalisation, le secteur bancaire et assurantiel doit non seulement prendre en compte les règles de droit commun, mais aussi les règles plus spécifiques qui encadrent les échanges digitaux/ numériques : quelles sont les exigences de sécurité des systèmes d’information qu’il convient de mettre en œuvre ? Quelles obligations juridiques pèsent sur l’entreprise de banque ou d’assurance en termes de conformité légale ou de protection des données à caractère personnel ? Selon quelles règles juridiques s’opèrent les relations digitalisées avec les clients ? Comment assurer le passage de la banque et de l’assurance traditionnelles au digital ? Quels sont les nouveaux services à valeur ajoutée et leurs cadres juridiques dont les banques et les assurances doivent se doter pour rester compétitives ? Cet ouvrage pratique et pragmatique a pour objectif de poser les fondements juridiques de la banque et l’assurance digitales. Les auteurs proposent une analyse approfondie, illustrée de références jurisprudentielles pour identifier les obligations et responsabilités des banques et des assurances, dans une optique de compliance réglementaire et de compétitivité. « Aborder dans un seul et même ouvrage la banque et l’assurance digitales est à la fois un choix judicieux et audacieux. Le rapprochement des activités, l’émergence de règles transversales et la supervision commune des secteurs – peut-être bientôt étendue au niveau européen – donne tout son sens à cette démarche. Dégager les questions juridiques, esquisser les réponses opérationnelles à y apporter – dans un contexte réglementaire en mouvement incessant – constituait un beau challenge. Éric Caprioli et ses associés l’ont relevé ». Myriam Roussille (Extrait de la préface)
Éric A. Caprioli est Avocat à la Cour de Paris, spécialiste en droit de l’informatique et des nouvelles technologies et en droit de la propriété intellectuelle. Il est habilité à diriger des recherches en droit et membre de la délégation française aux Nations unies. Pascal Agosti est Avocat au Barreau de Nice, spécialiste en droit de l’informatique, des nouvelles technologies et de la communication, Associé. Isabelle Cantero est Avocat au Barreau de Nice, Directeur du Pôle Vie privée et protection des données à caractère personnel et Vie privée et sécurité de l’information, Associé. Ilène Choukri est Avocat au Barreau de Nice, Directeur du Pôle Contentieux et Arbitrage, Docteur en droit, Associé.
revue-banque.fr ISBN : 978-2-86325-763-0 Code Géodif : G0070780 45 euros
A. CAPRIOLI
PASCAL AGOSTI ISABELLE CANTERO ILÈNE CHOUKRI
droit
Préface de MYRIAM ROUSSILLE
Banque et Assurance digitales DROIT ET PRATIQUES
Sous la direction de Éric A. Caprioli Pascal Agosti Isabelle Cantero Ilène Choukri
Préface de Myriam Roussille 5e édition augmentée et mise à jour notamment des dispositions de la loi de régulation bancaire et financière Préface de Benoît de Juvigny, Secrétaire général de l’Autorité des marchés financiers Avant-propos de David Charlet, Président de l’Association nationale des conseils en investissements financiers (ANACOFI), Président de l’ANACOFI-CIF
Les auteurs Ouvrage collectif sous la direction de Éric A. Caprioli, Avocat à la Cour de Paris, Docteur en droit, spécialiste en droit de l’informatique et des nouvelles technologies et en droit de la propriété intellectuelle, habilité à diriger des recherches en droit, membre de la délégation française aux Nations unies. Avec les contributions de : Pascal Agosti, Avocat au Barreau de Nice, Docteur en droit, spécialiste en droit de l’informatique, des nouvelles technologies et de la communication, Associé. Examen « Certified ISO/IEC 27001 Lead Auditor ». Isabelle Cantero, Avocat au Barreau de Nice, Directeur du Pôle Vie privée et protection des données à caractère personnel et Vie privée et sécurité de l’information, Associé. Ilène Choukri, Avocat au Barreau de Nice, Directeur du Pôle Contentieux et Arbitrage, Docteur en droit, Associé.
ISBN : 978-2-86325-763-0 Code Géodif : G0070780 Copyright © 2017 RB Édition, 18, rue La Fayette, 75009 – www.revue-banque.fr Diffusé par les Éditions d’Organisation, 1, rue Thénard, 75240 Paris Cedex 05. Toute reproduction, totale ou partielle, de la présente publication est interdite sans autorisation écrite de RB Édition ou du Centre français d’exploitation du droit de copie (CFC – 20, rue des Grands-Augustins, 75006 Paris), conformément aux dispositions du Code de la propriété intellectuelle.
Cet ouvrage est publié avec le concours du Secrétariat Général Direction Juridique du Groupe BPCE
« Verse-nous ton poison pour qu’il nous réconforte ! Nous voulons, tant ce feu nous brûle le cerveau, Plonger au fond du gouffre, Enfer ou Ciel, qu’importe ? Au fond de l’Inconnu pour trouver du nouveau ! »
Baudelaire « Les fleurs du mal » Le Voyage (dernière strophe)
L I S T E D E S P R I N C I PA L E S A B R É V I AT I O N S ABE
Autorité bancaire européenne
ACPR
Autorité de contrôle prudentiel et de résolution
AMF
Autorité des marchés financiers
ANSSI
Agence nationale en matière de sécurité et de défense des systèmes d’information
API
Application Programming Interface
Art.
Article
Banque & Droit
Revue Banque & Droit
BCR
Binding Corporate Rules
BEL
Banque en ligne
Bull.
Bulletin de la Cour de cassation
CA
Cour d’appel
C. assur.
Code des assurances
C. civ.
Code civil
C. consom.
Code de la consommation
Cass. civ. 1re
Cour de cassation, 1re chambre civile
Cass. civ. 2e
Cour de cassation, 2e chambre civile
Cass. civ. 3e
Cour de cassation, 3e chambre civile
Cass. com.
Cour de cassation, chambre commerciale
Cass. crim. Cass. soc.
Cour de cassation, chambre criminelle
CE
Conseil d’État
CGU
Conditions générales d’utilisation
CIL CJCE
Correspondant informatique et libertés
CJUE
Cour de Justice de l’Union européenne
CMF
Code monétaire et financier
CNIL
Commission nationale informatique et libertés
CNUDCI
Commission des Nations unies pour le droit commercial international
Cour de cassation, chambre sociale
Cour de Justice des Communautés européennes
8 | B anque
et
a ssurance
C. pén.
digitales
Code pénal
Com. com. électr. Revue Communication commerce électronique Contrats, conc., consom. Revue Contrats, concurrence, consommation CPC
Code de procédure civile
CPCE
Code des Postes et des communications électroniques
CPI
Code de la propriété intellectuelle
CPP
Code de procédure pénale
CSP
Code de la santé publique
D.
Recueil Dalloz
DGCCRF
Direction générale de la concurrence, de la consommation et de la répression des fraudes
DPD
Délégué à la protection des données
Dr pén.
Revue Droit pénal
DSP
Directive sur les services de paiement
EDI
Échange de données informatisées
ETSI
European Network and Information Security Agency
Gaz. Pal.
Revue Gazette du Palais
GED
Gestion électronique de documents
In
Dans
IP
Internet Protocol
ISO
International Organisation of Standardization
J.-Cl.
Juris-Classeur
JCP éd. E & A
Revue La Semaine Juridique, édition entreprise et affaires
JCP éd. G
Revue La Semaine juridique, édition générale
JO
Journal officiel
JOCE/JOUE
Journal officiel de la Communauté européenne (devenu Journal officiel de l’Union européenne)
L.
Loi
LCEN
Loi sur la confiance dans l’économie numérique
OIV
Opérateur d’importance vitale
Ord. réf.
Ordonnance de référé
OTP
One Time Password
PCI DSS
Payment Card Industry Data Security Standard
PSCo
Prestataire de services de confiance
l iste
des principales aBréviations
|9
RDBB
Revue de droit bancaire et de la Bourse
RDBF
Revue de droit bancaire et financier
RDC
Revue de droit des contrats
Rev.
Revue
RGPD
Règlement général sur la protection des données
RLDA
Revue Lamy Droit des affaires
RLDC
Revue Lamy Droit civil
RLDI
Revue Lamy Droit de l’immatériel
RTD civ.
Revue trimestrielle de droit civil
RTD com.
Revue trimestrielle de droit commercial
SEPA
Single Euro Payments Area ou Espace unique de paiement en euros
STAD
Système de traitement automatisé de données
T. com.
Tribunal de commerce
T. corr.
Tribunal correctionnel
TGI
Tribunal de grande instance
TRACFIN
Traitement du renseignement et action contre les circuits financiers clandestins
V.
Voir
SOMMAIRE Liste des principales abréviations ......................................................
7
Préface de Myriam Roussille ...............................................................
17
Introduction...........................................................................................
19
PARTIE I EXIGENCES JURIDIQUES APPLICABLES À LA BANQUE ET À L’ASSURANCE DIGITALES CHAPITRE I Enjeux et réalités de la protection des consommateurs en ligne ....
27
Section I Un cadre juridique hétérogène, stratifié et complexe ...................................
30
Section II Les défis de l’obligation d’information précontractuelle du consommateur de banque et d’assurance en ligne .................................
38
Section III La notion de support durable ..........................................................................
43
Section IV Droits de rétractation et de renonciation dans les services bancaires et assurantiels ..................................................................................................
50
Section V Les mécanismes de protection contre les clauses abusives en ligne ........
56
Section VI L’impact pour les consommateurs de la nature « hors sol » des contrats de banque et d’assurance digitale............................................
61
CHAPITRE II La protection des données à caractère personnel ............................
67
Section I Le cadre de la protection et certaines de ses évolutions à anticiper ..........
70
12 | B anque
et
a ssurance
digitales
Section II La prospection commerciale des données ....................................................
118
Section III Le profilage et le Big Data................................................................................
142
Section IV Transfert des données à caractère personnel ...............................................
149
CHAPITRE III Conformité légale .................................................................................
173
Section I Lutte contre le blanchiment des capitaux et le financement du terrorisme.....................................................................................................
174
Section II Contrôle interne et sécurité de l’information .................................................
187
Section III Secret professionnel ........................................................................................
197
CHAPITRE IV De la sécurité des systèmes d’information et de l’information ........
205
Section préliminaire Un cadre juridique de plus en plus étoffé ......................................................
205
Section I Sécurité et cybersurveillance des salariés ....................................................
206
Section II Identification et authentification .....................................................................
220
Section III Lutte contre les fraudes numériques et la cybercriminalité .........................
242
Section IV Obligations relatives à la sécurité des systèmes d’information ..................
265
CHAPITRE V Les aspects contractuels de l’assurance et de la banque digitale ..
287
Section I Le cadre juridique applicable à la banque digitale ........................................
287
Section II Les clauses utiles .............................................................................................
292
Section III L’inclusion des stipulations relatives à la banque et à l’assurance digitales .............................................................................................................
294
s ommaire | 13
PARTIE II OPÉRATIONS DE BANQUE ET D’ASSURANCE DIGITALES CHAPITRE I Les principes de la digitalisation des documents.............................
299
Section I L’établissement d’un écrit électronique .........................................................
300
Section II La conservation des documents.....................................................................
319
CHAPITRE II Les opérations de paiement numérique .............................................
327
Section I Les opérations de paiement ............................................................................
328
Section II Les instruments de paiement ..........................................................................
333
Section III Les formes des moyens de paiement .............................................................
337
CHAPITRE III Les fonctionnalités de la banque en ligne .........................................
341
Section I Consultation et émission de relevés d’opérations par voie électronique/Gestion des alertes ....................................................................
342
Section II Mise à disposition pour impression de Relevés d’identité bancaire ...........
343
Section III Les virements bancaires ..................................................................................
344
Section IV Fonctionnalité de base des espaces clients ..................................................
344
Section V Mise en place de simulations d’opération (crédit, assurance) .....................
346
Section VI Messagerie bancaire ........................................................................................
346
CHAPITRE IV La contractualisation d’opérations complexes .................................
349
Section I Ouverture d’un compte de dépôt ....................................................................
349
14 | B anque
et
a ssurance
digitales
Section II La conclusion d’un contrat de crédit à la consommation ............................
353
Section III La souscription d’un contrat d’assurance .....................................................
359
PARTIE III LES NOUVEAUX SERVICES DIGITAUX CHAPITRE PRÉLIMINAIRE Les Fintech, nouveaux acteurs du monde bancaire, financier, assurantiel.............................................................................................
373
Section I Fintech : une définition empirique ..................................................................
374
Section II Une prise en compte progressive par les autorités en charge de la régulation financière ...............................................................................
375
CHAPITRE I Les services disposant d’un cadre juridique .....................................
377
Section I Le coffre-fort numérique ..................................................................................
377
Section II Les initiateurs de paiement et les agrégateurs de comptes de paiement ...
384
Section III Les plateformes de crowdfunding ..................................................................
392
CHAPITRE II Les services en cours d’encadrement ...............................................
407
Section I Les monnaies virtuelles ...................................................................................
407
Section II La technologie Blockchain ..............................................................................
414
Section III Les fournisseurs d’API .....................................................................................
421
s ommaire | 15 Section IV Mobile Virtual Network .....................................................................................
423
Index ......................................................................................................
427
Bibliographie sélective.........................................................................
431
P R É FA C E Le digital constitue l’horizon de la banque et de l’assurance de demain. Il en façonne déjà les transformations actuelles, commerciales et organisationnelles. Mais basculer du papier au tout numérique bouleverse aussi l’approche juridique de ces secteurs. Et les problématiques sont en la matière bien compliquées, parce qu’imbriquées et parfois difficiles à articuler. Aborder dans un seul et même ouvrage la banque et l’assurance digitales est à la fois un choix judicieux et audacieux. Le rapprochement des activités, l’émergence de règles transversales et la supervision commune des secteurs – peut-être bientôt étendue au niveau européen – donne tout son sens à cette démarche. Dégager les questions juridiques, esquisser les réponses opérationnelles à y apporter ‒ dans un contexte réglementaire en mouvement incessant ‒ constituait un beau challenge. Éric Caprioli et ses Associés l’ont relevé. Par l’expérience qu’ils ont accumulée dans l’accompagnement des directions juridiques d’entreprises bancaires et d’assurance et par leurs publications passées, ils ont déjà contribué à structurer les réflexions et à faire avancer les solutions en ce domaine. Ils ont à nouveau mobilisé leur temps précieux pour nous livrer leurs analyses et nous faire bénéficier de leur recul. L’ouvrage recense d’abord les enjeux juridiques que le digital soulève dans les deux domaines. Il expose les cadres qui assurent la protection des consommateurs lorsqu’ils utilisent les services en ligne, en réservant une place centrale au dispositif de protection des données personnelles. À la pointe de l’actualité, l’ouvrage éclaire le lecteur sur les thématiques en vogue comme le profilage, le Big Data et les questions de compliance propres à ces secteurs. Il ne pouvait pas non plus faire l’économie du thème de la sécurité des systèmes d’information et de l’information. Les auteurs s’attaquent ensuite, dans une approche résolument opérationnelle, aux sujets techniques qui animent les banques et les entreprises d’assurance en pratique. Les principes applicables à la digitalisation des documents laissent place à des développements sur les opérations de paiement numériques ainsi qu’aux fonctionnalités de la banque en ligne et à la conclusion des principaux contrats en ce domaine (ouverture de compte, crédit à la consommation, assurance). Les nouveaux services digitaux, dans lesquels évoluent les Fintech et les nouvelles technologies, du Bitcoin à la Blockchain, réjouiront enfin les lecteurs qui s’intéressent à ces sujets. Myriam Roussille Agrégée des Facultés de droit Professeur à l’Université du Mans
INTRODUCTION 1. Dès le début des années soixante-dix, d’éminents professeurs avaient déjà remarqué la standardisation des opérations bancaires et l’automatisation de leurs traitements1. Ils avaient également observé qu’une part de plus en plus importante des opérations bancaires revêtait une dimension internationale. Ce phénomène s’est amplifié sans interruption avec l’apparition du réseau SWIFT en 1977 jusqu’à l’arrivée de l’Internet, et ce encore aujourd’hui2. À la vérité, le secteur bancaire et financier fait partie des pionniers en matière d’informatisation, puis de numérique, voire du digital. Cette nouvelle révolution succède aux inventions de l’écriture et de l’imprimerie comme l’a brillamment rappelé Michel Serres3. Le développement des réseaux numériques a encore accentué le phénomène de l’internationalisation des échanges au travers de la généralisation de la numérisation. Mais, tant que les systèmes informatiques n’étaient pas ouverts, les questions relatives à la sécurité numérique ne se posaient pas avec la même acuité qu’actuellement. 2. Or, avec la révolution digitale, son impact sur les métiers de la banque et de l’assurance est sans commune mesure avec ce qui a pu exister auparavant. La rupture s’opère et se diffuse à une vitesse sans précédent car les outils (ordinateurs portables, smartphones, tablettes, etc.) et les moyens de communication électroniques sont partagés par le plus grand nombre. Depuis l’avènement de l’Internet grand public, un peu plus d’une vingtaine d’années s’est écoulée et la transformation sociétale n’en est qu’au commencement. La banque en ligne a opéré une mutation importante de la relation client avec des accès 24 heures sur 24 et 7 jours sur 7 dès le début des années 2000. Une définition large de la banque en ligne avait été donnée par le Comité consultatif du secteur financier (CCSF) : « Banque à distance (Services de) : Ensemble de services rendus par la banque disposant ou non d’agence ou de lieu d’accueil de la clientèle et utilisant les nouvelles technologies (Internet, téléphone…) pour réaliser à distance – tout ou partie – des opérations sur le compte bancaire. On parle également de banque
1. 2. 3.
C. Gavalda et J. Stoufflet, Droit de la banque, PUF, 1974, v. n° 6. É. A. Caprioli, Le crédit documentaire : évolution et perspectives, préface R. de Bottini, avantpropos J.-P. Sortais, Litec, coll. Bibl. dr. entr., T. 29, 1992, v. n° 601. M. Serres, Petite Poucette, Le Pommier, 2012 : « Toutefois, l’invention de l’écriture et celle, plus tardive, de l’imprimerie bouleversèrent les cultures et les collectivités plus que les outils. Le dur montre son efficacité sur les choses du monde ; le doux montre la sienne sur les institutions des hommes. Les techniques conduisent ou supposent les sciences dures ; les technologies supposent et conduisent les sciences humaines, assemblées publiques, politique et société. Sans l’écriture, nous serions-nous réunis dans des villes, eussions-nous stipulé un droit, fondé un État, conçu le monothéisme et l’histoire, inventé les sciences exactes, institué la paideia… ? Aurions-nous assuré leur continuité ? (…) », p. 30.
20 | B anque
et
a ssurance
digitales
en ligne »4. Les clients, les particuliers, les entreprises, les collectivités publiques ont besoin d’immédiateté et d’accès aux services à partir de n’importe où et à n’importe quel moment. Ainsi, « les canaux d’échanges entre les banques et leurs clients se multiplient, ils se croisent et se combinent (on parle de multicanal et de « Cross canal ») : des opérations par voie électronique en agence avec un conseiller ou avec un guichet électronique, par téléphone ou avec l’envoi de documents par La Poste, par voie électronique via l’Internet ou des applications mobiles, voire avec une webcam »5. Il en va de même pour les services d’assurance qui se digitalisent progressivement6. Les comportements des clients se modifient avec l’utilisation des technologies et les nouveaux usages. Les communications de la génération Y reposent le plus souvent sur le téléphone mobile et le smartphone. De plus, on voit apparaître toutes sortes d’objets connectés (« Internet Of Things » ou IOT7) comme les bracelets, les montres, les puces, les boîtiers (ex. : pour détecter le taux d’humidité après un sinistre), les lunettes qui peuvent interagir avec les banques et les assurances et leur fournir des données comportementales, de santé ou sur un sinistre ayant une incidence sur les services, le prix de la police et l’indemnisation. Selon M. François Laffond, on serait en prise avec une évolution naturelle plus qu’une révolution : « plus qu’un changement des usages et comportements, le client de la banque voit ses exigences croître vers plus d’interactivité et de simplicité d’utilisation, de désintermédiation, de conseils personnalisés. Enfin, le numérique transforme la banque de détail dans son mode de fonctionnement, tant du point de vue du client que des processus opérationnels, mais également sur son business model. Si la banque change et s’adapte, les métiers se font l’écho de ces transformations à des degrés divers »8. 3. Pour définir la banque et l’assurance digitales, on ne doit pas se contenter de retenir l’utilisation des technologies de l’information et de la communication (équipements et connexions aux réseaux numériques) ; il faut y ajouter les usages en constante évolution, notamment ceux issus de ce qu’il est désormais courant d’appeler les « Fintech » ou les « Regtech ». Des caractéristiques découlent de ces nouveaux usages : interactivité, agilité, mobilité, collaboration, partage (sont notamment utilisées les techniques de Big data9, les médias sociaux). La relation sort des lieux clos habituels où l’on contracte avec sa banque ou sa compagnie d’assurance pour s’effectuer à distance, à partir de chez soi ou de n’importe 4. 5. 6. 7. 8. 9.
Glossaire « Banque au quotidien et crédit », Secrétariat général du Comité consultatif du secteur financier (CCSF), juin 2010. É. A. Caprioli, I. Cantero, I. Choukri, P. Agosti, F. Coupez, La banque en ligne et le droit, RB Édition, 2014, v. p. 15. « La transformation digitale prend son temps », L’Argus de l’assurance.com, 21 sept. 2012, n° 7281. T. Piette-Coudol, Les objets connectés, sécurité juridique et technique, LexisNexis, 2015. F. Laffond, « L’impact du numérique sur les métiers de la banque », Rev. Banque, n° 771. E. Jouffin et X. Le Marteleur, « Du psautier de Mayence aux zettaoctets, Quel environnement juridique pour le big data ? », Banque & Droit, juin 2016 ; É. A. Caprioli, « Docteur Data et Mister Big », Mag Securs, n° 38, p. 21 ; Thourot et K. Ametepe Folly, Big Data : opportunité ou menace pour l’assurance ?, RB Édition, 2016.
i ntroduction | 21
quel lieu où la connexion est possible, n’importe quand ! Mais ce n’est pas pour autant que les relations par voie électronique sont exclusives de toute présence physique ; bien au contraire, elles se développent de façon complémentaire. Ce que l’on appelle le digital tend vers le tout numérique même si, pour l’instant, il faut parfois utiliser les canaux traditionnels comme l’envoi postal ou la remise de documents sur support papier. La transition va encore durer quelques années. Mais le dénominateur commun reste le multicanal. D’après Pierre Catala, « avec la banalisation d’Internet, le télé-contrat échappe au droit des affaires pour envahir la vie quotidienne ; en devenant un phénomène de masse, il se «civilise» au sens juridique »10. 4. Ceci explique pourquoi nous avons choisi de définir la digitalisation de la banque et de l’assurance de façon large comme : la technique qui permet le passage de l’information analogique au numérique au moyen des technologies de l’information, de sorte qu’elle puisse faire l’objet de traitements et d’échanges entre systèmes d’information via les réseaux numériques dans la banque et l’assurance et dans leurs systèmes d’information, mais aussi avec les équipements personnels des clients. Le mérite de cette définition est d’inscrire l’informatique de la banque et de l’assurance dans la globalité de toutes formes de relations avec les clients, mais aussi de back-office, en intégrant les anciennes opérations que l’on connaît depuis longtemps (prêt, ouverture de compte, paiement, financement, souscription d’une assurance IARD, d’un contrat assurance-vie ou d’un crédit à la consommation) conclues sous forme numérique à distance ou non, ainsi que les nouveaux usages via les applications telles que les API (Application Programming Interface). 5. À la suite de M. Thierry Breton, on peut dire que les données sont au cœur de la relation client et que le XXIe siècle sera celui de la confiance numérique (à construire)11. À partir de ce que l’on peut nommer la « datification »12 du monde ou la « mise en données » de tout, on constate, pour reprendre l’expression d’Éric Sabin, « une quantitative intégrale de la vie »13. De là, en découle le « Big data », les algorithmes prédictifs, la marchandisation des données. Bref, cela laisse présager un véritable bouleversement des métiers de la banque, de la finance et de l’assurance tant sur le plan des structures et de l’organisation que du marché et des produits. Pour illustrer cette évolution dans la banque et l’assurance digitales, il suffit de penser aux robots banquiers en matière de gestion du patrimoine. Selon le professeur Lionel Martinelli, « aux USA, 250 milliards de dollars sont déjà gérés par des robots. Ils ne sont pas plus performants, mais ils
10. P. Catala, « Écriture électronique et actes juridiques », in Mélanges Michel Cabrillac, DallozLitec, 1999, v. p. 93. 11. T. Breton, « Actualités & Analyses », 24 oct. 2016. 12. V. l’article sur deux ouvrages de L. Mayer-Schönberger et K. Cukier (sur la mise en données du monde) et d’A. Townsend (sur les villes intelligentes) : « La datification du monde », Les Échos, 7 févr. 2014. 13. É. Sadin, La vie algorithmique – Critique de la raison numérique, L’échappée, 2015, p. 99 et s.
22 | B anque
et
a ssurance
digitales
le font pour bien moins cher »14. En 2020, ce chiffre devrait être pratiquement multiplié par dix (2 200 milliards de dollars). Outre les échanges et les interactions avec les clients dans le cadre des espaces numériques sécurisés ou coffres-forts numériques mis à leur disposition, bon nombre d’établissements bancaires ou de sociétés d’assurance (en ce y compris des mutuelles) utilise les services de confiance numérique tels que le cachet et la signature électroniques, l’horodatage15 et l’archivage, pour tous les processus de contractualisation (parcours client) de leurs produits et services financiers et d’assurance que ce soit dans le cadre d’une rencontre physique (en face-à-face) ou en ligne, voire de façon hybride. 6. Pourtant, le droit ne facilite pas toujours la transformation et le passage au tout numérique. Au contraire, il complexifie parfois la donne. Toutes les obligations et exigences qui préexistaient au numérique demeurent et de nouvelles obligations, censées protéger toujours plus les consommateurs ou les données des personnes physiques, voire la sécurité en termes de blanchiment d’argent ou de financement du terrorisme, apparaissent et se compliquent au fil des années. Leurs origines sont variées : l’État, l’Union européenne ou des conventions internationales (plus rarement). À ce titre, un constat s’impose : on se trouve face à un mille-feuille juridique complexe et parfois avec des exigences difficilement conciliables les unes avec les autres. La digitalisation épargne peu de domaines juridiques et concerne le Code civil pour la preuve, la signature, les contrats par voie électronique, le Code de la consommation, la réglementation des banques et des assurances [Code monétaire et financier (CMF), Code des assurances, réglementation « Single Euro Payments Area » (SEPA) ou Espace unique de paiement en euros, réglementation de l’Autorité de contrôle prudentiel et de résolution (ACPR), règlement de l’Autorité des marchés financiers (AMF)…], la loi « Informatique et Libertés », le Code des postes et des communications électroniques (CPCE), le Code de la défense, etc. 7. Mais le virage le plus délicat est en cours et les principaux risques en termes de concurrence et de conquête d’une autre clientèle restent à venir avec les nouveaux acteurs qui entendent préempter les marchés de la banque et de l’assurance. Ils sont issus des télécoms (ex. : Orange avec ses offres de paiement), ou de la galaxie des GAFAM (Google, Amazon, Facebook, Apple, Microsoft), mais aussi d’autres entités chinoises telle que Alibaba qui ont conquis des parts de marchés au détriment des banques nationales sur leurs territoires, voire des Uber de la finance ou de l’assurance. Il ne faut, cependant, pas perdre de vue que l’objectif des banques et des assurances est double : fidéliser leurs clients
14. « Le Big Bang des banques », L’Expansion, nov. 2016, p. 44. 15. É. A. Caprioli et P. Agosti, « Principales évolutions du régime de la signature, du cachet et de la copie numériques », AJCA, oct. 2016, n° 2 ; D. Gobert, « La loi belge du 21 juillet 2016 mettant en œuvre le règlement eIDAS et le complétant avec des règles sur l’archivage électronique : analyse approfondie » : www.caprioli-avocats.com
i ntroduction | 23
(un client coûte moins cher à conserver qu’à conquérir) et vendre de plus en plus de produits sur un marché fortement concurrentiel et qui s’internationalise. 8. Il est sans doute vrai que la compétition commerciale va être rude et que les anciens doivent se préparer à racheter certains challengers ou à développer des services pour lutter contre les majors16. Toutefois, si l’on regarde de plus près ce que l’on appelle la révolution des « Fintechs », force est de constater que le plus souvent, les nouveaux services à valeur ajoutée ne touchent pas au cœur de métier des banques et des assurances, sauf peut-être pour ce qui est des techniques modernes de paiement et des monnaies virtuelles. Néanmoins, un paiement ou une monnaie qui est virtuel reste juridiquement un paiement, une monnaie ou un virement peu importe la technique sous-jacente utilisée. Au demeurant, force est de constater que le cœur de ces usages innovants repose souvent sur le m-commerce (téléphones mobiles, smartphones et tablettes) et sur la désintermédiation17. Ces outils permettent de tout faire en temps réel et ouvrent les usages à de nouveaux acteurs, hors les banques et assurances traditionnelles, au risque de conquérir des parts de marché de ces dernières. Mais le principal danger pour les banques et les assurances vient des GAFAM, voire des opérateurs de téléphonie et de leurs positionnements sur la gestion des données. 9. Au surplus, lorsqu’on envisage les applications de la blockchain18, on constate qu’elles foisonnent dans différents domaines : paiement, financement participatif ou bons de caisse, état civil, gestion de l’identité numérique des citoyens par un État, cadastre et gestion des titres de propriété, gestion des droits de propriété intellectuelle dans la musique ou les vidéos, authentification de chaînes de fabrication des marchandises comme les médicaments. Une blockchain consiste en la technologie utilisée pour une application ou un projet donné, elle a un rôle de sécurisation et de facilitation des transactions. Elle ne change pas la nature de la transaction en elle-même. Ce type de technologie, dite « disruptive » (de rupture) doit être appréhendée à sa juste mesure et être utilisée à bon escient et dans le respect des exigences juridiques et de conformité19. De même, lorsqu’en matière d’assurance, on parle d’un bracelet, d’une montre ou d’une puce numérique – objets qui servent à collecter des données de santé – cela ne remet pas en cause les opérations d’assurance sous-jacentes qui restent identiques à celles que l’on connaît aujourd’hui. En revanche, ces objets connectés vont permettre de moduler les primes en fonction des résultats collectés en temps réel sur la personne ayant fait l’objet de l’assurance.
16. V. en ce sens l’analyse d’É. Sadin dans La vie algorithmique – Critique de la raison numérique, L’échappée, 2015, ainsi que l’ouvrage fondateur de J. Rifkin, La nouvelle société du coût marginal zéro, LLL, 2014. 17. R. Bouyala, La révolution FinTech, RB Édition, 2016. 18. A. Tapscott, Blockchain revolution: How the Technology Behind Bitcoin Is Changing Money, Business, and the World, Penguin Publishing Group, 2016. 19. É. A. Caprioli, « La Blockchain ou la confiance dans une technologie », JCP éd. G, n° 23, 6 juin 2016, p. 1162.
24 | B anque
et
a ssurance
digitales
10. Les contours des règles juridiques applicables à la banque et à l’assurance digitales impliquent que l’on se pose de nombreuses questions ayant trait à des sujets aussi divers que : quelles sont les exigences de sécurité des systèmes d’information qu’il convient de mettre en œuvre ? Quelles obligations juridiques pèsent sur l’entreprise de banque ou d’assurance en termes de conformité légale ou de protection des données à caractère personnel ? Selon quelles règles juridiques s’opèrent les relations digitalisées avec les clients ? Comment assurer le passage de la banque et de l’assurance traditionnelles au digital ? Quels sont les nouveaux services à valeur ajoutée et leurs cadres juridiques dont les banques et les assurances doivent se doter pour rester compétitives ? Pour répondre à ces questions, trois axes principaux se dégagent et seront présentés successivement : • les exigences juridiques applicables à la banque et à l’assurance digitales (première partie) ; • les opérations de banque et d’assurance digitales (deuxième partie) ; • les nouveaux services de banque et d’assurance digitales (troisième partie).
PA R T I E I EXIGENCES JURIDIQUES APPLICABLES À LA BANQUE ET À L’ASSURANCE DIGITALES
11. Les réglementations applicables aux banques et aux assurances sont de plus en plus complexes. Avec la digitalisation, ces entreprises doivent non seulement prendre en compte les règles de droit commun qu’elles appliquent depuis longtemps et qui évoluent au gré des crises, mais aussi les règles plus spécifiques qui encadrent les échanges digitaux/numériques. Pour envisager l’analyse des principales exigences juridiques applicables à la banque et à l’assurance digitales, il s’agira de voir, tour à tour, les enjeux et réalités de la protection des consommateurs (chapitre I), les obligations issues de la loi « Informatique, fichiers et libertés » (chapitre II), les obligations relatives à la sécurité des systèmes d’information et de l’information (chapitre III), les questions de conformité légales (chapitre IV) et, enfin, les questions contractuelles (chapitre V).
CHAPITRE I Enjeux et réalités de la protection des consommateurs en ligne 12. La sacralité de l’écrit dans le domaine bancaire et assurantiel vient de la qualité particulière de la relation avec le consommateur. En effet, l’Internet n’est plus uniquement le lieu de la publicité et de la prospection marchande. Il est devenu également l’un des sièges de la contractualisation20, depuis la loi n° 2000230 du 13 mars 2000. À terme, il en sera même le socle privilégié avec le mobile et pourquoi pas exclusif : les « pure players » et les « fintech » en ont fait le pari. 13. La dématérialisation des services dans le domaine de la banque et de l’assurance correspond, certes, à de nouveaux besoins des consommateurs : rapidité, réactivité, efficacité, rentabilité, ubiquité, etc.21 Cependant, avec une redéfinition totale de l’espace-temps, la cyber-banque et la cyber-assurance conduisent nécessairement à replacer le consommateur dans une nouvelle échelle de rapports avec son banquier ou son assureur. La réciproque est également vraie : le banquier et l’assureur doivent se resituer dans un processus de contractualisation totalement bouleversé. Les notions de risques et de responsabilités sont totalement redistribuées et les paradigmes classiques peuvent même tomber dans l’obsolescence, à terme. Pour des services aussi incontournables que la banque et l’assurance, la sécurité, la fiabilité, la facilité et la qualité du processus de contractualisation constituent les leviers stratégiques de la confiance du consommateur. Cette confiance doit être d’autant plus garantie qu’elle est censée animer plusieurs niveaux d’actions, des plus usuelles (telle qu’une opération simple sur ses comptes) aux moins courantes (telles que la cristallisation d’un crédit à la consommation ou le crédit immobilier)22, couvrant même la période précontractuelle. Le numérique bouleverse fatalement la consommation de la prestation bancaire et assurantielle qui devient donc désincarnée. Le passage au guichet 20. Loi n° 2000-230 du 13 mars 2000 portant adaptation du droit de la preuve aux technologies de l’information et relatives à la signature électronique ainsi que la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique (LCEN). V. É. A. Caprioli, « Écrit et preuve électronique dans la loi n° 2000-230 du 13 mars 2000 », Cah. dr. entr., 2000, n° 2, p. 1 et s. 21. S. Chaptal, « Banque en ligne. Quand la relation passe en 2.0 », Rev. Banque, n° 728, oct. 2010, p. 42 et s. 22. N. Ereseo, « Les opérations de crédit en ligne : le cas du crédit à la consommation », Banque & Droit, hors-série, juin 2013, p. 32 et s. ; N. Mater, « Le crédit immobilier en ligne », Banque & Droit, hors-série, juin 2013, p. 37 et s. V. partie II, chapitre IV.
28 | B anque
et
a ssurance
digitales
et le rendez-vous chez son agent cessent d’être des passages obligés, même si la contractualisation sous forme électronique sur le point de vente (agence) a tendance à se généraliser. Or, c’est bien dans ces occasions que la confiance se créait et se nourrissait jusqu’alors. 14. Dans le cadre des prestations en ligne, cette confiance ne doit pas se dissoudre et doit, au contraire, être rehaussée au point de devenir l’argument déterminant de la bascule vers la banque et l’assurance digitale. C’est tout l’enjeu du dispositif légal visant à la réaffirmation et à la consolidation de la haute protection déjà consacrée du consommateur français et européen23. 15. Dans les rapports dématérialisés, c’est l’immédiateté qui prime. En effet, tout se fait par le biais de l’« impulsion »24 qui couvre désormais : le conseil, la contractualisation, le paiement, etc. Si cette réactivité du rapport contractuel est aisément compatible avec des actes de consommation à faible valeur ajoutée, compte tenu du fait que tout préjudice sera minime et maîtrisable, il n’en est évidemment pas de même concernant les prestations bancaires et assurantielles dont la nature patrimoniale majore les enjeux et les risques. Comment faire en sorte que, dans cette fameuse « impulsion », soient concentrés à la fois l’obligation d’information, la qualité du consentement, la protection contre les clauses abusives, la conservation pérenne des actes, etc. ? Comment faire en sorte que le consommateur puisse maîtriser son sort lorsqu’il contracte ? L’intervention du conseiller bancaire ou de l’agent ou courtier en assurance permettait de pondérer le fait que tous les consommateurs ne se valent pas dans leur appréhension des situations et des risques pour eux. Comment, dès lors, assurer cette balance des équilibres dans le cadre d’un échange en ligne pouvant donner lieu à un engagement irrévocable (même si les délais de rétractation et de renonciation protègent le consommateur) ? Au-delà de la prouesse technique de la contractualisation « impulsée », se dégage un véritable exercice de style sur le plan juridique pour accompagner utilement cette transformation des services. 16. Cet accompagnement est d’autant plus nécessaire, qu’à l’instar de contrats classiques, les contrats de banque et assurances en ligne sont réputés être des contrats d’adhésion, au sens de l’article 1110 du Code civil25 : « le contrat d’adhésion est celui dont les conditions générales, soustraites à la négociation, sont déterminées à l’avance par l’une des parties ». 23. G. Raymond, Fasc. 904 : « Contrats conclus à distance », J.-Cl. Concurrence – Consommation, LexisNexis, 3 oct. 2014. 24. « La décision d’acheter des biens et des contenus numériques se produit généralement sur une impulsion, de sorte que le fait de payer doit être aussi rapide que cette impulsion », Sam Shrauger, vice-président de PayPal, lors de la Conférence PayPal X Innovate 2010. 25. Ordonnance n° 2016-131 du 10 février 2016 portant réforme du droit des contrats, du régime général et de la preuve des obligations, JO 11 févr. 2016.
e njeux
et réalités de la protection des consommateurs en ligne
| 29
La contractualisation en ligne majore donc les craintes telles que la présence de clauses abusives dans des contrats, à l’évidence, non négociés et à la disposition d’un périmètre plus large, plus hétérogène et donc plus exposé pour les consommateurs. Quelles qu’en soient les vertus, la bascule vers la digitalisation partielle ou totale des contrats de banque et d’assurance n’est pas aisée. Le scepticisme de certains n’est pas à ignorer. Ainsi, en matière de crédit à la consommation, d’aucuns auront considéré que la compatibilité entre la contractualisation en ligne et ce type de prestations n’est pas établie26. Pour autant, s’arrêter à un scepticisme prudentiel revient à nier la richesse de la réflexion juridique et du droit positif consacré en matière de protection des consommateurs qui trouve un plein champ d’expression en matière de services financiers à distance, nonobstant l’apparition d’un droit dédié en matière de contrats en ligne et en matière de services de banque et d’assurance en ligne. Les éléments de la confiance existent déjà et sont loin d’être balbutiants. 17. Ceci étant, force est de constater que le cadre juridique global applicable est complexe. La réglementation applicable s’est édifiée de manière empirique, juxtaposant, avec plus ou moins de bonheur, les dispositifs et allant du général sur le contrat à distance, au particulier sur la prestation bancaire et d’assurance, en passant par les dispositions les plus impératives et contraignantes du droit de la consommation (section I). Ce panorama d’un cadre juridique riche, mais parfois complexe, permet, sans prétendre à l’exhaustivité, de faire émerger un certain nombre de règles et de principes majeurs applicables aux services bancaires et assurantiels à distance. Ainsi, l’information précontractuelle du consommateur revêt une importance cruciale dans la conclusion de ce type de contrat (section II). L’effectivité même de l’exercice du droit à l’information du consommateur implique que la documentation informative et contractuelle soit conservée sur un support durable (section III). L’idée globale est d’annihiler les effets potentiellement négatifs ou nuisibles de la distance. C’est le même souci de sécurisation du rapport de confiance qui préside au régime renforcé du droit de rétractation du consommateur (section IV) et du droit applicable aux clauses abusives (section V). Enfin, et surtout, le contrat de prestations à distance de services bancaires et assurantiels est un contrat « hors sol ». La déterritorialisation potentielle n’est pas exempte de risques pour les consommateurs. Le cadre juridique européen et français offre des niveaux utiles – quoique perfectibles – d’adaptation aux spécificités de la banque et de l’assurance digitales (section VI).
26. N. Eresco, « Les opérations de crédit en ligne : le cas du crédit à la consommation », Banque & Droit, hors-série, juin 2013, p. 32 et s. A contrario, v. infra partie II, chapitre IV.
30 | B anque
et
a ssurance
digitales
SECTION I UN CADRE JURIDIQUE HÉTÉROGÈNE, STRATIFIÉ ET COMPLEXE 18. Les règles applicables aux consommateurs sont donc essentielles et même déterminantes dans le développement de la banque et de l’assurance en ligne. Or, la consommation de services bancaires en ligne ou de services assurantiels en ligne n’est pas uniforme. La palette de prestations est riche et en constante mutation. Ce qui donne lieu à un panorama réglementaire et législatif hétérogène et loin d’être univoque. Pour autant, le « consommateur » de banque et d’assurance en ligne reste une préoccupation constante et un fil conducteur fort et cohérent dans l’édification juridique de la banque et de l’assurance digitales. Le conglomérat de textes applicables à sa protection est assez symptomatique du souci du législateur à son égard, de par le volume et de par la variété de ses composantes. Il est vrai que « le contrat de crédit est un acte grave »27 et que le contrat d’assurance ne l’est pas forcément moins. 19. En amont de l’inventaire des textes pertinents, il convient évidemment de rappeler que ce type de prestations bancaires et assurantielles en ligne, en tant que services fournis en ligne28, sont nécessairement régies par la loi n° 2004-575 du 21 juin 2004 transposant la directive sur le commerce électronique du 8 juin 2000 et son article 9, libéralisant la conclusion des contrats électroniques29, a fortiori, dans le domaine bancaire et assurantiel. La directive sur le commerce électronique a ainsi établi des règles harmonisées sur les contrats par voie électronique, les communications commerciales, l’information donnée par les fournisseurs de services en ligne, etc. En outre, un des objectifs de la directive était de protéger le consommateur face au développement de l’économie numérique et de l’accroissement des cyber-acheteurs. 20. S’inscrivant dans le même processus, deux directives européennes sont intervenues pour réglementer la protection des consommateurs en
27. N. Eresco, « Les opérations de crédit en ligne », ibid. 28. Considérant 17 de la directive n° 2000/31/CE du 8 juin 2000 du Parlement européen et du Conseil du 8 juin 2000 relative à certains (dite « directive sur le commerce électronique ») : « tout service fourni, normalement contre rémunération, à distance au moyen d’équipement électronique de traitement (y compris la compression numérique) et de stockage des données, à la demande individuelle d’un destinataire de services », JOCE n° L. 178, 17 juill. 2000, p. 1. 29. L’article 9, al. 1, indique que « les États membres veillent à ce que leur système juridique rende possible la conclusion des contrats par voie électronique. Les États membres veillent notamment à ce que le régime juridique applicable au processus contractuel ne fasse pas obstacle à l’utilisation des contrats électroniques ni ne conduise à priver d’effet et de validité juridiques de tels contrats pour le motif qu’ils sont passés par voie électronique ». Les dérogations prévues à l’alinéa 2 ne concernent pas la banque et l’assurance en ligne, ouvrant pleinement la voie au développement de ce type de prestations.
e njeux
et réalités de la protection des consommateurs en ligne
| 31
matière de contrats à distance (directive du 20 mai 199730) et en matière de commercialisation à distance des services financiers auprès des consommateurs (directive du 23 septembre 200231), transposée dans le Code de la consommation par l’ordonnance n° 2005-648 du 6 juin 2005 (articles L. 121-20-8 et suivants du Code de la consommation). Cette dernière prend en compte les spécificités applicables aux services financiers, exclus de prime abord du champ d’application de la directive du 20 mai 1997. Il s’agit là des principaux textes impactants du droit de l’Union européenne. Ceci étant, d’autres dispositions européennes, directement ou indirectement impliquées dans l’exercice des droits du consommateur en matière de banque et d’assurance digitales, seront évoquées au gré des prochains développements. Le droit français s’est efforcé d’optimiser la problématique de la protection des droits des consommateurs au détour des transpositions des dispositions européennes. Derrière cette stratification de textes, se devine le souci du législateur de propager les arcanes de la protection du consommateur dans chaque niveau d’exercice des prestations de banque et d’assurance en ligne. § 1 – L’ordonnance du 6 juin 2005 sur la commercialisation à distance de services financiers auprès des consommateurs : la pierre angulaire de la transposition nationale
21. La directive du 23 septembre 2002 relative à la commercialisation à distance de services financiers a été transposée en droit français par l’ordonnance du 6 juin 200532. Celle-ci intègre, notamment dans le Code de la consommation, les dispositions relatives aux services financiers qui en étaient jusqu’alors exclues. Son décret d’application33 est venu préciser les informations précontractuelles devant être fournies par le professionnel au consommateur, à savoir notamment les produits et services, l’identité du professionnel, les conditions de l’offre, la loi applicable et l’existence et modalités d’exercice d’un droit de rétractation34. Celles-ci doivent être fournies de manière claire et compréhensible par tout moyen adapté à la technique de communication à distance utilisée et doivent être reçues par le consommateur par écrit ou sur un autre support durable à sa disposition et auquel il a accès en temps utile et avant tout engagement. Enfin, l’ordonnance du 6 juin 2005 octroie au consommateur un droit de rétractation, celui-ci s’élevant à quatorze jours à compter du jour où le contrat à distance 30. Directive n° 97/7/CE du 20 mai 1997 concernant la protection des consommateurs en matière de contrats à distance : JOCE n° L. 144, 4 juin 1997, p. 19 et s. 31. Directive n° 2002/65/CE du 23 septembre 2002 concernant la commercialisation à distance de services financiers auprès des consommateurs : JOCE n° L. 271, 9 oct. 2002, p. 16 et s. 32. Ordonnance n° 2005-648 du 6 juin 2005 relative à la commercialisation à distance de services financiers auprès des consommateurs, JO 7 juin 2005, p. 10002. 33. Décret n° 2005-1450 du 25 novembre 2005 relatif à la commercialisation à distance de services financiers auprès des consommateurs, JO 26 nov. 2005, p. 18364. 34. Section IV du présent chapitre.
32 | B anque
et
a ssurance
digitales
est conclu ou à compter de celui où le consommateur reçoit les conditions contractuelles et informations précitées35. Ces dispositions ont notamment été modifiées par la loi relative à la consommation du 17 mars 201436 (ci-après « loi sur la consommation »). En outre, il convient de préciser que le Code des assurances (art. L. 112-2-1), celui de la mutualité (art. 221-18), de la sécurité sociale (art. L. 932-15-1) et le Code monétaire et financier (Titre IV du livre 111) sont également modifiés et adaptés en fonction des principales dispositions du Code de la consommation37. Il est précisé que l’ordonnance du 6 juin 2005 ne s’applique qu’aux contrats à distance, et donc à la banque et à l’assurance en ligne, à l’exclusion de ceux conclus exclusivement en « face-à-face, c’est-à-dire [avec] la présence physique simultanée du fournisseur de services financiers et du consommateur »38. Dans un souci pertinent d’anticipation et de pérennité du cadre juridique, l’ordonnance du 6 juin 2005 entend intégrer tous les services en ligne, quels que soient les supports et les évolutions technologiques à venir. Il convient de signaler la réforme du crédit à la consommation par la loi Lagarde du 1er juillet 201039, modifiée également par la loi sur la consommation du 17 mars 201440. § 2 – Le détour obligé par la loi pour la confiance dans l’économie numérique et l’ordonnance du 16 juin 2005
22. La loi pour la confiance dans l’économie numérique41 (dite « LCEN ») a transposé la directive européenne n° 2000/31/CE du 8 juin 2000 sur le commerce électronique, ainsi que certaines dispositions de la directive du 12 juillet 2002 sur la protection de la vie privée dans le secteur des communications électroniques42. 23. La LCEN précise les conditions d’accès et d’identification de la publicité en ligne, consacre le principe du consentement préalable (« opt-in ») et en limite les
35. Ibid. 36. Loi n° 2014-344 du 17 mars 2014 relative à la consommation, JO 18 mars 2014, p. 5400. 37. S. Piedelièvre, « La commercialisation à distance de services financiers auprès des consommateurs », RDBF, n° 6, nov. 2005, étude 18. 38. P. Bouteiller, « La commercialisation des services financiers à distance », JCP éd. E & A, n° 5152, 22 déc. 2005, 1859. 39. Loi n° 2010-737 du 1er juillet 2010 portant réforme du crédit à la consommation, JO 2 juill. 2010, p. 12001. 40. N. Ereseo, op. cit. 41. Loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique, JO 22 juin 2004, p. 11168. 42. Directive n° 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (dite « directive vie privée et communications électroniques »), JOCE n° L. 201, 31 juill. 2002, p. 37. v. infra partie I, chapitre II.
e njeux
et réalités de la protection des consommateurs en ligne
| 33
exceptions43. L’objectif clairement identifiable est de protéger le consommateur contre l’envoi massif de messages publicitaires (« spamming »), de conforter la liberté de la communication publique en ligne, de mieux sécuriser les échanges et d’amplifier les moyens de lutte contre la cybercriminalité44. De plus, l’article 26 de la LCEN dispose que « dans les conditions prévues à l’article 38 de la Constitution, le Gouvernement est autorisé à procéder par ordonnance à l’adaptation des dispositions législatives subordonnant la conclusion, la validité ou les effets de certains contrats à des formalités autres que celles mentionnées à l’article 1108-1 du Code civil (ancien)45, en vue de permettre l’accomplissement de celles-ci par voie électronique ». C’est dans ce contexte que l’ordonnance du 16 juin 200546 a été publiée, celle-ci étant censée lever les principaux obstacles juridiques liés au formalisme et favoriser les nouvelles offres de contrats électroniques, sauf exigences nécessaires à la validité d’un acte juridique47. Il s’agit, en effet, de consacrer : la validité de la transmission de courriers simples ou recommandés par voie électronique, la validité de l’original électronique et la mise à disposition et l’accès en ligne des informations sur les biens et services et des conditions contractuelles48. Aucun changement notable n’est à relever, si ce n’est des modifications terminologiques et précisions diverses49. § 3 – Les principaux apports de la loi sur la consommation du 17 mars 201450 pour la banque et l’assurance en ligne
24. La loi sur la consommation a été promulguée le 17 mars 2014 après validation par le Conseil constitutionnel51, sauf en ce qui concerne la création d’un traitement de données à caractère personnel recensant les crédits à la consommation accordés aux particuliers, dénommé « Registre national des crédits aux particuliers ».
43. É. A. Caprioli, « Loi du 6 août 2004. Commerce à distance sur l’Internet et protection des données à caractère personnel », Com. com. électr. 2005, étude 7. 44. V. infra partie I, chapitre IV, section III. 45. Article 1174 du Code civil (nouveau), modifié par l’ordonnance n° 2016-131 du 10 février 2016. 46. Ordonnance n° 2005-674 du 16 juin 2005 relative à l’accomplissement de certaines formalités contractuelles par voie électronique, JO 17 juin 2005, p. 10342. 47. V. C. civ., art. 1174. 48. É. A. Caprioli, « L’ordonnance n° 2005-674 du 16 juin 2005 : un nouveau formalisme contractuel pour les échanges électroniques », Caprioli & Associés, Commerce électronique : www.caprioliavocats.com. Pour de plus amples renseignements sur la digitalisation, v. partie II, chapitre I. 49. Rapport au Président de la République relatif à l’ordonnance n° 2016-131 du 10 février 2016 portant réforme du droit des contrats, du régime général et de la preuve des obligations, JO 11 févr. 2016. 50. La loi n° 2014-344 du 17 mars 2014 relative à la consommation transpose dans le droit français les dispositions de la directive n° 2011/83 du Parlement européen et du Conseil du 25 octobre 2011 relative aux droits des consommateurs. 51. Décision n° 2014-690 DC, 13 mars 2014, JO 18 mars 2014, p. 5450.
34 | B anque
et
a ssurance
digitales
25. L’un des apports majeurs de cette loi sur la consommation est de définir, enfin, dans l’article préliminaire du Code de la consommation, ce qui caractérise juridiquement un consommateur, supprimant ainsi les incertitudes que le simple bon sens juridique inspiré de la jurisprudence ne suffisait pas à lever, tant les enjeux de cette définition dépassent le droit lui-même52. Il s’agira désormais de « toute personne physique qui agit à des fins qui n’entrent pas dans le cadre de son activité commerciale, industrielle, artisanale ou libérale ». Désormais… ou presque, puisque cette définition correspond purement et simplement à celle figurant dans la directive du 5 avril 1993 concernant les clauses abusives dans les contrats conclus avec les consommateurs53. La notion de consommateur est a minima stabilisée. En tout état de cause, et nonobstant les limites de cette définition54, il y a lieu d’accueillir favorablement le fait de donner une « incarnation » juridique à la notion sensible, mouvante et stratégique de « consommateur » dans un contexte de développement des contrats dématérialisés et spécifiquement compte tenu des enjeux et des intérêts impliqués dans la banque et l’assurance en ligne. 26. De plus, la loi du 17 mars 2014 refond les articles L. 111-1 et suivants du Code de la consommation sur l’obligation d’information des professionnels, précise les conditions de démarchage et de vente à distance, modifie le régime du crédit renouvelable, instaure un droit de substitution limité dans le temps de l’assurance emprunteur, limite la durée des plans conventionnels de surendettement et introduit des dispositions nouvelles relatives à la mobilité bancaire. En effet, le crédit fait désormais l’objet d’un titre Ier divisé en chapitres en fonction du type de crédit (consommation, immobilier) dans un souci d’accroître la lisibilité du régime applicable en la matière55. En matière d’assurance, la loi du 17 mars 2014 renforce également la protection des assurés en créant de nouvelles facultés de résiliation, ainsi que l’information précontractuelle et redéfinit le démarchage56. 27. À cet égard, il convient de relever que la loi élargit la notion de démarchage en l’incluant dans le concept plus large, de « contrat conclu hors établissement »57. 52. J. Beauchard, « Remarques sur le Code de la consommation », in Mélanges Cornu, PUF, 1995, p. 9 ; J.-P. Chazal, « Le consommateur existe-t-il ? », D. 1997, p. 260. 53. Directive n° 93/13/CEE, du 5 avril 1993, concernant les clauses abusives dans les contrats conclus avec les consommateurs, JOCE n° L. 95, 21 avr. 1993, p. 29. 54. S. Piedelièvre, « La loi du 17 mars 2014 », JCP éd. E & A, n° 14, 3 avr. 2014, 1176. 55. N. Sauphanor-Brouillaud et H. Aubry, « Recodification du droit de la consommation – à propos de l’ordonnance n° 2016-301 du 14 mars 2016 », JCP éd. G, n° 14, 4 avr. 2016, 392. 56. J. Bigot, « La loi Hamon et le contrat d’assurance », JCP éd. G, n° 21-22, 26 mai 2014, doctr. 634. 57. Article 9 de la loi du 17 mars 2014 repris dans l’article L. 121-16-2° du Code de la consommation. Parmi les trois catégories de contrats conclus hors établissement, il convient de relever les contrats conclus entre un professionnel et un consommateur « dans le lieu où le professionnel exerce son activité en
e njeux
et réalités de la protection des consommateurs en ligne
| 35
Cependant, elle ne s’applique pas expressément aux services financiers, ni assurantiels58. Le démarchage en matière d’assurance est donc régi par le Code des assurances, qui recense les obligations d’informations précontractuelles et contractuelles idoines59. § 4 – La loi de séparation et de régulation des activités bancaires du 26 juillet 2013 : les mécanismes de contrôle pour les services bancaires
28. Si la loi du 26 juillet 2013 de séparation et de régulation des activités bancaires60 ne paraît pas concerner directement les règles de commercialisation à distance de services financiers à des consommateurs, son article 39 devra être relevé. 29. En effet, la loi du 26 juillet 2013 complète l’article L. 612-24 du Code monétaire et financier dans la mesure où « lorsque les personnes et entités mentionnées aux I à III de l’article L. 612-2 [en ce compris les établissements de crédit, de paiement, compagnies financières, établissement de monnaie électronique, etc.] fournissent leurs services sur Internet, les contrôleurs peuvent, pour accéder aux informations et éléments disponibles sur ces services, faire usage d’une identité d’emprunt sans en être pénalement responsables ». L’homme mystère peut contrôler les pratiques en ligne ! Les contrôleurs de l’Autorité de contrôle prudentiel et de résolution (ACPR) peuvent donc effectuer des vérifications sur les informations et éléments disponibles sur les services de banque en ligne en faisant usage d’une identité d’emprunt. Cette possibilité induit un renforcement d’un impératif déjà prégnant pour les établissements bancaires et financiers : l’audit et la vérification de la conformité de leur service de contractualisation en ligne tant dans la phase de l’information précontractuelle que dans leurs processus ultérieurs. 30. Précisons que l’Autorité des marchés financiers (AMF), également habilitée pour effectuer de tels contrôles aux côtés de l’Autorité de contrôle prudentiel et de résolution (ACPR), s’est récemment focalisée sur la banque en ligne et la vente à distance de services financiers. En effet, deux campagnes de visites mystères ont été réalisées par l’AMF sur Internet entre juillet 2014 et janvier 2015 et ont concerné 17 établissements représentant des courtiers et banques en ligne ainsi que des services en ligne de banques traditionnelles. Ces visites consistaient à connaître les modalités d’ouverture d’un compte-titres sur l’Internet, à évaluer la permanence ou de manière habituelle ou au moyen d’une technique de communication à distance, immédiatement après que le consommateur a été sollicité personnellement et individuellement dans un lieu différent de celui où le professionnel exerce en permanence ou de manière habituelle son activité et où les parties étaient, physiquement et simultanément, présentes ». 58. Article L. 121-16-1. I) du Code de la consommation. 59. Section II du présent chapitre. 60. Loi n° 2013-672 du 26 juillet 2013 de séparation et de régulation des activités bancaires, JO 27 juill. 2013, p. 12530.
36 | B anque
et
a ssurance
digitales
qualité des questionnaires en ligne et à tester les procédures des établissements en ligne lorsqu’un client « à risque » et sans expérience passe des ordres sur des produits complexes et risqués. Celles-ci ont mis en lumière les faiblesses des questionnaires disponibles en ligne visant à établir le profil financier des clients et, lorsque ces derniers passent des ordres sur des instruments financiers complexes, on constate une tendance des établissements à préférer exonérer leur responsabilité en mettant en garde le client61. Les établissements bancaires et financiers devront être particulièrement vigilants sur ces points. Ces contrôles apparaissent donc comme des mécanismes de veille et de régulation, à la fois préventifs mais également dissuasifs, qui prennent en considération la possible vulnérabilité du consommateur moyen, dans le cadre des prestations de banque et d’assurance. Il s’agit là d’un élément opérationnel favorable au développement de la confiance du consommateur dans la réglementation applicable, et donc favorable au développement même de ce marché en émergence. Ces contrôles sont donc des opérations venant renforcer les contrôles classiques de la DGCCRF auprès des professionnels, notamment concernant l’information précontractuelle des consommateurs62. § 5 – Textes spécifiques aux produits et aux services financiers
31. Outre la transposition des directives européennes en droit français, de nombreuses réglementations particulières régissent la commercialisation à distance des services financiers. Assurément, la multiplicité des produits visés et les impératifs spécifiques de la vente à distance impliquent l’imbrication de plusieurs règles spécifiques. Il s’agit notamment de la loi relative aux offres publiques d’acquisition63 (OPA) qui opère des corrections de forme et met partiellement en cohérence le régime du démarchage et de la commercialisation à distance. De plus, la réglementation sur le courtage des assurances64 prévoit des informations précontractuelles
61. AMF, La lettre de l’Observatoire de l’épargne de l’AMF, n° 14, juill. 2015. 62. Articles L. 450-1 et suivants du Code de commerce. V. le décret n° 2014-1061 du 17 septembre 2014 relatif aux obligations d’information précontractuelle et contractuelle des consommateurs et au droit de rétractation, JO 19 sept. 2014, p. 15331. V. également C. Delga, « Amélioration de l’information des consommateurs et renforcement de leurs droits contractuels, notamment en matière de vente à distance et démarchage », Communiqué de presse, 20 sept. 2014, n° 49. 63. Loi n° 2006-387 du 31 mars 2006 relative aux offres publiques d’acquisition, JO 1er avr. 2006, p. 4882. 64. Loi n° 2005-1564 du 15 décembre 2005 portant diverses dispositions d’adaptation au droit communautaire dans le domaine de l’assurance, JO 16 déc. 2005, p. 19348.
e njeux
et réalités de la protection des consommateurs en ligne
| 37
particulières au statut d’intermédiaire en assurance et trois arrêtés65 spécifiques à l’assurance-vie ont renforcé la lisibilité et la transparence des contrats. Il convient également de relever la directive n° 2014/17/UE relative au crédit hypothécaire66 venant consolider le dispositif de protection précontractuelle du consommateur. 32. De plus, la directive n° 2005/2366 du 25 novembre 2015 concernant les services de paiement dans le marché intérieur (dite directive « DSP 2 ») offre de nouvelles possibilités pour les consommateurs et devra être prise en considération dans la mise en place globale d’un système de banque en ligne67. 33. Enfin, doivent être citées les règles spécifiques aux organismes de placement collectif en valeurs mobilières (OPCVM), à la conclusion de contrats spécifiques, au démarchage bancaire et financier – selon que celui-ci soit suivi ou non d’une commercialisation à distance – à la commercialisation de services financiers par téléphone et la souscription de crédits à la consommation. L’ensemble de cet édifice réglementaire aux composantes hétéroclites en matière de commercialisation à distance de produits ou de services financiers et d’assurance à destination d’un consommateur permet de dégager les lignes fortes de protection et, en particulier, concernant l’information précontractuelle, la notion de support durable, le délai de rétractation (ou droit à la renonciation en matière d’assurance) et le régime des clauses abusives.
65. Arrêté du 9 février 2006 complétant certaines dispositions du Code des assurances en matière d’assurance vie, JO 21 févr. 2006, p. 2659. Arrêté du 1er mars 2006 modifiant et complétant certaines dispositions du Code des assurances en matière d’assurance sur la vie et de capitalisation, JO 10 mars 2006, p. 3621. Arrêté du 8 mars 2006 relatif à l’encadré inséré en tête de proposition d’assurance, de projet de contrat sur la vie ou de capitalisation ou de notice, JO 17 mars 2006, p. 4046. 66. Directive n° 2014/17/UE du 4 février 2014 sur les contrats de crédit aux consommateurs relatifs aux biens immobiliers à usage résidentiel et modifiant les directives n° 2008/48/CE et n° 2013/36/UE et le règlement n° 1093/2010/UE : JOUE 28 févr. 2014. 67. Directive n° 2015/2366/UE du 25 novembre 2015 concernant les services de paiement dans le marché intérieur, modifiant les directives n° 2002/65/CE, n° 2009/110/CE et n° 2013/36/UE et le règlement n° 1093/2010/UE et abrogeant la directive n° 2007/64/CE, JOUE n° L. 337, 23 déc. 2015, p. 35. V. partie II, chapitre II.
38 | B anque
et
a ssurance
digitales
SECTION II LES DÉFIS DE L’OBLIGATION D’INFORMATION PRÉCONTRACTUELLE DU CONSOMMATEUR DE BANQUE ET D’ASSURANCE EN LIGNE 34. Il conviendra de voir dans un premier temps les contours de l’obligation d’information précontractuelle (§ 1), puis son contenu dans un deuxième temps (§ 2) et, enfin, dans un troisième temps les sanctions applicables (§ 3). § 1 – Les contours de l’obligation d’information précontractuelle
35. L’importance de l’information précontractuelle et contractuelle du consommateur en fait l’épine dorsale du dispositif réglementaire et juridique applicable à la fourniture des services ou produits financiers. Ce dernier a fait l’objet de modifications depuis la directive du 20 mai 1997 concernant la protection des consommateurs en matière de contrats à distance68. Celle-ci a été transposée en France par l’ordonnance du 23 août 200169 intégrant l’information précontractuelle du consommateur dans les articles L. 221-5 et suivants, ainsi que l’article L. 121-20-8 du Code de la consommation. Par ailleurs, plus spécifiquement dédiée à la commercialisation à distance de services financiers, la directive du 23 septembre 2002 transposée par l’ordonnance du 6 juin 200570 précise, en son article 3, l’information qui doit être fournie au consommateur préalablement à la conclusion du contrat à distance. Ces dispositions ont été transposées dans le Code de la consommation au sein d’une sous-section spécifique : « Dispositions particulières aux contrats portant sur des services financiers »71. 36. L’obligation d’information du consommateur, par essence, implique non seulement de mettre le consommateur en situation d’accéder à l’information pertinente, mais aussi d’être en situation de la comprendre, l’enjeu pour le prestataire étant de garantir le caractère éclairé du consentement qui va cristalliser le contrat à distance. L’obligation d’information précontractuelle constitue un pilier fondamental de la relation bancaire et assurantielle, en dehors même de tout échange dématérialisé. Mais elle trouve une expression particulière et renforcée dans le domaine de la prestation de banque à distance.
68. Directive n° 97/7/CE du 20 mai 1997 concernant la protection des consommateurs en matière de contrats à distance : JOCE n° L. 144, 4 juin 1997, p. 19 et s. 69. Ordonnance n° 2001-741 du 23 août 2001 portant transposition de directives communautaires et adaptation au droit communautaire en matière de droit de la consommation, JO 25 août 2001, p. 13645. 70. Ordonnance n° 2005-648 du 6 juin 2005 relative à la commercialisation à distance de services financiers auprès des consommateurs, JO 7 juin 2005, p. 10002. 71. Sous-partie 2 de la partie législative.
e njeux
et réalités de la protection des consommateurs en ligne
| 39
37. Il en est de même en matière d’assurance, avec un supplément de « gravité ». En effet, le contrat d’assurance est un contrat consensuel dans le sens où il est parfait dès la rencontre des volontés des parties72. Dès lors, l’impératif de l’écrit ne s’impose pas en soi, sauf à titre probatoire pour des opérations supérieures à 1 500 euros. La règle de la formation du contrat d’assurance est donc très libérale et le contrat n’en est pas moins fort et liant pour les deux parties (pour de plus amples renseignements, voir partie II, chapitre IV). À l’instar des prestations bancaires, le droit général de la consommation vient sécuriser cet environnement, les règles applicables aux prestations en ligne venant parfaire l’ensemble, y compris dans l’intérêt même des prestataires de banque et d’assurance numériques73. § 2 – Le contenu de l’obligation d’information précontractuelle
38. Au-delà de l’applicabilité du cadre juridique général, il est évident que la spécificité de la prestation en ligne impose un arsenal législatif et réglementaire dédié à l’assurance et à la banque en ligne. Il convient tout d’abord de se référer aux dispositions de l’article 1127-1 du Code civil et de l’article L. 221-5 du Code de la consommation concernant les prestations en ligne à titre professionnel, qui dressent la liste des informations précontractuelles requises. 39. L’article 1127-1 du Code civil rappelle que l’offre lie le professionnel « tant qu’elle est accessible par voie électronique de son fait » et liste les détails de l’énoncé de l’offre à savoir, entre autres, les différentes étapes à suivre pour conclure le contrat par voie électronique, les moyens techniques permettant à l’utilisateur, avant la conclusion du contrat, d’identifier les erreurs commises dans la saisie des données et de les corriger ; les langues proposées ; les conditions d’archivage. Une dernière exigence sur l’offre préalable concerne l’énoncé des « moyens de consulter par voie électronique les règles professionnelles et commerciales auxquelles l’auteur de l’offre entend, le cas échéant, se soumettre ». Concrètement, cette obligation précontractuelle particulière consistera en la mise à disposition des consommateurs des informations requises sur support papier en agence, ou sur le site Internet, par le biais notamment de liens hypertextes donnant accès à un document imprimable ou téléchargeable et enregistrable sur le disque dur74.
72. Cass. civ. 1re, 9 mars 1999, n° 96-20.190, Bull. civ. I, n° 80, RGDA 1999, p. 567, note J. Kullman. V. également Traité de droit des assurances, T. 3 : Contrat d’assurance, J. Bigot, ss dir., LGDJ, 2002, n° 86 et s. ; Y. Lambert-Faivre, L. Leveneur, Droit des assurances, Dalloz, coll. Précis, 2005, 12e éd., n° 216 et s. ; G. Durry, « Où la Commission de contrôle des assurances semble méconnaître le caractère consensuel du contrat d’assurance », Resp. civ. et assur. 1999, chron. 24 ; J.-P. Chazal, « De la signification du mot loi dans l’article 1134, alinéa 1er, du Code civil », RTD civ. 2001, p. 265. 73. En ce sens, Cass. civ. 1re, 6 avr. 2016, n° 15-10.732. V. JCP éd. G 2016, 783, note É. A. Caprioli. 74. Section III du présent chapitre.
40 | B anque
et
a ssurance
digitales
40. Le professionnel devra également se conformer à l’obligation générale d’information précontractuelle modifiée par l’ordonnance du 14 mars 2016 et faisant suite à la publication de la loi du 17 mars 2014 relative à la consommation75. À cet égard, l’article L. 221-5 du Code de la consommation liste les informations précontractuelles devant être transmises au consommateur par le professionnel en matière de contrat à distance76. Ainsi, le professionnel devra préciser, avant la conclusion du contrat, les informations prévues aux articles L. 111-1 et L. 111-2 du Code de la consommation77, les conditions, le délai et les modalités d’exercice du droit de rétractation ainsi que le formulaire type de rétractation, l’identité et les coordonnées du professionnel, l’existence éventuelle d’un code de bonne conduite, les modalités de résiliation, etc. Il convient de souligner que le renvoi à l’article L. 111-1 du Code de la consommation engage le professionnel à communiquer au consommateur de « manière lisible et compréhensible », notamment, les caractéristiques essentielles du service compte tenu du support de communication utilisé et du service concerné, le prix du service ; le cas 75. Ordonnance n° 2016-301 du 14 mars 2016 relative à la partie législative du Code de la consommation, JO 16 mars 2016. 76. « Préalablement à la conclusion d’un contrat de vente ou de fourniture de services, le professionnel communique au consommateur, de manière lisible et compréhensible, les informations suivantes : 1° Les informations prévues aux articles L. 111-1 et L. 111-2 ; 2° Lorsque le droit de rétractation existe, les conditions, le délai et les modalités d’exercice de ce droit ainsi que le formulaire type de rétractation, dont les conditions de présentation et les mentions qu’il contient sont fixées par décret en Conseil d’État ; 3° Le cas échéant, le fait que le consommateur supporte les frais de renvoi du bien en cas de rétractation et, pour les contrats à distance, le coût de renvoi du bien lorsque celui-ci, en raison de sa nature, ne peut normalement être renvoyé par la poste ; 4° L’information sur l’obligation du consommateur de payer des frais lorsque celui-ci exerce son droit de rétractation d’un contrat de prestation de services, de distribution d’eau, de fourniture de gaz ou d’électricité et d’abonnement à un réseau de chauffage urbain dont il a demandé expressément l’exécution avant la fin du délai de rétractation ; ces frais sont calculés selon les modalités fixées à l’article L. 221-25 ; 5° Lorsque le droit de rétractation ne peut être exercé en application de l’article L. 221-28, l’information selon laquelle le consommateur ne bénéficie pas de ce droit ou, le cas échéant, les circonstances dans lesquelles le consommateur perd son droit de rétractation ; 6° Les informations relatives aux coordonnées du professionnel, le cas échéant aux coûts de l’utilisation de la technique de communication à distance, à l’existence de codes de bonne conduite, le cas échéant aux cautions et garanties, aux modalités de résiliation, aux modes de règlement des litiges et aux autres conditions contractuelles, dont la liste et le contenu sont fixés par décret en Conseil d’État. Dans le cas d’une vente aux enchères publiques telle que définie par le premier alinéa de l’article L. 321-3 du Code de commerce, les informations relatives à l’identité et aux coordonnées postales, téléphoniques et électroniques du professionnel prévues au 4° de l’article L. 111-1 peuvent être remplacées par celles du mandataire ». 77. Les articles L. 111-1 à L. 111-8 sont en vigueur depuis le 1er juillet 2016. Rapport au Président de la République relatif à l’ordonnance n° 2016-301 du 14 mars 2016 relative à la partie législative du Code de la consommation, JO 16 mars 2016.
e njeux
et réalités de la protection des consommateurs en ligne
| 41
échéant, les délais pour l’exécution du service, les informations relatives à son identité, à ses coordonnées postales, téléphoniques et électroniques et à ses activités, pour autant qu’elles ne ressortent pas du contexte ; les informations relatives aux garanties légales, aux fonctionnalités du contenu numérique et, le cas échéant, à son interopérabilité, à l’existence et aux modalités de mise en œuvre des garanties et aux autres conditions contractuelles. L’article L. 221-5 du Code de la consommation est applicable sans préjudice de l’application des obligations législatives et réglementaires spécifiques à chaque produit, instrument financier ou service proposé. 41. Justement, et spécifiquement s’agissant de l’obligation d’information précontractuelle en matière de services financiers, l’article L. 222-5 du Code de la consommation prévoit que le consommateur doit recevoir les informations portant sur l’identité et les coordonnées du professionnel, les informations relatives aux produits, instruments et services financiers proposés, le droit de rétractation, les conditions contractuelles, la loi applicable au contrat et la juridiction compétente. Et l’article L. 222-5 du Code de la consommation de préciser que : « ces informations, dont le caractère commercial doit apparaître sans équivoque, sont fournies de manière lisible et compréhensible par tout moyen adapté à la technique de communication à distance utilisée », reprenant ainsi les mêmes termes que l’article L. 221-5 du Code de la consommation. 42. De facto, un établissement de crédit devra respecter les conditions spécifiques aux opérations de crédit mentionnées à l’article L. 312-12 du Code de la consommation. Les sanctions de l’absence de délivrance de telles informations dans le cadre de crédits à la consommation sont précisées aux articles L. 341-1 et suivants du Code de la consommation. 43. L’article R. 312-1 du Code monétaire et financier vient ajouter et approfondir cette obligation d’information préalable : « Les établissements de crédit sont tenus de porter à la connaissance de leur clientèle et du public les conditions générales de banque qu’ils pratiquent pour les opérations qu’ils effectuent. Lorsqu’ils ouvrent un compte, les établissements de crédit doivent informer leurs clients sur les conditions d’utilisation du compte, le prix des différents services auxquels il donne accès et les engagements réciproques de l’établissement et du client »78. Cette disposition trouve écho dans celle de l’article L. 312-1-1 I du Code monétaire et financier : « les établissements de crédit sont tenus d’informer leur clientèle et le public sur les conditions générales et tarifaires applicables aux opérations relatives à la gestion d’un compte de dépôt, selon des modalités fixées par un arrêté du ministre chargé de l’Économie ».
78. V. également, en ce sens l’article L. 312-1-1 du Code monétaire et financier.
42 | B anque
et
a ssurance
digitales
Ledit arrêté est celui du 29 juillet 2009, relatif aux relations entre les prestataires de services de paiement et leurs clients en matière d’obligations d’information des utilisateurs de services de paiement. Il vient parfaire les dispositifs précités en précisant les principales stipulations devant figurer dans les conventions de compte de dépôt et les contrats-cadres de services de paiement79. Cet arrêté a dressé une liste des informations à fournir par le prestataire venant recouper en grande partie les listes précédemment établies en matière d’information du consommateur80. 44. En outre, l’ordonnance du 25 mars 2016 sur les contrats de crédit aux consommateurs relatifs aux biens immobiliers à usage d’habitation81, entrée en vigueur depuis le 1er octobre 2016, précise aux articles L. 341-25 à L. 341-26 du Code la consommation que le prêteur qui ne respecte pas les conditions de l’information précontractuelle pourra être déchu de ses droits aux intérêts jusqu’à un montant ne pouvant excéder 30 % des intérêts, plafonné à 30 000 euros. 45. En matière d’assurance en ligne, le Code des assurances prévoit également des dispositions spécifiques à l’information précontractuelle due par l’assureur. En effet, celui-ci doit fournir à l’assuré avant la conclusion du contrat, une fiche d’information sur le prix et les garanties, un exemplaire du projet de contrat et ses pièces annexes ou notices d’information ainsi que les obligations de l’assuré conformément à l’article L. 112-2 du Code des assurances82. Ces dispositions trouvent un intérêt encore particulier dans le cadre des contrats d’assurance en ligne dans la mesure où elles pondèrent utilement le caractère consensuel de ces contrats en assurant un niveau d’informations préalables renforcé. § 3 – La déclinaison de sanctions
46. Les manquements à l’obligation d’information précontractuelle sont sanctionnés de manière suffisamment significative pour comprendre l’importance de ces exigences. 47. Sur le plan civil et en matière de contrat à distance, la sanction est purement et simplement la nullité du contrat lui-même, en vertu des dispositions de l’article L. 242-2 du Code de la consommation. 79. T. Bonneau, « Le domaine d’application de l’ordonnance – Notions d’instrument de paiement, de services de paiement et d’établissement de paiement au sens de l’ordonnance, application dans l’espace et dans le temps, domaine subjectif : consommateurs, professionnels », JCP éd. E & A, n° 2, 14 janv. 2010, 1031. 80. Notamment, son identité, ses coordonnées, les informations relatives aux services proposés, aux frais, à la communication future, la langue du contrat, les mesures de protection relatives à l’utilisation des services de paiement, les conditions de modifications et de résiliation du contrat, les recours éventuels. 81. Ordonnance n° 2016-351 du 25 mars 2016 sur les contrats de crédit aux consommateurs relatifs aux biens immobiliers à usage d’habitation, JO 26 mars 2016. V. dossier spécial, « La réforme du crédit immobilier à la consommation », RDBF, sept.-oct. 2016, p. 31-37. 82. Il convient d’y ajouter les articles L. 222-5 et suivants du Code de la consommation.
e njeux
et réalités de la protection des consommateurs en ligne
| 43
48. Sur le plan pénal, l’article L. 242-5 du Code de la consommation prévoit une peine d’emprisonnement de 2 ans et une amende de 150 000 euros. Sur le plan administratif, le prestataire indélicat sera passible d’une amende administrative dont le montant ne peut excéder 3 000 euros pour une personne physique et 15 000 euros pour une personne morale83. 49. En matière de banque et d’assurance en ligne, une sanction civile, pénale, administrative ou disciplinaire aura sans doute un impact dissuasif non négligeable sur le public en termes d’image, voire bien plus efficace que toute autre mesure. 50. L’ensemble de ces dispositions relatives à l’obligation d’information du consommateur met en exergue un élément particulièrement sensible et déterminant pour l’effectivité de cette obligation en matière de services de banque et d’assurance en ligne : il s’agit de la notion de support durable.
SECTION III LA NOTION DE SUPPORT DURABLE 51. Plusieurs dispositions du Code de la consommation et du Code monétaire et financier rappellent l’importance et l’impérativité de garantir au consommateur la possibilité de recevoir les informations et les conditions contractuelles de manière utile et satisfaisante pour un exercice réel et efficace du droit à l’information. Ceci est encore plus vrai en matière de prestations bancaires et assurantielles en ligne. 52. Ainsi, à l’instar de tout contrat conclu sous forme électronique, les contrats de prestations bancaires et assurantielles devront répondre aux dispositions de l’article 1127-1 du Code civil : « Quiconque propose, à titre professionnel, par voie électronique, la fourniture de biens ou la prestation de services, met à disposition les conditions contractuelles applicables d’une manière qui permette leur conservation et leur reproduction. Sans préjudice des conditions de validité mentionnées dans l’offre, son auteur reste engagé par elle tant qu’elle est accessible par voie électronique de son fait. L’offre énonce en outre : (…) 2° Les moyens techniques permettant à l’utilisateur, avant la conclusion du contrat, d’identifier les erreurs commises dans la saisie des données et de les corriger ; (…) 4° En cas d’archivage du contrat, les modalités de cet archivage par l’auteur de l’offre et les conditions d’accès au contrat archivé ; (…) 5° Les moyens de consulter par voie électronique les règles professionnelles et commerciales auxquelles l’auteur de l’offre entend, le cas échéant, se soumettre ».
83. Article L. 242-10 du Code de la consommation.
44 | B anque
et
a ssurance
digitales
Dans le même esprit, l’article 1127-2 du Code civil dispose que : « le destinataire de l’offre doit avoir eu la possibilité de vérifier le détail de sa commande et son prix total, et de corriger d’éventuelles erreurs avant de confirmer celle-ci pour exprimer son acceptation ». Pour ce faire, la substitution du support électronique au support papier a conduit à la consécration de la notion de support durable. § 1 – La notion de support durable en droit européen
53. La notion de support durable a été d’abord mentionnée dans la directive du 20 mai 1997 sur la protection des consommateurs en matière de contrats à distance. Celle-ci précisait que le consommateur devait recevoir par écrit ou sur un autre support durable les informations nécessaires sans pour autant en donner de définition84. 54. S’agissant spécifiquement de la fourniture de services financiers auprès des consommateurs, c’est l’article 2-f) de la directive n° 2002/65/CE du 23 septembre 2002 concernant la commercialisation à distance de services financiers auprès des consommateurs85, qui en donne une définition : « tout instrument permettant au consommateur de stocker des informations qui lui sont adressées personnellement d’une manière permettant de s’y reporter aisément à l’avenir pendant un laps de temps adapté aux fins auxquelles les informations sont destinées et qui permet la reproduction à l’identique des informations stockées ». Au surplus, le considérant (20) de la directive n° 2002/65/CE inclut dans les supports durables « les disquettes informatiques, CD-ROM, DVD et le disque dur de l’ordinateur du consommateur sur lequel le courrier électronique est stocké », mais exclut expressément les sites Internet « sauf ceux qui satisfont aux critères spécifiés dans la définition des supports durables »86. 55. Plus récemment, la directive n° 2011/83/UE sur les droits des consommateurs87 précise en son considérant (23) que le papier, les clés USB, les cartes mémoire ou les courriels (pris indépendamment des disques durs) peuvent être considérés comme un support durable. Il est alors expressément précisé que le support durable doit « permettre au consommateur de stocker les informations aussi longtemps que cela lui est nécessaire pour protéger ses intérêts découlant de sa relation avec le professionnel ». 84. Article 5.1 de la directive n° 97/7/CE du 20 mai 1997 concernant la protection des consommateurs en matière de contrats à distance, JOCE n° L. 144, 4 juin 1997, p. 19 et s. 85. Directive n° 2002/65/CE du 23 septembre 2002 concernant la commercialisation à distance de services financiers auprès des consommateurs et modifiant les directives n° 90/619/CEE, n° 97/7/CE et n° 98/27/CE. 86. Dir. préc. ; la transposition de cette directive est intervenue avec le 6 juin 2005, JO 7 juin 2005. 87. Directive n° 2011/83/UE du 25 octobre 2011 relative aux droits des consommateurs, modifiant la directive n° 93/13/CEE et la directive n° 1999/44/CE et abrogeant la directive n° 85/577/CEE et la directive n° 97/7/CE, JOUE n° L. 304, 22 nov. 2011, p. 64.
e njeux
et réalités de la protection des consommateurs en ligne
| 45
Au-delà de l’effectivité du droit à l’information précontractuelle et contractuelle, c’est donc bien tout le régime de la preuve du contrat passé avec le consommateur qui est en jeu autour de cette notion de « support durable »88. 56. La jurisprudence est venue utilement éclairer cette définition, notamment un arrêt de la CJUE en date du 5 juillet 201289 en indiquant que les Conditions générales de vente (CGV) en ligne du fournisseur, auquel il est renvoyé par un lien hypertexte, n’étaient pas un support durable, et non conformes aux exigences de l’article 5 § 1 de la directive n° 97/7/CE du 20 mai 1997, concernant la protection des consommateurs en matière de contrats à distance90. L’affaire concernait l’accessibilité des conditions générales de vente d’un site Internet autrichien, au moyen d’un lien hypertexte contenu dans un courrier électronique adressé au consommateur. Le courriel ne comportait aucune information préalable et notamment concernant le droit à rétractation91. La CJUE a considéré qu’il ne répondait pas à la condition de durabilité du support en retenant que l’accès aux conditions générales de vente au moyen d’un lien hypertexte suppose une démarche du consommateur. Le consommateur doit donc être passif. Par ailleurs, la Cour estime qu’un site Internet ne peut constituer un support durable des documents stockés dans la mesure où il ne garantit pas au consommateur l’intégrité des informations, ni l’accessibilité pendant une durée suffisante pour l’exercice des droits du consommateur (rétractation), à moins que ne soit démontré le respect de ces caractéristiques. En effet, les sites Internet ne sont considérés comme des supports durables que s’ils permettent le stockage des informations et la possibilité de s’y reporter aisément à l’avenir pendant un laps de temps adapté92. L’idée est de garantir au
88. V. partie II, chapitre I. 89. CJUE, 5 juill. 2012, aff. C-49/11, Content Services Ltd. v. Bundesarbeitskammer, RLDI 2012/85, n° 2865, commentée par J. Huet, RLDI, 2013/92, n° 3062. 90. « Confirmation écrite des informations 1. Le consommateur doit recevoir, par écrit ou sur un autre support durable à sa disposition et auquel il a accès, confirmation des informations mentionnées à l’article 4, paragraphe 1, points a) à f), en temps utile lors de l’exécution du contrat et au plus tard au moment de la livraison en ce qui concerne les biens non destinés à la livraison à des tiers, à moins que ces informations n’aient déjà été fournies au consommateur préalablement à la conclusion du contrat par écrit ou sur un autre support durable à sa disposition et auquel il a accès. En tout état de cause, doivent être fournies : – une information écrite sur les conditions et les modalités d’exercice du droit de rétractation au sens de l’article 6, y compris les cas visés à l’article 6, paragraphe 3, premier tiret, – l’adresse géographique de l’établissement du fournisseur où le consommateur peut présenter ses réclamations, – les informations relatives aux services après-vente et aux garanties commerciales existantes, – les conditions de résiliation du contrat lorsque celui-ci est à durée indéterminée ou d’une durée supérieure à un an ». 91. V. infra section IV du présent chapitre. 92. V. Cabinet Caprioli & Associés, « Le support durable : cet illustre inconnu du commerce électronique », 1er avr. 2016, disponible sur le site : www.caprioli-avocats.com.
46 | B anque
et
a ssurance
digitales
consommateur en ligne l’intégrité des informations et l’accessibilité pendant une durée suffisante pour permettre l’efficacité de l’exercice de ses droits. 57. Il convient de relever, par contraste, que la CJUE a adopté une position différente dans le cadre des contrats (B2B) dans un arrêt du 21 mai 201593, venant ainsi confirmer le particularisme de la législation applicable aux consommateurs. Il est vrai que les conditions de préconstitution de la preuve pour la fourniture de produits ou de services entre professionnels sont plus souples et on ne parle pas forcément de « support durable » en tant que tel94. Compte tenu du fait que la solidité et la pérennité du contrat en ligne avec le consommateur en sont tributaires, le droit national français a massivement repris les critères européens en matière de « support durable ». § 2 – Les dispositions opérationnelles du droit français
58. Tout à fait concordante avec les dispositions européennes, la notion de « support durable » innerve l’ensemble des règles spécifiques du droit de la banque et de l’assurance digitale pour mieux en décliner les usages requis. A.
La reprise de la définition du support durable
59. Dans le prolongement direct de la définition en droit européen, l’article L. 222-4 du Code de la consommation relatif à la fourniture de produits ou services financiers, indique : « est considéré comme support durable, tout instrument permettant au consommateur de stocker des informations qui lui sont adressées personnellement afin de pouvoir s’y reporter ultérieurement pendant un laps de temps adapté aux fins auxquelles les informations sont destinées et qui permet la reproduction à l’identique des informations stockées ». 60. De même, dans le domaine des services de paiement en ligne, l’article L. 314-1-IV du Code monétaire et financier définit le « support durable », comme « tout instrument permettant à l’utilisateur de services de paiement de stocker les informations qui lui sont personnellement adressées, d’une manière telle que
93. CJUE, 21 mai 2015, aff. C-322/14, JEM c/ CarsOnTheWeb.Deutschland GMBH, Com. com. électr. 2015, comm. 67, G. Loiseau. Ainsi, la technique d’acceptation par « clic » (avec accès de l’acheteur aux conditions générales de vente figurant sur un site Internet par un clic sur un hyperlien ouvrant une fenêtre) peut constituer « une transmission par voie électronique permettant de consigner durablement cette convention, au sens de cette disposition, lorsque cette technique rend possible l’impression et la sauvegarde du texte de celles-ci avant la conclusion du contrat (...) une voie de transmission électronique permettant de consigner durablement la convention attributive de juridiction ». 94. Mélanie Jaoul « Clause attributive de juridiction : tourner son doigt sept fois autour de la souris avant le «clic» droit », commentaire de l’arrêt de la CJUE du 21 mai 2015, Jaouad El Majdoub c/ CarsOnTheWeb.Deutschland GmbH, aff. C-322/14, RLDC, 2015, p. 129.
e njeux
et réalités de la protection des consommateurs en ligne
| 47
ces informations puissent être consultées ultérieurement pendant une période adaptée à leur finalité et reproduites à l’identique »95. 61. La jurisprudence n’est pas en reste. Ainsi, la Cour d’appel d’Aix-en-Provence, en date du 1er décembre 2015, rappelle que « constitue un support durable tout instrument permettant aux établissements de crédit de stocker des informations constitutives de ces preuves d’une manière telle que ces informations puissent être consultées ultérieurement pendant une période adaptée »96. B.
De l’usage du support durable en matière de contrats de banque et d’assurance en ligne
1.
Les dispositions du Code de la consommation
62. Concernant l’information précontractuelle en matière de contrats conclus à distance portant sur des services financiers, l’article L. 222-6 du Code de la consommation explicite que le « consommateur doit recevoir, par écrit ou sur un autre support durable à sa disposition et auquel il a accès en temps utile et avant tout engagement, les conditions contractuelles ainsi que les informations mentionnées à l’article L. 222-5. Elles sont fournies au consommateur conformément aux dispositions législatives et réglementaires spécifiques à chaque produit, instrument financier ou service proposé ». Par ailleurs, « le fournisseur exécute ses obligations de communication immédiatement après la conclusion du contrat, lorsque celui-ci a été conclu à la demande du consommateur en utilisant une technique de communication à distance ne permettant pas la transmission des informations précontractuelles et contractuelles sur un support papier ou sur un autre support durable. Dans ce cas et lorsque le contrat porte sur une opération mentionnée au premier alinéa de l’article L. 312-84, le fournisseur n’est tenu de communiquer au consommateur que les seules informations contractuelles ». 63. En la matière, il est manifeste que le législateur a mis le consommateur au centre du dispositif pour prendre en considération ses moyens et ses besoins, puisque l’article L. 222-6 du Code de la consommation ajoute qu’à « tout moment au cours de la relation contractuelle, le consommateur a le droit, s’il en fait la demande, de recevoir les conditions contractuelles sur un support papier. En outre, le consommateur a le droit de changer les techniques de communication à distance utilisées, à moins que cela ne soit incompatible avec le contrat à distance conclu ou avec la nature du service financier fourni ».
95. Issu de l’ordonnance n° 2009-866 du 15 juillet 2009 relative aux conditions régissant la fourniture de services de paiement et portant création des « établissements de paiement ». 96. CA Aix-en-Provence, 1er déc. 2015, n° 2015/621, Madame Francette Douard c/ SA Norrsken Finance.
48 | B anque
et
a ssurance
digitales
La subsidiarité persistante du support papier se retrouve dans d’autres dispositions du Code de la consommation, comme par exemple à l’article L. 222-6 dudit code créé par l’ordonnance du 14 mars 2016 qui indique qu’à tout moment de la relation contractuelle, le consommateur a le droit, s’il en fait la demande, de recevoir les conditions contractuelles sur un support papier. Le support durable ne remplace pas encore totalement le support papier, tant s’en faut. L’heure est à un début de transition et l’idée est de rester connecté au besoin du consommateur. Ceci étant, en encadrant les possibilités de modifications des techniques de communication utilisées par le consommateur, le législateur a fait preuve de réalisme pour ne pas rendre la charge insupportable pour le prestataire. 2.
Les dispositions du Code monétaire et financier
64. Concernant plus spécifiquement le secteur bancaire, il convient de relever, en matière de comptes et dépôts, les dispositions de l’article L. 312-1-1 du Code monétaire et financier qui indique que « (…) les principales stipulations que la convention de compte de dépôt doit comporter, notamment les conditions générales et tarifaires d’ouverture, de fonctionnement et de clôture, sont précisées par un arrêté du ministre chargé de l’Économie. Avant que le client ne soit lié par cette convention, l’établissement de crédit l’informe desdites conditions sur support papier ou sur un autre support durable. L’établissement de crédit peut s’acquitter de cette obligation en fournissant au client une copie du projet de convention de compte de dépôt. Si, à la demande du client, cette convention est conclue par un moyen de communication à distance ne permettant pas à l’établissement de crédit de se conformer au précédent alinéa, ce dernier satisfait à ses obligations aussitôt après la conclusion de la convention de compte de dépôt ». La notion de support durable peut tout aussi bien concerner les opérations les plus courantes pour le consommateur, telles que le relevé de compte bancaire. En effet, l’article D. 312-5 du Code monétaire et financier inclut dans les services bancaires de base « l’envoi mensuel d’un relevé des opérations effectuées sur le compte ». Ce relevé des opérations récapitule tous les mouvements enregistrés sur le compte d’un client pendant une période déterminée. Il est devenu usuel que les établissements bancaires offrent à leurs clients la possibilité de recevoir leur relevé de compte bancaire mensuel par Internet en substitution du support papier, et ce gratuitement (en vertu des dispositions existantes depuis la loi MURCEF)97. Sous réserve du respect des exigences en matière de « support durable », ces relevés ont donc la même valeur juridique que les relevés de compte papier. Le prestataire ne peut, cependant, pas refuser de délivrer gratuitement sur papier, au moins une fois par mois, lesdits relevés (CMF, art. L. 314-14 II, al. 2). 97. Loi n° 2001-1168 du 11 décembre 2001 portant mesures urgentes de réformes à caractère économique et financier (dite loi MURCEF), JO 12 déc. 2001.
e njeux
et réalités de la protection des consommateurs en ligne
| 49
Il convient d’ajouter que la jurisprudence impose, quant à elle, que les établissements de crédit conservent les preuves de la consultation du fichier national des incidents de paiement sur un support durable pour être en mesure de démontrer que les modalités de consultation du fichier de conservation du résultat des consultations garantissent l’intégrité des informations ainsi collectées98. Ainsi, en application de l’article 1353 du Code civil99, il appartient au prêteur d’apporter la preuve de l’existence de cette consultation par production d’une capture d’écran ou de l’envoi et la réception du fichier informatique caractérisant les échanges avec la Banque de France. La notion de support durable est donc au centre du régime probatoire et d’opposabilité des actes entre le prestataire et le consommateur. Il en est de même en matière d’assurance. 3.
Les dispositions du Code des assurances
65. Le Code des assurances n’exige aucun support ou moyen précis concernant la communication des documents d’information précontractuelle au consommateur. Ceci étant, la remise d’un écrit, et par extension d’un écrit électronique, est incontournable100. Le caractère consensualiste des contrats n’affaiblit donc pas les exigences protectrices en matière de support durable, compte tenu du souci de la preuve pour consolider la réalité et l’effectivité du contrat et pour pondérer l’absence de formalisme juridique sur l’écrit. À titre d’illustration, le caractère particulièrement engageant de contrats tels que les assurances-vie conduit fatalement à l’exigence de procédures de souscription en ligne particulièrement fiables et sécurisées. 66. Ainsi, et entre autres, rien ne s’oppose à ce que la fiche d’information sur les prix et les garanties101, le projet de contrat et ses annexes, la remise de la notice102 ainsi que le questionnaire d’assurance103 soient transmis par voie électronique, sous réserve du respect de certaines conditions spécifiques aux dispositions classiques du droit des assurances, mais également du respect des conditions de validité de l’écrit électronique104. C’est à cette croisée des chemins que le support durable trouve toute son utilité.
98. CA Aix-en-Provence, 1er déc. 2015, n° 2015/ 621, Madame Francette Douard c/ SA Norrsken Finance. 99. Ancien article 1315 du Code civil antérieurement à la réforme du droit des obligations par l’ordonnance du 10 février 2016. 100. V. l’ordonnance n° 2001-350 du 19 avril 2001 relative au Code de la mutualité et transposant les directives n° 92/49/CEE et n° 92/96/CEE des 18 juin et 10 novembre 1992, JO 22 avr. 2001, p. 6288. V. articles 1315 et 1316 du Code civil. 101. C. assur., art. L. 112-2, al. 1. 102. C. assur., art. L. 112-2, al. 2. 103. C. assur., art. L. 113-2. 104. V. infra partie II, chapitre I.
50 | B anque
et
a ssurance
digitales
67. Le fait est que le décret du 29 décembre 2014 relatif à la résiliation à tout moment de contrats d’assurance et portant application de l’article L. 113-15-2 du Code des assurances105 a marqué un progrès significatif dans la gestion par voie électronique des relations entre les sociétés d’assurance et leurs assurés, en permettant aux assurés de transmettre pour certains contrats leur demande de résiliation par lettre ou « tout support durable ». 68. Le support durable constitue donc un élément majeur et même incontournable de confiance, de fluidification et de propagation des contrats de banque et d’assurance en ligne dans le sens où il assure les garanties d’une information précontractuelle et contractuelle effective auprès du consommateur, mais également dans la mesure où elle offre aux prestataires de services en ligne un outil probatoire intéressant pour l’opposabilité de leurs contrats. L’importance du support durable se mesure aisément dans l’exercice de certains droits cruciaux du consommateur de services financiers numériques, tel que le droit de rétractation dont le point de départ et la durée sont tributaires de l’existence d’un support électronique approprié.
SECTION IV DROITS DE RÉTRACTATION ET DE RENONCIATION DANS LES SERVICES BANCAIRES ET ASSURANTIELS 69. Le droit de rétractation sur les services en ligne a contribué au développement du commerce électronique, en offrant au consommateur une marge de manœuvre et d’appréciation a posteriori, renforçant ainsi la confiance. Pour absorber les effets de la distance dans le cadre de services bancaires et d’assurance digitaux, ce droit a été revalorisé. Pour rappel du régime de droit commun, dans l’optique constante de renforcer les droits du consommateur en matière de vente à distance, la directive n° 97/7/ CE a intégré dans le dispositif législatif européen le droit de rétractation, soit la période pendant laquelle le consommateur peut revenir sur son consentement initial. Celui-ci s’est développé dans le même temps que la multiplicité des services offerts au consommateur et va de pair avec une information précontractuelle complète106. Cette consécration s’inscrit dans les prévisions de la loi n° 78-22 du 10 janvier 1978 sur la protection et l’information des consommateurs, dite loi « Scrivener », dans le domaine de certaines opérations
105. Décret n° 2014-1685 du 29 décembre 2014 relatif à la résiliation à tout moment de contrats d’assurance et portant application de l’article L. 113-15-2 du Code des assurances, JO 31 déc. 2014, p. 23383. 106. Articles 9 à 16 de la directive n° 97/7/CE du 20 mai 1997 concernant la protection des consommateurs en matière de contrats à distance, JOCE n° L. 144, 4 juin 1997, p. 19 et s.
e njeux
et réalités de la protection des consommateurs en ligne
| 51
de crédit107. Le droit de rétractation prévu était de sept jours en matière de contrat à distance « classique ». Pour les services bancaires et assurantiels, le niveau de protection du consommateur a été rehaussé. § 1 – Les dispositions du droit européen en matière de prestations bancaires et d’assurance à distance
70. En matière de protection des consommateurs dans la commercialisation à distance de services financiers, la directive n° 2002/65/CE prévoit un régime « sur mesure » du droit de rétractation concernant l’ensemble des services financiers, sous réserve de deux exceptions : – les services financiers dont le prix dépend exclusivement des fluctuations du marché financier pouvant survenir pendant le délai de rétractation108 ; – sous réserve de l’appréciation des États membres, les crédits immobiliers, hypothécaires et l’ensemble des actes souscrits devant un « officier public ». Les États membres peuvent exclure le droit de rétractation dans ces cas, sous réserve d’en informer la Commission109. 71. Le délai prévu en matière de services financiers est de quatorze jours, celui-ci pouvant être porté à trente jours pour les contrats à distance ayant pour objet les assurances-vie et les opérations portant sur les relations individuelles. Ce délai est équivalent à celui prévu dans le cadre de la directive n° 2008/48/CE concernant les contrats de crédit aux consommateurs110. § 2 – La transposition en droit français
72. L’ordonnance n° 2005-648 du 6 juin 2005 a transposé la directive n° 2002/65/ CE en droit français et principalement dans le Code de la consommation, dans le Code monétaire et financier et dans le Code des assurances.
107. Loi n° 78-22 du 10 janvier 1978 relative à l’information et à la protection des consommateurs dans le domaine de certaines opérations de crédit, JO 11 janv. 1978, p. 299. 108. Article 6.2 de la directive n° 2002/65/CE du 23 septembre 2002 concernant la commercialisation à distance de services financiers auprès des consommateurs, JOCE n° L. 271, 9 oct. 2002, p. 16 et s. 109. M.-E. Mathieu, « Transactions bancaires et financières à distance – Droit communautaire et droit français », Fasc. 125, J.-Cl. Banque – Crédit – Bourse, LexisNexis, 3 févr. 2004. 110. Directive n° 2008/48/CE du 23 avril 2008 concernant les contrats de crédit aux consommateurs et abrogeant la directive n° 87/102/CEE du Conseil, JOUE n° L. 133, 22 mai 2008, p. 66.
52 | B anque
A.
et
a ssurance
digitales
Les caractéristiques générales du droit de rétractation en matière de services financiers
73. Depuis, la loi sur la consommation du 17 mars 2014 a uniformisé le délai de rétractation à quatorze jours et créé une section spécifique dans le Code de la consommation intitulée « Dispositions particulières aux contrats conclus à distance portant sur des services financiers ». L’ordonnance du 14 mars 2016 a refondu l’architecture du Code de la consommation et a permis l’adoption de la nouvelle partie législative dudit code111. À ce jour, le droit de rétractation fait partie intégrante de la liste des informations devant être fournie au consommateur sur support durable ou par écrit112. Le consommateur peut l’exercer dans un délai de quatorze jours sans avoir à justifier de motifs, ni à supporter de pénalités. Ce délai court à compter du jour où : – le contrat à distance est conclu ; – le consommateur reçoit les informations contractuelles et les informations prévues à l’article L. 222-6 du Code de consommation si cette dernière date est postérieure à la date de conclusion du contrat113. 74. L’article L. 222-12 du Code de la consommation rappelle que « l’exercice du droit de rétractation emporte résolution de plein droit du contrat de vente ou de prestation de services ». 75. Il est également expressément précisé à l’article L. 222-18 du Code de la consommation que ces dispositions sont d’ordre public. Ainsi, il ne peut y être dérogé par un accord contractuel ou toute autre entente amiable entre le professionnel et le consommateur. B.
Les dispositions spécifiques à la banque en ligne
76. En matière bancaire, l’article L. 341-16 du Code monétaire et financier précise que lorsque la personne démarchée exerce son droit de rétractation, elle ne peut être tenue qu’au paiement du prix correspondant à l’utilisation du produit ou du service financier effectivement fourni entre la date de conclusion du contrat et celle de l’exercice du droit de rétractation, à l’exclusion de toute pénalité. Enfin, le délai de rétractation ne s’applique pas : – aux services de réception-transmission et exécution d’ordres pour le compte de tiers ; – à la fourniture des titres et des contrats financiers ; 111. Rapport au Président de la République relatif à l’ordonnance n° 2016-301 du 14 mars 2016 relative à la partie législative du Code de la consommation, JO 16 mars 2016. 112. C. consom., art. L. 222-6. 113. C. consom., art. L. 222-7.
e njeux
et réalités de la protection des consommateurs en ligne
| 53
– lorsque des dispositions spécifiques à certains produits et services prévoient un délai de réflexion ou de rétractation d’une durée différente ; – aux contrats exécutés intégralement par les deux parties à la demande expresse de la personne démarchée avant que cette dernière n’exerce son droit de rétractation114 ; – aux contrats de crédit immobilier définis à l’article L. 313-1 du Code de la consommation ; – aux contrats de prêts viagers hypothécaires définis à l’article L. 315-1 du Code de la consommation115. Les conséquences d’exercice du droit de rétractation pour le consommateur en matière de services financiers sont clairement posées : le fournisseur doit rembourser au consommateur dans les meilleurs délais et au plus tard dans les trente jours, toutes les sommes qu’il a perçues de celui-ci en application du contrat, sauf si le consommateur avait commencé à exécuter le contrat et était informé du montant dû116. 77. Il convient de relever qu’en matière de crédit à la consommation en ligne, le raccourcissement du délai de rétractation prend une dimension particulière au regard des dispositions de l’article L. 312-47 du Code de la consommation puisqu’elle devra passer « (…) par une demande expresse rédigée, datée et signée de sa main même »117 répondant aux exigences des dispositions de l’article 1174 du Code civil : « lorsqu’est exigée une mention écrite de la main même de celui qui s’oblige, ce dernier peut l’apposer sous forme électronique si les conditions de cette apposition sont de nature à garantir qu’elle ne peut être effectuée que par lui-même »118. Dans le numérique, cette mention pourra être tapuscrite, mais immédiatement suivie de la signature électronique de celui qui s’oblige. 78. Cette notion d’apposition « de nature à garantir qu’elle ne peut être effectuée que par lui-même » rappelle étroitement la formulation de la Cour de cassation dans le cadre d’un arrêt en date du 13 mars 2008 indiquant, au sujet de l’article 1326 du Code civil, « que si la mention de la somme ou de la quantité en toutes lettres et en chiffres, écrite par la partie même qui s’engage, n’est plus nécessairement manuscrite, elle doit alors résulter, selon la nature du 114. 115. 116. 117.
CMF, art. L. 341-16 II. C. consom., art. L. 222-9. C. consom., art. L. 222-15. La mention expresse du renoncement du consommateur a-t-elle été spécifiquement libellée par l’article R. 311-9 du Code de la consommation : « Je demande à être livré immédiatement (ou à bénéficier immédiatement de la prestation de services). Je reconnais avoir été informé que cette demande a pour effet de réduire le délai légal de rétractation. Celui-ci expirera le jour de la livraison du bien (ou de l’exécution de la prestation), sans pouvoir être inférieur à trois jours ni supérieur à sept jours ». 118. É. A. Caprioli et P. Agosti, « La confiance dans l’économie numérique », LPA 3 juin 2005, p. 4 et s. J. Huet, JCP éd. G 2004, I, 178 ; 1804-2004 Le Code civil, Dalloz, 2004, p. 539.
54 | B anque
et
a ssurance
digitales
support, d’un des procédés d’identification conforme aux règles qui gouvernent la signature électronique ou de tout autre procédé permettant de s’assurer que le signataire est le scripteur de ladite mention »119. 79. Par extension, et pour reprendre par analogie les critères d’appréciation de la Cour de cassation, il est possible de considérer que les conditions d’apposition de la mention de nature à garantir qu’elle ne peut être effectuée que par lui-même devront répondre au critère de fiabilité de l’envoi au sens de l’article 1367 du Code civil120 et permettre de « dûment » identifier la personne dont il émane121. C.
Les dispositions spécifiques à l’assurance en ligne
80. S’agissant des opérations d’assurance, des règles spécifiques sont posées par le Code des assurances, de la mutualité et de la sécurité sociale. L’article L. 112-2-1 du Code des assurances modifié par l’ordonnance du 14 mars 2016, prévoit la possibilité pour le consommateur d’exercer son droit de renonciation dans un délai de quatorze jours calendaires, sans avoir à justifier de motif, ni à supporter de pénalités. Le point de départ de ce délai est calqué sur le délai de rétractation applicable en matière de services financiers. 81. Il est toutefois précisé qu’en ce qui concerne le contrat d’assurance vie, le délai de renonciation est porté à trente jours révolus. En outre, le droit de renonciation ne s’applique pas : – aux polices d’assurance de voyage ou bagage ou aux polices d’assurance similaires à court terme d’une durée inférieure à un mois ; – aux contrats d’assurance spécifiques aux véhicules ; – aux contrats exécutés intégralement par les deux parties à la demande expresse du consommateur avant que ce dernier n’exerce son droit de renonciation122. 82. Enfin, et comme pour le délai de rétractation, la conclusion à distance d’un contrat d’assurance implique que le souscripteur reçoive toutes les précisions
119. Cass. civ. 1re, 13 mars 2008, Bull. civ. I, 2008, n° 73 ; Com. com. électr. 2008, comm. 80, note Ph. Stoffel-Munck ; JCP éd. G, 2008, II, 10081, note E. Putman. 120. Article 2 du décret n° 2001-272 du 30 mars 2001 pris pour l’application de l’article 1316-4 du Code civil et relatif à la signature électronique : « La fiabilité d’un procédé de signature électronique est présumée jusqu’à preuve contraire lorsque ce procédé met en œuvre une signature électronique sécurisée, établie grâce à un dispositif sécurisé de création de signature électronique et que la vérification de cette signature repose sur l’utilisation d’un certificat électronique qualifié ». 121. Cass. civ. 1re, 30 sept. 2010, n° 09-68-555, Com. com. électr. 2010, comm. 129 ; obs. É. A. Caprioli ; Cass. soc., 22 mars 2011 : Com. com. électr. 2011, comm. 72, obs. É. A. Caprioli. 122. C. assur., art. L. 112-2-1.
e njeux
et réalités de la protection des consommateurs en ligne
| 55
nécessaires sur le droit de renonciation : sa durée, les modalités pratiques de son exercice, etc. A.
Les modalités pratiques
83. Par modalités pratiques, il faut entendre le formulaire en ligne et la détermination du point de départ. 1.
Concernant le formulaire en ligne
84. Le droit de rétractation du consommateur s’exerce généralement par le biais d’un formulaire détachable joint au document contractuel. 85. En matière de contrat de crédit, le principe est posé par l’article L. 312-19 du Code de la consommation, concernant l’accessibilité du formulaire. Une fois rappelé le délai de quatorze jours calendaires « à compter du jour de l’acceptation de l’offre de contrat de crédit », il y est indiqué que l’exercice de ce droit de rétractation s’opère par « un formulaire détachable joint à son exemplaire du contrat de crédit. (…) L’exercice par l’emprunteur de son droit de rétractation ne peut donner lieu à enregistrement sur un fichier (…) »123. L’article 1176 du Code civil transcrit cette obligation dans un environnement numérique en précisant que « l’exigence d’un formulaire détachable est satisfaite par un procédé électronique qui permet d’accéder au formulaire et de le renvoyer par la même voie ». Le décret n° 2014-1061 du 17 septembre 2014 relatif aux obligations d’information précontractuelle et contractuelle des consommateurs et au droit de rétractation fournit en Annexe I un modèle de formulaire type pouvant être intégré dans les documents contractuels ou sur la plateforme Internet du professionnel124. 2.
Concernant la détermination du point de départ
86. Dans le cadre des échanges contractuels en ligne, l’une des vraies gageures concernant l’exercice du droit de rétractation concernera donc le point de départ, selon qu’il soit amorcé par l’envoi d’un courrier électronique simple ou un courrier électronique recommandé. Selon le nouvel article L. 100 du Code des procédures civiles d’exécution concernant les envois recommandés électroniques125, l’apposition de la date d’expédition ou de réception résulte d’un procédé électronique, la fiabilité de celui-ci étant présumée, jusqu’à preuve contraire, sous réserve de satisfaire aux exigences fixées par un décret en Conseil d’État. 123. C. consom., art. 312-21 et 312-22. 124. Décret n° 2014-1061 du 17 septembre 2014 relatif aux obligations d’information précontractuelle et contractuelle des consommateurs et au droit de rétractation, JO 19 sept. 2014, p. 15331. 125. V. infra partie II, chapitre I.
56 | B anque
et
a ssurance
digitales
SECTION V LES MÉCANISMES DE PROTECTION CONTRE LES CLAUSES ABUSIVES EN LIGNE 87. La chasse aux clauses abusives constitue un élément fort et déterminant pour l’émergence de la confiance dans tout processus de contractualisation consumériste. L’un des signes les plus significatifs de cette importance est certainement l’existence de l’office du juge en droit de la consommation. Ainsi, l’article R. 626-1 du Code de la consommation126 indique que : « le juge peut soulever d’office toutes les dispositions du présent code dans les litiges nés de son application »127. À n’en pas douter, cet office du juge aura une portée particulièrement utile en matière de contractualisation en ligne, qui plus est pour les services bancaires et assurantiels, emblématiques de la qualité attendue en matière de prestations à distance. Les organismes bancaires, financiers ou d’assurance seront d’autant plus attentifs aux critères applicables en matière de clauses abusives que le législateur a ouvert les recours en justice contre les clauses illicites et abusives aux associations de consommateurs agréées : « Le juge peut à ce titre ordonner, le cas échéant sous astreinte, la suppression d’une clause illicite ou abusive dans tout contrat ou type de contrat en cours ou non, proposé ou destiné au consommateur »128. La portée de l’action desdites associations est d’autant plus grande129 qu’elles « peuvent également demander au juge de déclarer que cette clause est réputée non écrite dans tous les contrats identiques conclus par le même professionnel avec des consommateurs et de lui ordonner d’en informer à ses frais les consommateurs concernés par tous moyens appropriés ». 88. Concrètement et pour rappel, l’article L. 212-1 du Code de la consommation130 définit le régime des clauses qui ont pour objet ou pour effet de créer, un « déséquilibre significatif » entre les droits et obligations des parties au contrat entre professionnels et consommateurs au détriment de ce dernier131 : ces
126. Issu de la loi n° 2008-3 du 3 janvier 2008 pour le développement de la concurrence au service des consommateurs, dite loi « Châtel ». V. G. Poissonnier, « Office du juge en droit de la consommation : une clarification bienvenue » : D. 2008, P. 1285. V. également Cass. civ. 1re, 22 janv. 2009, n° 05-20.176 : Juris-Data n° 2009-046627 ; Bull. civ. I, 2009, n° 9 ; Contrats, conc., consom. 2009, comm. 88, obs. G. Raymond. 127. Par ex. la forclusion, v. partie II, chapitre IV. 128. C. consom., art. L. 621-8. 129. Il convient de rappeler qu’il n’est pas utile d’en passer par une intervention d’un consommateur, ni même par la démonstration d’un quelconque préjudice individuel : CA Rennes, 28 févr. 2014, Juris-Data n° 2014-003737 ; LEDB oct. 2014, p. 4, n° 125, obs. J. Lasserre Capdeville ; Contrats, conc., consom. 2014, comm. 201, obs. G. Raymond. 130. Article 2 de l’ordonnance n° 2016-131 du 10 février 2016. 131. Loi n° 95-96 du 1er février 1995 transposant en droit interne la directive n° 93/13/CE du 5 avril 1993 concernant les clauses abusives dans les contrats conclus avec les consommateurs.
e njeux
et réalités de la protection des consommateurs en ligne
| 57
clauses sont dites « clauses abusives » et sont réputées non écrites et radiées du contrat132. Sur avis de la commission des clauses abusives, un décret en Conseil d’État détermine les types de clauses qui doivent être regardées comme abusives. Le décret du 18 mars 2009133 introduit dans le Code de la consommation les clauses réputées abusives de manière irréfragable (et donc interdites)134 et les clauses présumées abusives135 (le professionnel devra rapporter la preuve contraire). On parle usuellement des clauses noires et des clauses grises. 89. Il convient de relever également que l’ordonnance du 10 février 2016 a intégré l’article 1171 nouveau du Code civil portant reconnaissance d’un droit général des clauses abusives figurant dans les contrats d’adhésion136, ce que sont de nombreux contrats de la banque et de l’assurance en ligne, que ce soit en B2C ou en B2B. Suivant une approche analogique avec le cadre juridique préexistant, les différentes clauses exonératoires de responsabilité devraient raisonnablement être considérées comme disqualifiées, en matière de services en ligne, du fait du risque majoré pour le consommateur137. C’est particulièrement le cas au niveau de l’authentification des consommateurs. En revanche, la question de la survenance d’un problème technique est traitée avec plus de nuances… D’aucuns diront de réalisme.
132. G. Chantepie, « Les clauses abusives et leur sanction en droit commun des contrats », AJCA 2015, 12 – RDBF 2016, dossier 17 (la banque et le droit des clauses abusives) ; K. Jakouloff, « Des clauses abusives aux pratiques commerciales déloyales : deux directives complémentaires », LPA 10 juin 2015 ; J.-D. Pellier, « Retour sur le domaine et la sanction des clauses abusives au sens de l’article L. 132-1 [L. 212-1] du Code de la consommation », LPA 10 juin 2016 ; Cass. civ. 1re, 23 nov. 2004 : Bull. civ. I, n° 287 ; D. 2005, 443, note Tricot ; RDC 2005, 732, obs. D. Fenouillet ; X. Lagarde, D. 2005, chron. 2222. 133. Décret n° 2009-302 du 18 mars 2009 portant application de l’article L. 132-1 du Code de la consommation, JO 20 mars 2009, p. 5030. 134. C. consom., art. R. 212-1 : « Dans les contrats conclus entre des professionnels et des nonprofessionnels ou des consommateurs, sont de manière irréfragable présumée abusives, au sens des dispositions du premier et du troisième alinéa de l’article L. 132-1 et dès lors interdites, les clauses ayant pour objet ou pour effet de : (…) 6° Supprimer ou réduire le droit à réparation du préjudice subi par le non-professionnel ou le consommateur en cas de manquement par le professionnel à l’une quelconque de ses obligations ; (…) ». 135. C. consom., art. R. 212-2. 136. C. civ., art. 1171 nouveau : « Dans un contrat d’adhésion, toute clause qui crée un déséquilibre significatif entre les droits et obligations des parties au contrat est réputée non écrite. L’appréciation du déséquilibre significatif ne porte ni sur l’objet principal du contrat ni sur l’adéquation du prix à la prestation ». 137. D. Legeais, « Fasc. 955 : Règles communes à l’ensemble des crédits à la consommation », J.-Cl. Commercial, LexisNexis, 8 mars 2016.
58 | B anque
et
a ssurance
digitales
§ 1 – Les clauses abusives touchant à l’authentification
90. L’authentification constitue une étape majeure et un pivot de la confiance mutuelle en ligne entre le consommateur et le prestataire en ligne138. L’équilibre des mentions contractuelles en la matière est d’autant plus important. L’arbitraire du prestataire à réaménager ces contrats d’adhésion en défaveur du consommateur sera donc censuré. Ainsi, en matière d’authentification du client, la clause prévoyant que la banque en ligne serait exonérée de sa responsabilité en cas d’utilisation par un tiers du mot de passe du client devrait être déclarée abusive139. Est donc prise en considération l’hypothèse, loin d’être marginale, de l’usurpation de l’identité de l’utilisateur au moment de l’authentification. Par analogie, il est vrai que le régime général du paiement électronique par carte bancaire trouve sa parfaite utilité en tant que référence juridique standard pour toute sorte d’opérations bancaires en ligne, en faisant peser la charge de la preuve d’une faute lourde sur l’établissement bancaire, entre autres, concernant l’authentification de l’utilisateur140. Cette règle est particulièrement saillante dans le cadre de détournement de l’instrument de paiement ou de données141. C’est d’ailleurs tout le sens de l’obligation imposée aux banques de mettre en place un système d’authentification particulièrement élaboré et sécurisé. En ce sens, les préconisations de la Banque de France142 et de la Banque centrale 138. V. partie I, chapitre IV, section II. 139. L. Abadie, « Clause abusive et banque en ligne », RDBF n° 3, mai 2016, dossier 20. 140. Régime juridique de la fraude à la carte de paiement fixé par l’article L. 133-23 du Code monétaire et financier : « Lorsqu’un utilisateur de services de paiement nie avoir autorisé une opération de paiement qui a été exécutée, ou affirme que l’opération de paiement n’a pas été exécutée correctement, il incombe à son prestataire de services de paiement de prouver que l’opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre. L’utilisation de l’instrument de paiement telle qu’enregistrée par le prestataire de services de paiement ne suffit pas nécessairement en tant que telle à prouver que l’opération a été autorisée par le payeur ou que celui-ci n’a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière ». V. également l’article L. 133-18 du Code monétaire et financier : « En cas d’opération de paiement non autorisée signalée par l’utilisateur dans les conditions prévues à l’article, le prestataire de services de paiement du payeur rembourse immédiatement au payeur le montant de l’opération non autorisée et, le cas échéant, rétablit le compte débité dans l’état où il se serait trouvé si l’opération de paiement non autorisée n’avait pas eu lieu ». V. égal., Cass. com., 2 oct. 2007, n° 05-19.899 : Juris-Data n° 2007-040638 ; Com. com. électr. 2007, comm. 139, É. A. Caprioli ; Bull. civ. IV, n° 208. 141. En ce sens, v. l’article L. 133-19, II, du Code monétaire et financier : « La responsabilité du payeur n’est pas engagée si l’opération de paiement non autorisée a été effectuée en détournant, à l’insu du payeur, l’instrument de paiement ou les données qui lui sont liées. Elle n’est pas engagée non plus en cas de contrefaçon de l’instrument de paiement si, au moment de l’opération de paiement non autorisée, le payeur était en possession de son instrument ». V. partie II, chapitre II. 142. https://www.banque-france.fr/uploads/tx_bdfgrandesdates/rapport-surveillance-desmoyens-de-paiement-et-des-systemes-d-echange-2014.pdf
e njeux
et réalités de la protection des consommateurs en ligne
| 59
européenne143 sont claires. La jurisprudence n’est pas en reste, les litiges en matière d’identification/authentification en ligne ayant déjà émergé, qui plus est en matière de services bancaires en ligne, impliquant un consommateur. Ainsi, la Cour d’appel de Versailles, en date du 18 novembre 2010144, a eu l’occasion de se prononcer sur les obligations à la charge du banquier en matière d’accès et de gestion des comptes par l’intermédiaire du site Internet de la banque, venant rectifier une décision de première instance, défavorable à une utilisatrice, en instance de divorce et dont les fonds sur son compte épargne salariale avaient été détournés par son époux. La cour d’appel a constaté les insuffisances du système de sécurité mis en place par la banque pour la condamner sur le fondement d’une négligence caractérisée du fait de l’absence de la mise en place de toutes les mesures nécessaires pour protéger les comptes en ligne de ses clients. § 2 – La question de la survenance d’un problème technique
91. Contrairement à ce que l’on aurait pu présupposer eu égard à la possible exposition indue du consommateur, le législateur n’a pas considéré devoir interdire les clauses relatives aux modifications unilatérales des contrats portant notamment sur les évolutions techniques des sites145. Ainsi, l’article R. 132-2-1V du Code de la consommation dispose-t-il que le « 3° de l’article R. 132-1 et le 6° de l’article R. 132-2 ne font pas obstacle à l’existence de clauses par lesquelles le contrat stipule que le professionnel peut apporter unilatéralement des modifications au contrat liées à l’évolution technique, dès lors qu’il n’en résulte ni augmentation de prix, ni altération de la qualité et que les caractéristiques auxquelles le non-professionnel ou le consommateur a subordonné son engagement ont pu figurer au contrat ». Il est donc parfaitement possible de modifier des éléments techniques sur le site et sa navigation, sans pour autant que l’économie générale du contrat de prestation à distance ne soit bouleversée. En ce sens, la jurisprudence a-t-elle déjà eu l’occasion d’en connaître, dans le cadre d’une affaire en 2003 diligentée par une association de consommateurs agréée, contre un prestataire ayant introduit dans ses conditions générales de vente des clauses autorisant la modification unilatérale des termes du contrat sans motif valable et spécifiée, exonérant de l’obligation précontractuelle d’information, ne fixant qu’un délai 143. Recommendations for the security of Internet Payments, Banque centrale européenne, janv. 2013 ; final guidelines on the security of internet payments, Banque centrale européenne, 19 déc. 2014. V. égal. dir. n° 2015/2366/UE du 25 novembre 2015 concernant les services de paiement dans le marché intérieur, JOUE n° L. 337, 23 déc. 2015, p. 35 et s. 144. CA Versailles, 16e ch., 18 nov. 2010, n° 09/06634, « Authentification et sécurisation des opérations bancaires », Com. com. électr. 2011, comm. 94, É. A. Caprioli. 145. En matière de services financiers, le législateur n’a pas systématiquement interdit les modifications touchant pourtant à des éléments substantiels du contrat. Ainsi, à titre d’illustration, le fournisseur de services financiers peut modifier le taux d’intérêt dû par le consommateur ou le montant de toute charge sans motif légitime mais à condition que celui-ci soit informé et puisse résilier immédiatement le contrat (C. consom., art. R. 212-3 et R. 212-4).
60 | B anque
et
a ssurance
digitales
indicatif de livraison ou, encore et entre autres, limitant le droit à réparation en cas de retard de livraison. Si l’ensemble de ces clauses a bien évidemment été censuré, le Tribunal de grande instance de Paris n’a pas sanctionné la « clause d’exonération de responsabilité relative à la navigation sur le site »146. La prise en considération du caractère incompressible d’une certaine marge de risque technique pour le prestataire n’était pas nouvelle, il est vrai147. S’il est compréhensible de ne pas faire peser sur le prestataire l’aléa impondérable du fonctionnement des réseaux, d’aucuns s’interrogent sur les limites de cette « compréhension » : « l’opérateur d’un site Web a la maîtrise des outils techniques qui lui permettent de rendre publiques ses offres, de réaliser des contrats, et de les exécuter. En tant que professionnel, ne doit-il pas tout mettre en œuvre pour garantir aux consommateurs la réalisation de leurs attentes légitimes ? En d’autres termes, l’utilisation de techniques en tant que support du contrat ne crée-t-elle pas une obligation essentielle de fonctionnement dont l’exploitant d’un site Web ne peut se décharger ? »148. 92. À n’en pas douter, les clauses exagérément exonératoires de toute responsabilité face à des problèmes techniques (bugs, défaut de transmission des ordres clients, ou défaut en termes de délai, etc.) seront certainement censurées compte tenu de l’« altération de la qualité », entre autres choses. Ceci étant, des concepts tels que l’« altération de qualité » ou tels que des « caractéristiques auxquelles le non-professionnel ou le consommateur a subordonné son engagement ont pu figurer au contrat » sont suffisamment indéterminés dans leurs contours pour laisser la place à l’aléa de l’interprétation. Aussi, il ne semble pas exclu que le développement des systèmes de sécurité informatique et de l’usage d’Internet comme support des contrats financiers impose au professionnel une vigilance particulière et la mise en place de systèmes de sécurité élevée. L’exonération systématique de l’établissement bancaire ou l’assurance en cas de panne ou de problème technique pourrait alors être considérée comme abusive, compte tenu du cas particulier du consommateur en ligne de prestations financières et assurantielles. 93. Le sort et la portée du dispositif légal en matière de clauses abusives sont nécessairement tributaires du périmètre géographique dans lesquels il s’exerce. En matière de contrat en ligne, la tentation est évidemment grande de contourner les restrictions protectrices des consommateurs en proposant des services financiers à partir de territoires plus permissifs et moins regardant sur les abus prohibés précédemment évoqués. Là encore, les réglementations européenne et nationales se sont mises à niveau pour y remédier et assurer la légitime protection des consommateurs. 146. https://www.legalis.net/jurisprudences/tribunal-de-grande-instance-de-paris-jugement-du4-fevrier-2003 147. T. com. Paris, 11 oct. 2000, Com. com. électr. 2000, comm. 129, obs. J.-C. Galloux. 148. TGI Paris, 4 févr. 2003, D. 2003, AJ 762, obs. C. Manara.
e njeux
et réalités de la protection des consommateurs en ligne
| 61
SECTION VI L’IMPACT POUR LES CONSOMMATEURS DE LA NATURE « HORS SOL » DES CONTRATS DE BANQUE ET D’ASSURANCE DIGITALE 94. De par leur digitalisation, les contrats d’assurance et de banque en ligne sont des contrats que l’on pourrait qualifier de techniquement déterritorialisés, « hors sol »149 en quelque sorte. La possibilité pour une banque ou une assurance étrangère d’offrir ses services à des consommateurs français n’a jamais été aussi techniquement facilitée. La problématique de l’aménagement en opportunité du droit applicable et de la tentation de contourner l’effectivité des mesures de protection du consommateur, qui plus est dans le cadre de contrat d’adhésion, est donc une véritable préoccupation pour le législateur, au niveau national mais aussi européen. § 1 – Au niveau de la réglementation européenne A.
Le niveau de la protection du consommateur
95. Concernant le droit applicable, il conviendra, bien évidemment, de se référer aux règles standards établies par l’article 4 du règlement n° 593/2008/ CE du Parlement européen et du Conseil du 17 juin 2008 sur la loi applicable aux obligations contractuelles (Rome I)150. Ainsi, en termes d’interdiction des clauses abusives, les risques sont amortis dans le cadre des opérations ayant lieu au sein de l’Union européenne, par l’effet la transposition de la directive n° 93/13/CEE du Conseil du 5 avril 1993 concernant les clauses abusives dans les contrats conclus avec les consommateurs151, mais également par l’effet des dispositions de la directive du 25 octobre 2011 relative aux droits des consommateurs152 qui impose à l’article 25 que : « si le droit applicable au contrat est le droit d’un État membre, le consommateur ne peut renoncer aux droits qui lui sont conférés par les dispositions nationales transposant la présente directive ». En réalité, le véritable risque se situe au niveau des contrats d’adhésion avec des établissements de banque et d’assurance en ligne situés en dehors du territoire de l’Union européenne, avec fatalement des clauses attributives de compétences à la loi du lieu d’établissement. Le risque a d’ailleurs été identifié dans le cadre du considérant 22 de la directive n° 93/13/CEE, qui met en garde contre le danger « dans certains cas, de priver le consommateur de la protection accordée par la présente directive en désignant le droit d’un pays tiers comme droit applicable au contrat ». 149. Pour une approche de droit international privé, v. É. A. Caprioli, Droit international de l’économie numérique, préf. R. Sorieul, Litec, 2007. 150. Règl. n° 593/2008/CE, 17 juin 2008 : JOUE n° L. 177, 4 juill. 2008, p. 6 et s. 151. Dir. n° 93/13/CEE, 5 avr. 1993, JOUE n° L. 95, 21 avr. 1993, p. 29 et s. 152. V. notamment C. consom., art. L. 121-24.
62 | B anque
et
a ssurance
digitales
96. Relevons que le considérant (58) de la directive n° 2011/83/UE du 25 octobre 2011 relative aux droits des consommateurs153, qui modifie la directive n° 93/13/ CEE : « Le consommateur ne devrait pas être privé de la protection accordée par la présente directive. Si le droit applicable au contrat est celui d’un pays tiers, le règlement n° 593/2008/CE devrait s’appliquer afin de déterminer si le consommateur continue de bénéficier de la protection garantie par la présente directive ». B.
Le critère déterminant et néanmoins incertain du « lien étroit »
97. La directive n° 93/13/CEE prend pleinement en compte le danger opérationnel pour les consommateurs au travers de son article 6-2 : « Les États membres prennent les mesures nécessaires pour que le consommateur ne soit pas privé de la protection accordée par la présente directive du fait du choix du droit d’un pays tiers comme droit applicable au contrat, lorsque le contrat présente un lien étroit avec le territoire des États membres ». Pour rendre effective cette disposition, tout l’enjeu consistera à cerner et définir ce concept de « lien étroit ». Il s’agit d’une gageure particulièrement ardue, spécialement depuis la jurisprudence de la CJUE du 9 septembre 2004154 qui disqualifie la possibilité de dresser des critères précis et déterminés de rattachement pour caractériser le lien étroit, tel que le domicile du consommateur ou le lieu de conclusion ou d’exécution du contrat. La Cour a ainsi rappelé que « si la notion délibérément vague de « lien étroit » que le législateur communautaire a retenue peut éventuellement être concrétisée par des présomptions, elle ne saurait en revanche être limitée par une combinaison de critères de rattachement prédéfinis, tels que les conditions cumulatives relatives à la résidence et à la conclusion du contrat visé à l’article 5 de la Convention de Rome »155. Il n’existe donc pas de critères prédéterminés et, a fortiori, dans le domaine des contrats bancaires et d’assurance avec les consommateurs. Si cela peut apparaître comme un facteur d’incertitude, la Cour a clairement indiqué sa motivation de ne pas restreindre son examen des situations à une acception objectiviste et donc étroite et étriquée. La protection du consommateur sera donc certainement appréciée de manière stricte et sévère à la charge des prestataires de services à distance. Le fait est que l’article 6-2 semble interagir – d’autres diront se superposer ou même percuter – les dispositions de l’article 6 du règlement Rome I portant sur les contrats de consommation en retenant l’application de « la loi du pays où le consommateur a sa résidence habituelle, à condition que le professionnel : 153. Dir. n° 2011/83/UE, 25 oct. 2011, JOUE n° L. 304, 22 nov. 2011, p. 64 et s. 154. CJUE, aff. C-70-03, Commission c/ Espagne, Juris-Data n° 2004-400014. 155. M. Audit, « Condamnation de l’Espagne pour transposition incorrecte de la directive du 5 avril 1993 concernant les clauses abusives dans les contrats conclus avec les consommateurs », Rev. crit. DIP 2005, 451.
e njeux
et réalités de la protection des consommateurs en ligne
| 63
a) exerce son activité professionnelle dans le pays dans lequel le consommateur a sa résidence habituelle, ou b) par tout moyen, dirige cette activité vers ce pays ou vers plusieurs pays, dont celui-ci, et que le contrat rentre dans le cadre de cette activité ». Il convient, cependant, de relever que ces dispositions ne s’appliqueront pas « aux droits et obligations qui constituent des instruments financiers, et aux droits et obligations qui constituent les modalités et conditions qui régissent l’émission ou l’offre au public et les offres publiques d’achat de valeurs mobilières, et la souscription et le remboursement de parts d’organismes de placement collectif, dans la mesure où ces activités ne constituent pas la fourniture d’un service financier ». § 2 – Au niveau de la législation nationale
98. Le droit français de la consommation, transposant les dispositions européennes, impose que l’on examine la règle entre les États membres, d’une part, et dans les rapports avec les États tiers, d’autre part. A.
Les règles entre États membres
99. Concernant les rapports consuméristes à distance entre États membres, le législateur français a repris les dispositions strictes du droit communautaire, l’article L. 232-3 du Code de la consommation indiquant que : « Nonobstant toute stipulation contraire, le consommateur ne peut être privé de la protection que lui assurent les dispositions prises par un État membre de l’Union européenne en application de la directive du Parlement européen et du Conseil du 25 octobre 2011 relative aux droits des consommateurs, modifiant la directive n° 93/13/CEE du Conseil et la directive du Parlement européen et du Conseil et abrogeant la directive n° 85/577/CEE du Conseil et la directive du Parlement européen et du Conseil, lorsque le contrat conclu à distance ou hors établissement présente un lien étroit avec le territoire de cet État ». B.
Les rapports avec les États tiers et l’explicitation de la notion de lien étroit
100. Concernant les situations plus délicates impliquant une contractualisation avec un opérateur d’un État tiers, la législation française156 reste conforme à sa tradition de protectionnisme consumériste, et ce en parfaite harmonie avec le niveau de protection du droit européen au travers, notamment, de l’article L. 232-1 du Code de la consommation concernant les clauses abusives : « Nonobstant toute stipulation contraire, le consommateur ne peut être privé de la protection que lui assurent les dispositions prises par un État membre de l’Union européenne en application de la directive n° 93/13/CEE du Conseil, du 5 avril 1993, concernant les clauses abusives dans les contrats conclus avec les consommateurs lorsque le contrat présente un lien étroit avec le territoire d’un État membre ». 156. A. Tenenbaum, « Les dispositions de la loi Hamon sur le droit applicable », RDC 2014, p. 503 et s.
64 | B anque
et
a ssurance
digitales
101. Concernant précisément la notion de lien étroit, pour laquelle s’impose une approche in concreto suivant la jurisprudence de la Cour de Justice157, l’article L. 231-1 du Code de la consommation est venu utilement donner quelques points d’ancrage avec une liste non exhaustive et non cumulative de critères, particulièrement importants dans le cadre des prestations en ligne : « Pour l’application des articles L. 232-1, L. 232-2, L. 232-3 et L. 232-4, un lien étroit avec le territoire d’un État membre est réputé établi notamment : 1° Si le contrat a été conclu dans l’État membre du lieu de résidence habituelle du consommateur ; 2° Si le professionnel dirige son activité vers le territoire de l’État membre où réside le consommateur, sous réserve que le contrat entre dans le cadre de cette activité ; 3° Si le contrat a été précédé dans cet État membre d’une offre spécialement faite ou d’une publicité et des actes accomplis par le consommateur nécessaire à la conclusion de ce contrat ; 4° Si le contrat a été conclu dans un État membre où le consommateur s’est rendu à la suite d’une proposition de voyage ou de séjour faite, directement ou indirectement, par le vendeur pour l’inciter à conclure ce contrat ». 102. Dans le cadre de la banque et l’assurance en ligne, c’est plus précisément le deuxième critère avec la notion d’« activité dirigée » qui apparaît comme le plus pertinent. Ce critère de l’« activité dirigée » est le même que celui énoncé par le règlement « Bruxelles I »158 concernant la compétence judiciaire, la reconnaissance et l’exécution des décisions en matière civile et commerciale, que l’on retrouve également à l’article 6 de « Rome I »159, à l’article 17, 1 c) de Bruxelles bis160 ou encore au sein de la jurisprudence161. Cette notion d’« activité dirigée » laisse un espace à l’interprétation suffisamment large pour se demander si le simple accès au site Internet permet de caractériser le fait que l’activité soit dirigée. Dans le cadre de deux affaires jointes, ayant donné 157. CJUE, 9 sept. 2004, v. supra. 158. Règlement (CE) n° 44/2001 du Conseil du 22 décembre 2000 concernant la compétence judiciaire, la reconnaissance et l’exécution des décisions en matière civile et commerciale, JOUE n° L. 12, 16 janv. 2001, p. 1 et s. (art. 15, 1 c). 159. Règlement (CE) n° 593/2008, 17 juin 2008, considérant 24, mais également le préambule et l’article 6. 160. Règlement (UE) n° 1215/2012 du Parlement européen et du Conseil du 12 décembre 2012 concernant la compétence judiciaire, la reconnaissance et l’exécution des décisions en matière civile et commerciale (Bruxelles bis – refonte de Bruxelles I). 161. V. ainsi les arrêts Pammer et Hôtel Alpenhoff, CJUE, 7 déc. 2010, aff. jtes C-585/08 et C-144/09, JCP éd. G 2011, p. 226, note L. d’Avout ; M.-E. Ancel, « Un an de droit international privé du commerce électronique », Com. com. électr. 2011, chron. 1 ; JDI 2011, p. 915, note V. Pironon ; RDC 2011, p. 511, obs. C. Aubert de Vincelles ; p. 567, obs. E. Treppoz. V. également CJUE, 14 nov. 2013, aff. C-478-12, A. et M. Maletic c/ lastminute.com et TUI ; M.-E. Ancel, « Un an de droit du commerce électronique », Com. com. électr. 2014, chron. 1 ; RLDC 2014, p. 15, note C. Le Galloux.
e njeux
et réalités de la protection des consommateurs en ligne
| 65
lieu à un arrêt en date du 7 décembre 2010162, la CJUE a considéré qu’il ne fallait pas nécessairement « interpréter les termes “dirige ces activités vers” comme visant la simple accessibilité d’un site Internet dans des États membres autres que celui dans lequel le commerçant concerné est établi »163. En réalité, la Cour de Justice oriente l’analyse vers une appréciation in concreto sur la base de l’analyse du faisceau d’indices164. Ainsi, il conviendra de déterminer « si la volonté du commerçant de cibler un ou plusieurs autres États membres est requise et, si tel est le cas, sous quelle forme une telle volonté doit se manifester »165. Si la volonté du prestataire apparaît équivoque, plusieurs indices peuvent être analysés tels que la mention selon laquelle le professionnel offre ses services dans un ou plusieurs États membres nommément désignés166 ou encore la mention de coordonnées téléphoniques, la langue utilisée, la clientèle internationale dans différents États membres167, etc. 103. Compte tenu du caractère minutieux du droit positif en matière de critères de rattachement dans le cadre consumériste, il est difficilement concevable que les contrats en matière de banque et d’assurance en ligne échappent aux dispositions protectrices du consommateur établies par le droit européen et transposées dans les législations des États membres. D’ailleurs, la sécurité offerte par ces dispositions contribuera certainement à la meilleure propagation de tels services en ligne. Cet alignement des intérêts du consommateur et des prestataires en banque et assurance en ligne est, à cet égard, tout à fait souhaitable168.
162. CJUE, 7 déc. 2010, aff. C-585/08 et C-144/09, Pammer et Hotel Alpenhof. Dans le même sens, CJUE, 6 sept. 2012, aff. C-190/11, Mühlleitner : Juris-Data n° 2012-020019. CJUE, 17 oct. 2013, aff. C-218/12, Emrek : Juris-Data n° 2013-022866. 163. Point 69 de la décision. 164. Dans le même sens, CJUE, gde ch., 12 juill. 2011, aff. C-324/09, RLDI 2011/74, n° 2444 ; v. comm. L. Grynbaum, in RLDI précitée, n° 2459 ; C. Castets-Renard, in RLDI préc., n° 2460. La CJUE, après avoir repris le principe selon lequel la simple accessibilité d’un site Internet n’est pas un critère absolu, indique qu’« il incombe, par conséquent, aux juridictions nationales d’apprécier au cas par cas s’il existe des indices pertinents pour conclure qu’une offre à la vente, affichée sur une place de marché en ligne accessible sur le territoire couvert par la marque, est destinée à des consommateurs situés sur celui-ci ». 165. Point 64 de la décision. 166. Point 81 de la décision. 167. Point 83 et 84 de la décision. 168. Sur l’opportunité d’invoquer les dispositions de l’ordonnance du 10 février 2016 concernant les clauses abusives en tant que lois de police, v. L. Abadie, « Clause abusive et banque en ligne », RDBF n° 3, mai 2016, dossier 20, p. 98 et 99 : « (…) un examen attentif du nouveau texte montre (...) que le champ des clauses abusives est circonscrit aux seuls contrats d’adhésion ce qui relativise quelque peu la promotion envisagée et il convient également de se rappeler qu’une extension par trop importante de la catégorie des lois de police pourrait avoir pour conséquence une application impérialiste de la loi du for et donc une remise en cause du système de règlement des conflits de lois qui se singularise essentiellement en matière contractuelle au travers du principe d’autonomie. Certains juges du fond s’engagent toutefois d’ores et déjà dans cette voie en matière commerciale (…) ».
CHAPITRE II La protection des données à caractère personnel 104. À l’instar d’autres pans réglementaires (v. partie I, chapitres I et III), la protection des données à caractère personnel vient s’inscrire dans l’ère du numérique. Mais le mouvement n’est pas unilatéral et de fait, la digitalisation imprègne aussi les principes de ce droit spécifique relevant des droits et libertés fondamentaux169. 105. À l’évidence, la transformation digitale est protéiforme : présente dans les nouvelles modalités de contractualisation qui ont tendance à fleurir au sein des secteurs bancaires et assurantiels, à l’origine de nouvelles catégories de données personnelles qui portent notre identité numérique, visible via les supports de communication qui irradient le marché… Mais c’est également l’annonce de nouveaux traitements aux promesses au moins aussi grandes que les dangers qu’ils sont susceptibles d’engendrer pour les libertés et les droits fondamentaux. S’il est techniquement possible de s’appuyer sur la « datification du monde », suivant la formule utilisée par la Présidente de la « CNIL » (Commission nationale informatique et libertés) elle-même, et de bénéficier des fruits des traitements de Big Data, il est déjà aussi question de devoir combattre la dictature des algorithmes. 106. D’un point de vue strictement juridique, pour rappel, les bases du cadre de la protection des données à caractère personnel ont été posées par la directive n° 95/46/CE du 24 octobre 1995170 dont l’objectif était « de coordonner les législations des États membres pour que le flux transfrontalier de données à caractère personnel soit réglementé d’une manière cohérente et conforme à l’objectif du marché intérieur »171. Une grande marge de manœuvre a été laissée aux États membres172 pour transposer cette directive (pour l’obligation d’information incombant au responsable de traitement173, pour les droits des 169. Sur le sujet, v. spéc. : A. Debet, J. Massot, N. Metallinos, Informatique et Libertés, Lextenso, 2015 ; G. Desgens-Pasanau, La protection des données à caractère personnel, LexisNexis, 2e éd., 2015. 170. Dir. n° 95/46/CE, 24 oct. 1995, relative à la protection des personnes physiques à l’égard du traitement de données à caractère personnel et à la libre circulation de ces données, JOCE n° L. 281, 23 nov. 1995. 171. Dir. n° 95/46/CE, cons. 8. 172. Dir. n° 95/46/CE, cons. 9. 173. Avis n° 10/2004 du Groupe de travail G29 [WP100] adopté le 27 novembre 2004 sur les « Dispositions davantage harmonisées en matière d’information ».
68 | B anque
et
a ssurance
digitales
personnes concernées174 ou pour les formalités préalables à la mise en œuvre des traitements de données175). En conséquence de quoi, des législations très différentes d’un pays à l’autre ont été adoptées. Les nombreuses divergences nationales sur les principes de protection des données à caractère personnel ont malheureusement abouti à une application fragmentée et non cohérente de la réglementation européenne, au point que la question du droit applicable à des traitements de données transfrontières s’est même posée176 et a fait l’objet de différentes saisines de la CJUE177. 107. Outre l’insécurité juridique inhérente à l’absence d’harmonisation des législations nationales, le cadre européen de protection des données à caractère personnel s’est avéré inadapté à la configuration actuelle de l’exploitation de ces données et aux nouveaux défis portés par l’ère du numérique tels que la généralisation des services en ligne, la constitution de méga bases de données ou l’externalisation des traitements de données et le recours massif aux prestataires de « Cloud computing »… sans que cette liste soit exhaustive. 108. La refonte en profondeur du cadre de la protection des données à caractère personnel au sein de l’Union européenne s’est donc imposée. Annoncée en 2010 par la Commission européenne178, ce n’est qu’au bout de quatre années
174. Dir. n° 95/46/CE, art. 13. 175. Rapport du Groupe de travail G29 [WP106] adopté le 18 janvier 2005 sur l’obligation de notification aux autorités nationales de contrôle, sur la meilleure utilisation des dérogations et des simplifications et sur le rôle des détachés à la protection des données dans l’Union européenne. 176. Avis n° 8/2010 du Groupe de travail G29 [WP179] adopté le 16 décembre 2010 sur « le droit applicable ». 177. Par ex., v. l’arrêt C-473/12 de la CJUE du 7 novembre 2013, Institut professionnel des agents immobiliers (IPI) c/ Geoffrey Englebert, Immo 9 SPRL, Grégory Francotte, en présence de l’Union professionnelle nationale des détectives privés de Belgique (UPNDP), Association professionnelle des inspecteurs et experts d’assurances ASBL (APIEA), Conseil des ministres, sur l’application du droit belge. Cet arrêt a rappelé la simple faculté – et non l’obligation – des États membres à « transposer dans leur droit national une ou plusieurs des exceptions que (l’article 13 § 1 de la directive n° 95/46/CE) prévoit à l’obligation d’informer les personnes concernées du traitement de leurs données à caractère ». V. également l’arrêt C-582/14 de la CJUE (deuxième chambre) du 19 octobre 2016, Patrick Breyer c/ Bundesrepublik Deutschland – Demande de décision préjudicielle, introduite par le Bundesgerichtshof. La Cour a, entre autres, considéré que « l’article 7, sous f), de la directive n° 95/46 doit être interprété en ce sens qu’il s’oppose à une réglementation d’un État membre en vertu de laquelle un fournisseur de services de médias en ligne ne peut collecter et utiliser des données à caractère personnel afférentes à un utilisateur de ces services, en l’absence du consentement de celui-ci, que dans la mesure où cette collecte et cette utilisation sont nécessaires pour permettre et facturer l’utilisation concrète desdits services par cet utilisateur, sans que l’objectif visant à garantir la capacité générale de fonctionnement des mêmes services puisse justifier l’utilisation desdites données après une session de consultation de ceux-ci ». 178. Communication de la Commission au Parlement européen, au Conseil, au Comité économique et social européen et au Comité des régions sur une « Une approche globale de la protection des données à caractère personnel dans l’Union européenne » du 4 novembre 2010 [COM (2010) 609 final].
la
protection des données à caractère personnel
| 69
d’âpres négociations avec le Parlement européen et le Conseil179, que la révision de la directive n° 95/46/CE a abouti à l’adoption du règlement européen sur la protection des données du 27 avril 2016180. Entré en vigueur le 24 mai 2016, il sera applicable à compter du 25 mai 2018 dans chaque État membre de l’Union européenne quasi uniformément181. Il est question d’extra-territorialité du RGPD. Ce qui ne change pas : le RGPD s’applique aux traitements de données mis en œuvre « dans le cadre des activités d’un établissement d’un responsable du traitement ou d’un sous-traitant sur le territoire de l’Union, que le traitement ait lieu ou non dans l’Union ». Ce qui change est que le règlement s’appliquera « au traitement des données à caractère personnel relatives à des personnes concernées qui se trouvent sur le territoire de l’Union par un responsable du traitement ou un sous-traitant qui n’est pas établi dans l’Union, lorsque les activités de traitement sont liées : a) à l’offre de biens ou de services à ces personnes concernées dans l’Union, qu’un paiement soit exigé ou non desdites personnes ; ou b) au suivi du comportement de ces personnes, dans la mesure où il s’agit d’un comportement qui a lieu au sein de l’Union ». De fait, le champ d’application du règlement est volontairement défini de façon très large, de manière à prendre en compte l’Internet (et les GAFA) et le critère retenu est celui de la personne concernée par le traitement de données. 109. Le choix d’un règlement plutôt qu’une directive atteste de la volonté d’appliquer le même droit sur la protection des données à caractère personnel au sein de tous les États de l’Union européenne. Les objectifs du RGPD s’inscrivent dans la construction d’« un cadre de protection des données solide et plus cohérent dans l’Union, assorti d’une application rigoureuse des règles, car il importe de susciter la confiance qui permettra à l’économie numérique de se développer dans l’ensemble du marché intérieur »182.
179. Quelques 3 999 amendements entre la version initiale de la Commission en 2012 et celle du Parlement européen de 2014 ‒ Résolution législative du Parlement européen du 12 mars 2014 sur la proposition de règlement du Parlement européen et du Conseil relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données) (COM(2012)0011 – C7-0025/2012 – 2012/0011(COD). 180. Règlement n° 2016/679/UE du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive n° 95/46/CE (règlement général sur la protection des données), JOUE 4 mai 2016, n° L. 119, p. 1. V. spéc. : hors-série Banque & Droit, « Protection des données. Commentaires sur le règlement européen du 27 avril 2016 », mars-avr. 2017. 181. Sous réserve des dispositions qui renvoient à la compétence discrétionnaire des États membres (art. 84 – sanctions autres qu’administratives, par ex.). 182. Considérant 7 du RGPD.
70 | B anque
et
a ssurance
digitales
Pour autant, le règlement ne modifie pas fondamentalement les principes de protection qui ont été posés par la directive n° 95/46/CE, les changements à anticiper se situent plutôt sur les procédures et les mesures techniques, organisationnelles et fonctionnelles qu’il va falloir mettre en place. Le texte comporte de fait de nombreuses références, voire exigences quant à la mise en œuvre concrète des principes telles que les précisions relatives à la documentation. 110. Partant, l’objectif de ce chapitre est de situer la réglementation applicable au secteur bancaire et à celui des assurances, dans un contexte général de digitalisation, et de présenter globalement les évolutions à venir pour 2018, pour : – le cadre et les principes de la protection des données (section I) ; – les opérations de prospection directe (section II) ; – le profilage et les traitements de Big Data (section III) ; – les transferts de données vers des États tiers (section IV).
SECTION I LE CADRE DE LA PROTECTION ET CERTAINES DE SES ÉVOLUTIONS À ANTICIPER 111. La reprise des principes de protection de la directive n° 95/46/CE par la loi « Informatique et Libertés » a été complétée par l’action de la CNIL183 et, pour rappel, le secteur bancaire ainsi que celui des assurances ont fait l’objet de nombreuses décisions à tous les niveaux (délibérations portant sur les formalités, recommandations et sanctions)184. À l’instar de la directive n° 95/46/CE, la loi française « Informatique et Libertés » modifiée n’a pas échappé à l’obsolescence juridique. Dans l’attente du futur cadre de protection, de nouvelles obligations vont devoir être d’ores et déjà intégrées par les responsables de traitement. En particulier, la loi n° 2016-1321 du 7 octobre 2016 pour une République numérique185 est venue compléter la loi « Informatique et Libertés » modifiée, certaines dispositions étant d’application immédiate alors que d’autres sont différées, dans l’attente des
183. V. infra § 1. 184. Délibération CNIL n° 2006-174 du 28 juin 2006 prononçant une sanction pécuniaire à l’encontre du Crédit Lyonnais. V. le lien : https://www.cnil.fr/sites/default/files/typo/document/ D2006_174_Credit_Lyonnais.pdf. Il s’agissait de la première sanction pécuniaire prononcée par la CNIL, mettant en avant le passage à une autre dimension répressive face aux infractions constatées. 185. Loi n° 2016-1321 du 7 octobre 2016 pour une République numérique, JO 8 oct. 2016.
la
protection des données à caractère personnel
| 71
décrets d’application (prévus pour 2017) ou alignées sur l’entrée en application du règlement européen. 112. L’article 54 de la loi pour une République numérique modifie l’article 1er de la loi « Informatique et Libertés » en introduisant un principe d’auto-détermination de la personne concernée sur ses données, comme l’avait préconisé le Conseil d’État dans son étude annuelle de 2014186. Il est expressément prévu que « toute personne dispose du droit de décider et de contrôler les usages qui sont faits des données à caractère personnel la concernant », étant précisé que ce droit n’est pas un droit de propriété sur les données et ne permet donc pas de les louer ou de les céder. 113. Plus que pour d’autres secteurs encore, le déploiement des activités de banque et d’assurance en ligne exacerbe l’importance et l’acuité de la protection des données dans un contexte de mutation réglementaire qui redistribue la gouvernance des données (§ 1) et repositionne la définition de régimes de protection adaptés aux différentes catégories de données personnelles (§ 2). Si, dans un souci de continuité, l’application d’un ensemble de principes est reprise par le RGPD (§ 3), force est de constater un mouvement dans le sens du renforcement des droits des personnes (§ 4). § 1 – La gouvernance des données
114. La gouvernance de la réglementation des données personnelles se déploie sur trois échelles : – au niveau européen, par le biais du Contrôleur européen à la protection des données (CEPD) et le G29, incontournables institutions de la protection des données personnelles187 ; – au niveau national et, en France, par la CNIL (A) ; – et au niveau de l’organisme qui traite des données personnelles, a fortiori les sociétés bancaires et assurantielles, via la fonction de correspondant à la protection des données, désigné sous l’acronyme de « CIL » dont la fonction est profondément modifiée par le RGPD. En effet, au niveau de l’entreprise, la désignation d’un délégué à la protection des données personnelles est obligatoire à partir de 2018 et il veillera au respect de la réglementation en la matière, suivant un degré d’exigences substantiellement rehaussé (B). 186. Conseil d’État, Étude annuelle 2014, Le numérique et les droits fondamentaux, La documentation française, p. 237 et s. 187. Pour une présentation du Contrôleur européen à la protection des données, v. N. Vandelle, « Le contrôleur européen de la protection des données et la protection des données personnelles dans l’administration européenne », Rev. UE 2012, p. 44. V. également les développements sur le Comité européen des données suite au RGPD par J.-L. Sauron, « Le règlement général sur la protection des données, règlement (UE) n° 2016/679 du 27 avril 2016 : de quoi est-il le signe ? », Com. com. électr. 2016, étude 16.
72 | B anque
A.
et
a ssurance
digitales
Rappel du statut et des principales prérogatives de la CNIL188
115. La CNIL est une autorité administrative indépendante (article 11 de la loi « Informatique et Libertés »). Elle n’a donc aucun lien de subordination avec une éventuelle autorité hiérarchique ; elle reçoit ni ordre, ni instruction. Elle a une mission générale d’information et de veille (article 11 de la loi « Informatique et Libertés »). Elle informe et protège les particuliers et les professionnels (article 11-1° et article 11-2°). Elle peut, entre autres, émettre des avis sur des projets de loi ou décret (article 11-4°-a), et des recommandations (article 11-4°-f) de la loi « Informatique et Libertés ») qui sont publiées au Journal officiel. La CNIL dispose d’un pouvoir de contrôle : – a priori, en examinant les déclarations de traitement (article 11-2°-a) et les demandes d’autorisation préalable (article 25) à leur mise en œuvre, ou en délivrant des autorisations de transfert de données ; – a posteriori en effectuant des contrôles sur place ou à distance (article 44). La CNIL peut également prononcer des sanctions (article 45), spécialement des sanctions pécuniaires (jusqu’à 3 millions d’euros ‒ article 47). La CNIL dans sa mission de sanction est considérée comme une juridiction189 : elle est donc soumise aux règles fondamentales du contradictoire et du respect des droits de la défense. Il convient de souligner qu’en matière bancaire et assurantielle, les pouvoirs de la CNIL sont particulièrement larges et intrusifs. Ainsi, l’article 21 de la loi « Informatique et Libertés » dispose que : « les ministres, autorités publiques, dirigeants d’entreprises, publiques ou privées, responsables de groupements divers et plus généralement les détenteurs ou utilisateurs de fichiers nominatifs ne peuvent s’opposer à l’action de la Commission ou de ses membres et doivent au contraire prendre toutes mesures utiles afin de faciliter sa tâche ». Il semble que le secret bancaire lui-même n’y résiste pas. L’obligation générale de la désignation d’un « Délégué à la protection des données » vient approfondir l’assise de la CNIL, jusque-là déjà bien relayée par le Délégué à la protection des données à caractère personnel (CIL).
188. Pour une présentation complète, v. T. Dautieu, « La Commission nationale de l’informatique et des libertés – Évolution, indépendance et composition » : J.-Cl. Communication, LexisNexis, Fasc. 4731. 189. CE, 6 nov. 2009, Interconfort, n° 304300, Publié au Recueil Lebon et CE, 6 nov. 2009, Pro décor, n° 304301, inédit.
la B.
protection des données à caractère personnel
| 73
Quelques lignes directrices sur le Délégué à la protection des données190
116. Le règlement du 27 avril 2016 rend obligatoire d’ici à 2018 la désignation, pour certaines structures, d’un Délégué à la protection des données personnelles (DPD). Ainsi que le souligne utilement M. Sauron, les entreprises, et a fortiori les banques et les assurances, compte tenu de la spécificité des données traitées par leurs activités, « doivent se préparer à mettre en place un délégué à la protection des données et à participer à la rédaction de code de conduite », l’enjeu n’étant plus « d’aller à un guichet administratif pour obtenir une autorisation ou un quitus, mais d’engager une véritable culture de la conformité »191. Ce changement de paradigme est aisément identifiable à l’examen des missions élargies du DPD en comparaison avec celles du Correspondant informatique et libertés (CIL) dont la désignation n’était alors qu’une simple faculté. De plus, le DPD se voit doté de moyens spécifiques et renforcés, dont les établissements bancaires et assurantiels doivent prendre la mesure pour maîtriser au mieux cette « administration de la conformité »192. 1.
La désignation du Délégué à la protection des données personnelles
117. L’article 37 du règlement n° 2016/679 relatif à la protection des données à caractère personnel prévoit la désignation d’un Délégué à la protection des données personnelles (« Data Protection Officer » – DPO) obligatoire dans trois cas : – lorsque le traitement est effectué par une autorité publique ou un organisme public ; – lorsque le traitement permet un suivi régulier et systématique des personnes à grande échelle ; ou – lorsqu’il porte sur des données sensibles (visées à l’article 9) ou pénales (visées à l’article 10), à grande échelle. En dehors de ces cas, il est toujours possible de désigner un délégué à la protection des données et les États membres peuvent rendre sa désignation obligatoire. Auparavant, la nomination du correspondant était une simple faculté laissée à la libre volonté des responsables de traitement. Cette faculté n’a été que peu 190. B. Fauvarque-Cosson, « Du Correspondant informatique et libertés (CIL) au délégué à la protection des données (DPD) : entre continuité et changements », hors-série Banque & Droit, mars-avr. 2017, p. 38 et s. 191. J.-L. Sauron, « Le règlement général sur la protection des données, règlement n° 2016/679/ UE du 27 avril 2016 : de quoi est-il le signe ? », Com. com. électr. 2016, étude 16. E. Jouffin, « Présentation du Règlement général sur la protection des données », hors-série Banque & Droit, mars-avr. 2017, p. 4 et s. 192. Ibid.
74 | B anque
et
a ssurance
digitales
utilisée dans le secteur de la banque. Mais cela va s’imposer avec l’entrée en application du nouveau règlement. a.
La procédure
118. La procédure de désignation change sensiblement pour le délégué. Le délégué à la protection des données est désigné par le responsable du traitement et le sous-traitant. Les coordonnées du délégué doivent être publiées par le responsable du traitement des données ou le sous-traitant et communiquées à l’autorité de contrôle. En revanche, il n’a pas été prévu d’information des instances représentatives du personnel comme c’était le cas en l’espèce pour le correspondant (article 45 du décret n° 2005-1309). Le délégué peut être un membre du personnel du responsable du traitement ou du sous-traitant, ou exercer ses missions sur la base d’un contrat de service. Le correspondant pouvait également être externalisé lorsque le nombre de personnes chargées de la mise en œuvre du traitement est inférieur à 50 (article 44 du décret n° 2005-1309)193. Le même délégué peut être désigné pour un groupe d’entreprise à la condition qu’il soit facilement joignable depuis chaque lieu d’établissement. b.
La qualification
119. Actuellement, la question de la qualification (formation initiale ou formation continue) reste toujours entière. Le délégué à la protection des données est désigné sur la base des qualités professionnelles et, en particulier, des connaissances spécialisées du droit et des pratiques en matière de protection des données et de sa capacité à accomplir les missions visées à l’article 39. On remarque qu’il y a peu de changement avec le correspondant dans la mesure où ce dernier devait bénéficier des qualifications requises pour exercer ses missions (article 22 de la loi « Informatique et Libertés »). De toute évidence, comme pour le correspondant, le profil doit être transversal, le délégué doit avoir des connaissances en droit, en informatique, des notions de sécurité informatique, mais également de la structure et des métiers, en l’occurrence, de la banque et de l’assurance.
193. G. Desgens-Pasanau, Le correspondant « informatique et libertés », LexisNexis, coll. Droit & Professionnels, 2013. É. A. Caprioli et I. Cantero, « Les nouvelles obligations faites aux responsables de traitements de données à caractère personnel », JCP éd. E, 2007, 1976.
la c.
protection des données à caractère personnel
| 75
Les incompatibilités
120. Les incompatibilités relatives à l’exercice de la fonction de délégué s’inscrivent dans la continuité de celles prévues pour le correspondant. En effet, il ne faut pas que l’exercice d’autres missions ou tâches entraîne un « conflit d’intérêts » (article 38-6 du RGPD). Aucune précision n’est apportée quant à l’exercice cumulé des fonctions de DPD et de responsable de traitement, mais on peut penser que ce qui vaut déjà pour le « Correspondant informatique et libertés » (CIL), à savoir l’incompatibilité entre les deux fonctions (article 46 du décret n° 2005-1309), vaudra pour le DPD (article 38-3 du RGPD). En effet, il était déjà admis que le correspond ne pouvait pas se confondre en la personne du responsable de traitement. 2.
Les missions
121. Le délégué est garant du respect de la réglementation. D’un point de vue pratique, il est le représentant de la CNIL au sein de la structure qui l’a désigné. Les fonctions peuvent être exercées pour une durée déterminée ou indéterminée. Ses missions se rapprochent fortement de celles prévues aux articles 49 et 51 du décret n° 2005-1309194 pour le correspondant en ce qu’il doit : a) contrôler l’application de la réglementation et contrôler les règles internes en la matière (article 39-1-b) du RGPD) ; b) informer et conseiller le responsable du traitement ou le sous-traitant ainsi que les employés sur les obligations légales en matière de protection des données (article 39-1-a) du RGPD) ; c) réceptionner les réclamations (article 38-4 du RGPD) ; d) coopérer avec l’autorité de contrôle (article 39-1-d) du RGPD) ; e) être un point de contact avec l’autorité de contrôle (article 39-1-d) du RGPD). Toutefois, il se voit également attribuer une mission relative à l’analyse d’impact, puisqu’il devra, en effet, dispenser des conseils, sur demande, en ce qui concerne l’analyse d’impact relative à la protection des données et vérifier son exécution. Le délégué doit également tenir compte dans ses missions du risque associé aux opérations de traitement compte tenu de la nature, de la portée, du contexte et des finalités du traitement (article 39-2 du RGPD). 194. JO 22 oct. 2005, p. 16769 ; v. l. Cantero, « Commentaire du décret », Com. com. électr. 2006, étude 6, p. 25.
76 | B anque
et
a ssurance
digitales
On remarque que le Délégué ne sera pas en charge de la tenue du registre des traitements comme c’était le cas pour le correspondant (article 48 du décret n° 2005-1309), pas plus que le bilan annuel (article 49 du décret n° 2005-1309). 3.
Les moyens
122. Le délégué comme le correspondant possède une liberté dans sa mission dans la mesure où il ne reçoit aucune instruction (article 46 du décret n° 2007451195 et article 38-3 du RGPD). Mais le délégué se voit doté de moyens qui n’avaient pas été prévus pour le correspondant. En effet, pour exercer ses missions le délégué doit être rattaché au niveau le plus élevé de la direction du responsable du traitement ou du soustraitant (article 38-3 du RGPD). De plus, il devra être associé à toutes les questions de protection des données, de manière appropriée et en temps utile (article 38-1 du RGPD). Il doit disposer des ressources nécessaires pour exercer ces missions (humaines et financières), avoir accès aux données à caractère personnel et aux opérations de traitement (article 38-2 du RGPD). Enfin, il devra être en mesure d’entretenir des connaissances spécialisées (article 38-2 du RGPD). 4.
Le statut
123. Le statut du délégué sera également un statut protecteur, comme celui du correspondant. Le règlement précise que le délégué ne doit recevoir aucune instruction en ce qui concerne l’exercice de ses missions (article 38-3 du RGPD et article 46 du décret n° 2007-451). Le délégué ne peut être pénalisé ou relevé de ses fonctions par le responsable du traitement ou le sous-traitant pour l’exercice de ses fonctions (article 38-3 du RGPD). En conséquence, le délégué dispose d’un statut « particulier » protecteur. Le principe d’immunité est repris puisqu’il était déjà prévu pour le correspondant (article 22-III de la loi « Informatique et Libertés »). Le règlement a prévu que le délégué est lié par le secret professionnel ou la confidentialité dans l’exercice de ses tâches (article 38-5 du RGPD). Ce qui n’était pas prévu pour le correspondant.
195. Décret n° 2007-451 du 25 mars 2007, disponible sur : http://www.caprioli-avocats.com. D. n° 2007-451, 25 mars 2007 modifiant le régime de protection des personnes à I’égard des traitements de données à caractère personnel, JO 28 mars 2007.
la 5.
protection des données à caractère personnel
| 77
Les responsabilités
124. Aucune disposition spécifique du règlement ne permet de clarifier la responsabilité effective du délégué à la protection des données personnelles. Rien n’avait été également prévu pour le correspondant. Il semble toutefois que seule l’entreprise soit à considérer comme responsable de tout manquement aux obligations de la loi vis-à-vis des personnes concernées par les traitements, et que le correspondant ne sera pas responsable. Le délégué ne devrait donc pas non plus voir sa responsabilité engagée. En outre, la délégation de pouvoirs avec transfert du risque pénal auprès du DPD ne semble pas possible au même titre que ce qui vaut déjà pour le CIL, au risque de confondre sa mission avec celle du responsable des traitements. Le rôle particulier du DPD au sein des établissements bancaires et assurantiels sera d’autant plus déterminant et impactant pour ces derniers que le volume important et que la qualité particulière des données qu’ils sont amenés à recueillir et à traiter les placent au cœur des préoccupations des autorités de contrôles, telle que la CNIL en France. § 2 – Le principe d’une protection différenciée selon les catégories de données
125. Plusieurs catégories de données méritent une attention particulière car elles sont traitées par les banques ou les assurances en raison de leurs activités respectives, et plus particulièrement dans un environnement digital (A). Les données intrinsèquement liées à l’identité numérique des personnes relèvent, quant à elles, d’un régime spécifique inhérent à leur nature (B). A.
Les données protégées
126. À l’instar du monde physique, dans un environnement numérique, la protection des données personnelles impose de distinguer selon la nature de ces données et veille à garantir un régime destiné à préserver la nécessaire confidentialité des données relatives à la santé (1) et des données bancaires (2). Cela est d’autant plus vrai que parmi les données susceptibles d’être collectées et traitées, les données relatives au mineur (3) et celles concernant une personne décédée (4) disposent également d’un cadre juridique particulier. 1.
Les données relatives à la santé
127. L’article 8 de la loi « Informatique et Libertés » pose un principe d’interdiction pour la collecte et le traitement des données à caractère personnel d’une personne se rapportant à ses origines raciales, ethniques, ses opinions politiques ou religieuses, des informations relatives à sa santé ou
78 | B anque
et
a ssurance
digitales
à sa vie sexuelle. Le consentement exprès de la personne concernée est une des dérogations admises au principe d’interdiction de traitement de ce type de données. Pour autant, aucune loi ne doit s’y opposer. Le fait de traiter ces données sans y être autorisé, est passible des sanctions prévues par l’article 226-19 du Code pénal (jusqu’à 5 ans d’emprisonnement et 300 000 euros d’amende). Concrètement, des traitements portant sur ces catégories de données ne sont pas, en principe, susceptibles d’être mis en œuvre par les établissements bancaires et par les entreprises d’assurance196, à l’exception des données de santé pour ces dernières. 128. En effet, pour la souscription à un contrat, il est demandé à la personne (contrat souscrit par voie électronique en agence) ou à l’internaute (contractualisation en ligne) de remplir un questionnaire de santé dont la teneur peut varier selon les entreprises d’assurance. Le questionnaire ou des informations relatives à la santé peuvent également être requis pour la déclaration de sinistre (qui pourra aussi, lorsque la procédure est prévue, être réalisée en ligne via le site Internet de l’assureur). La personne concernée est tenue de fournir certaines informations liées à son état de santé (rente invalidité, intervention chirurgicale, arrêts de travail, pathologies, traitements médicaux, etc.). 129. Pour rappel, à défaut de définition légale, la notion de données de santé à caractère personnel est en principe entendue dans son sens le plus large comme en atteste la jurisprudence. La CJUE a rendu un arrêt de principe le 6 novembre 2003197 considérant que les données de santé incluaient les « informations 196. V. infra partie I, chapitre II, section III : Profilage – Big Data. 197. CJCE, 6 nov. 2003, aff. C-101/01, Bodil Lindqvist. La CJCE a eu à connaître de cette affaire par le biais de plusieurs questions préjudicielles posées par la juridiction d’appel suédoise, confrontée à des difficultés d’interprétation de la directive n° 95/46/CE du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel. L’espèce concernait une Suédoise qui avait publié sur son site, crée à l’attention des paroissiens, à son domicile et avec son ordinateur personnel, des données à caractère personnel concernant un certain nombre de personnes qui travaillent, comme elle, à titre bénévole dans ladite paroisse de l’Église protestante de Suède, et ce sans leur accord préalable et sans déclaration à l’organisme public en charge de la protection des données. Ainsi, la juridiction de renvoi demandait, entre autres, « si l’indication du fait qu’une personne s’est blessée au pied et est en congé de maladie partiel constitue une donnée à caractère personnel relative à la santé au sens de l’article 8, paragraphe 1, de la directive n° 95/46/CE ». La Cour a considéré qu’il convenait de « donner à l’expression “données relatives à la santé” employée à son article 8, paragraphe 1, une interprétation large de sorte qu’elle comprenne des informations concernant tous les aspects, tant physiques que psychiques, de la santé d’une personne » ; ainsi, « l’indication du fait qu’une personne s’est blessée au pied et est en congé de maladie partiel constitue une donnée à caractère personnel relative à la santé au sens de l’article 8, paragraphe 1, de la directive n° 95/46/CE ». Cet arrêt a également affirmé que « l’opération consistant à faire référence, sur une page Internet, à diverses personnes et à les identifier soit par leur nom, soit par d’autres moyens, par exemple leur numéro de téléphone ou des informations relatives à leurs conditions de travail et à leurs passe-temps, constitue un “traitement de données à caractère personnel, automatisé en tout ou en partie”, au sens de l’article 3, paragraphe 1, de la directive n° 95/46/CE ». Ainsi, un tel traitement de
la
protection des données à caractère personnel
| 79
concernant tous les aspects, tant physiques que psychiques, de la santé d’une personne ». Dans sa recommandation du 4 février 1997 sur le traitement des données de santé à caractère personnel198, la CNIL a estimé qu’il s’agit de « données, qui sont directement ou indirectement nominatives à l’égard du patient ou du professionnel de santé ». Sous cette recommandation, la CNIL montre qu’elle a une interprétation très large de la notion de données de santé à caractère personnel en y incluant toute donnée permettant d’obtenir des indices sur l’état de santé d’une personne. Les autorisations de traitements portant sur des données de santé qui sont délivrées par la CNIL attestent de cette interprétation. À ce titre, l’autorisation n° 2011-46 du 8 septembre 2011 de mise en œuvre d’un traitement de données de santé à caractère personnel par une société prestataire informatique précise que les données de santé à caractère personnel qui sont collectées pour le traitement sont des informations relatives à l’acte de soin délivré, aux montants remboursables, aux produits délivrés et prescrits (code identification du médicament ou produit, quantités, tarif unitaire, montant total). 130. Le RGPD pose une définition très large de la notion qui rejoint l’interprétation de la jurisprudence et de la CNIL sur le périmètre des données de santé. Ainsi, aux termes de l’article 4-15), cette catégorie comprend « les données à caractère personnel relatives à la santé physique ou mentale d’une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l’état de santé de cette personne ». 131. Concrètement, le questionnaire dématérialisé (rempli en ligne ou en agence) devra permettre de garantir la stricte confidentialité des informations transmises, étant rappelé que les données relatives à la santé sont couvertes par le secret professionnel prévu par l’article 226-13 du Code pénal qui en interdit la libre circulation ou divulgation. Les banques, en revanche, n’ont pas, en principe, à traiter de données relatives à la santé dans le cadre de leurs activités (sauf pour les assurances souscrites pour leurs produits). 2.
Les données bancaires
132. Concrètement, la notion de données bancaires renvoie à une pluralité d’informations ayant trait à l’identification de la personne, de ses comptes (en ce compris, le code IBAN, les informations relatives à ses moyens de paiement, les transactions réalisées…). Les données bancaires sont également couvertes par le secret professionnel. Ce principe a été rappelé par la Cour de cassation199 données à caractère personnel n’est couvert par aucune des exceptions figurant à l’article 3 § 2 de la directive n° 95/46/CE. V. M. Nicolella, note sous l’arrêt, Gaz. Pal. 12 juin 2004, n° 164. 198. Recommandation n° 97-008 du 4 février 1997 sur le traitement des données de santé à caractère personnel. 199. Cass. com., 18 sept. 2007, n° 06-10.663 : l’affaire concernait un client qui poursuivait en responsabilité sa banque pour défaut d’information au prétexte de ne pas avoir été informé
80 | B anque
et
a ssurance
digitales
qui a estimé que le secret professionnel auquel sont soumises les banques, en vertu de l’article L. 511-33 du Code monétaire et financier, vise à protéger les clients de toute demande de renseignements par des tiers (données chiffrées, coordonnées bancaires, identité et autres). 133. Le secret bancaire ne couvre pas toutes les informations que les établissements seraient susceptibles de connaître comme, par exemple, certaines données factuelles ou des renseignements commerciaux d’ordre général et économique sur la solvabilité200. Pour autant, la notion de donnée bancaire reçoit une acception large et ces informations sont en général des données à caractère personnel (permettant d’identifier même de façon indirecte le client de la banque). 134. La multiplication des services de banque en ligne (accès aux comptes, virements, messagerie électronique, etc.)201 invite les établissements bancaires à renforcer leurs procédures de sécurisation des données bancaires, mais la protection des données personnelles rejoint sur ce point le droit bancaire (par exemple la gestion du risque opérationnel, la lutte contre la fraude externe, etc.)202. 135. Sur les transactions réalisées en ligne (règlement du contrat par exemple), les entreprises d’assurance, sont tenues de se conformer aux exigences de la CNIL203. Le développement du commerce sur Internet et des transactions en ligne a amené la CNIL à modifier en 2013 sa recommandation de 2003 sur le traitement des données relatives à la carte de paiement204. La CNIL indique que la collecte du numéro de carte de paiement par le e-commerçant doit répondre à certaines finalités limitativement énumérées :
200. 201.
202. 203. 204.
par son banquier de la situation financière d’un autre client, situation lui ayant occasionné un préjudice. La Cour de cassation a clairement affirmé que « l’obligation au secret professionnel à laquelle sont tenus les établissements de crédit leur interdit de fournir à un client qui en formule la demande des renseignements autres que simplement commerciaux d’ordre général et économique sur la solvabilité d’un autre de leurs clients ». Dans cette espèce, la Cour souligne également que le demandeur n’avait pas formulé de demande en ce sens à sa banque qui n’était pas tenue d’elle-même de lui fournir une quelconque information. Sur cet arrêt, v. RDBF 2007, n° 6, p. 46, obs. F.-J. Crédot et Th. Samin, RLDA 2007/21, n° 1284, Banque & Droit 2008, n° 117, p. 27, obs. Th. Bonneau. CA Versailles, 23 mars 1994, Juris-Data n° 1994-044277 ; Cass. com., 18 sept. 2007, n° 0610.663 : Juris-Data n° 2007-040414. É. A. Caprioli et I. Cantero, « La protection des données à caractère personnel dans le cadre de la banque en ligne », Banque & Droit, « Quel droit pour le développement de la banque en ligne ? », hors-série, juin 2013, p. 64 et s ; É. A. Caprioli (ss. La dir.), I. Cantero, I. Choukri, P. Agosti ; F. Coupez, La banque en ligne et le droit, RB Édition, 2014, p. 19 et s. Arrêté du 3 novembre 2014 relatif au contrôle interne des entreprises du secteur de la banque, des services de paiement et des services d’investissement soumis au contrôle de l’Autorité de contrôle prudentiel et de résolution, JO 5 nov. 2014, p. 18598. V. infra partie I, chapitre II, section I - § 3. B : « L’accomplissement des formalités déclaratives ». Délibération n° 2013-358 du 14 novembre 2013 portant adoption d’une recommandation concernant le traitement des données relatives à la carte de paiement en matière de vente de biens ou de fourniture de services à distance et abrogeant la délibération n° 03034 du 19 juin 2003.
la
protection des données à caractère personnel
| 81
« – la réservation d’un bien ou d’un service ; – la conservation du numéro de la carte du client afin de faciliter ses éventuels achats ultérieurs sur le site du commerçant ; – l’offre de solutions de paiement dédiées à la vente à distance par des prestataires de services de paiement (cartes virtuelles, « wallets », comptes rechargeables, etc.). Ces solutions visent à éviter aux consommateurs de saisir les données relatives à leur carte lors d’achats effectués à distance ; – la lutte contre la fraude à la carte de paiement ». 136. En outre, la CNIL recommande aux responsables de traitements d’utiliser uniquement des services de paiement en ligne sécurisés, « conformes à des référentiels reconnus en matière de sécurisation de données relatives à la carte au niveau européen ou international (par exemple le standard PCI DSS) »205 ainsi qu’à la réglementation applicable. La CNIL s’est toujours montrée très vigilante sur les mesures prises par le responsable de traitement pour la sécurité et la confidentialité de ces données, comme en attestent par exemple ses avertissements publics prononcés à l’encontre de deux grandes enseignes, pour la collecte et la conservation en clair des numéros de cartes bancaires et du cryptogramme206. 3.
Les données relatives aux mineurs
137. La loi pour une République numérique a modifié l’article 40 de la loi « Informatique et Libertés » pour y introduire un droit à l’effacement spécifique, au bénéfice des personnes mineures, étant précisé que le RGPD aborde également le droit à l’effacement à l’article 17. En pratique, les traitements de données mis en œuvre par les banques comme ceux réalisés par les entreprises d’assurance restent sous la responsabilité des représentants légaux des mineurs concernés et cela conditionne notamment la licéité de la collecte des données, ainsi que le recueil du consentement. 4.
Les données des personnes décédées
138. L’article 63 de la loi pour une République numérique a consacré la « mort numérique »207, principe qui figure désormais à l’article 40-1 de la loi « Informatique et Libertés ». Cet article indique que « toute personne peut définir des directives relatives à la conservation, à l’effacement et à la communication de ses données à caractère personnel après son décès ». Ces directives peuvent être générales (pour l’ensemble des données à caractère personnel concernant 205. Article 5 de la délibération n° 2013-358 du 14 novembre 2013, préc. 206. Délibération de la formation restreinte n° 2012-214 du 19 juillet 2012 portant avertissement à l’encontre de la société Fnac Direct ; Délibération de la formation restreinte n° 2016-265 du 20 septembre 2016 prononçant un avertissement public à l’encontre de la société CDiscount. 207. Contrairement à l’arrêt rendu par le Conseil d’État en date du 8 juin 2016, n° 386525.
82 | B anque
et
a ssurance
digitales
le défunt) et pourront être enregistrées chez un tiers de confiance. Elles peuvent être particulières (pour des traitements spécifiquement mentionnés dans ces directives) et sont enregistrées auprès des responsables de traitement concernés. Pour les directives particulières, le consentement spécifique de la personne est requis et elles ne peuvent résulter de la seule approbation des conditions générales d’utilisation. Ces directives sont modifiables et révocables à tout moment. L’objectif est bien de permettre d’exécuter la volonté du défunt quant au sort de ses données. Les directives permettent de désigner une personne chargée de leur exécution. À défaut de désignation, les héritiers ont qualité pour prendre connaissance des directives et demander leur mise en œuvre aux responsables de traitement concernés. En l’absence de directives ou de mention contraire dans lesdites directives, l’accès aux données du défunt est possible, dans la mesure nécessaire « à l’organisation et au règlement de la succession du défunt » et « à la prise en compte, par les responsables de traitement, de son décès ». Dès lors, la gestion des données relatives aux clients nécessite de prendre en compte les directives susceptibles d’avoir été enregistrées avant le décès. Des procédures adaptées doivent être mises en place afin de prendre acte des directives. B.
Les identifiants numériques
139. L’identité numérique repose sur un ensemble d’informations dont certaines sont assimilées à des données à caractère personnel en ce qu’elles permettent d’identifier indirectement une personne. Plusieurs types d’identifiants numériques peuvent être listés telles les informations communiquées pour la création d’un compte en ligne, le login/mot de passe, les certificats électroniques d’authentification et de signature électronique, etc. Mais la protection intéresse aussi les traces laissées par l’utilisateur de services de communication en ligne, des questionnements particuliers ayant été soulevés par l’adresse IP (1) et par les témoins de connexion (2). 1.
L’adresse IP
140. « Une adresse IP (Internet Protocol) est un identifiant numérique unique qui est nécessaire à tout dispositif qui se connecte à l’Internet. Il est attribué par les fournisseurs d’accès Internet et par les gestionnaires de réseaux locaux. Ceux-ci peuvent, par des moyens raisonnables, identifier les utilisateurs de l’Internet, car ils enregistrent systématiquement dans un fichier la date, l’heure, la durée et l’adresse IP dynamique de chaque connexion »208.
208. Parlement européen, Question parlementaire du 12 mars 2013 sur la définition de l’adresse IP.
la
protection des données à caractère personnel
| 83
L’adresse IP peut être statique (la même pour chaque connexion à Internet) ou dynamique (nouvelle adresse attribuée par un fournisseur d’accès à Internet à chaque fois que le terminal se connecte au réseau). Dès 2000, dans un avis sur le respect de la vie privée sur Internet209, le G29 a considéré que « les fournisseurs d’accès Internet et les gestionnaires des réseaux locaux peuvent, en utilisant des moyens raisonnables, identifier les utilisateurs Internet auxquels ils ont attribué des adresses IP, du fait qu’ils enregistrent systématiquement dans un fichier les date, heure, durée et adresse dynamique IP donnée à l’utilisateur Internet. Il en va de même pour les fournisseurs de services Internet qui conservent un fichierregistre sur le serveur HTTP. Dans ces cas, on peut parler, sans l’ombre d’un doute, de données à caractère personnel ». Dans un avis de 2007 sur le concept de données à caractère personnel210, pour l’adresse IP dynamique, le G29 a précisé « à moins que les fournisseurs d’accès Internet soient en mesure de déterminer avec une certitude absolue que les données correspondent à des utilisateurs non identifiables, par mesure sécurité, ils devront traiter toutes les informations IP comme des données à caractère personnel ». Pour autant, dans un premier temps, les décisions judiciaires n’ont pas suivi cette interprétation. Ainsi, la Cour d’appel de Paris, dans deux arrêts rendus les 27 avril et 15 mai 2007211, au sujet de téléchargements illégaux en « Peer to Peer », avait refusé de voir en l’adresse IP une donnée à caractère personnel dans la mesure où, pour la Cour, seul le terminal pouvait être identifié et non la personne utilisatrice. 141. En 2013, dans le cadre de sa sanction pécuniaire la plus élevée (150 000 euros) prononcée à l’encontre de la société Google212, la CNIL a tout de même retenu que la « qualification de données à caractère personnel peut ainsi s’appliquer non seulement à l’adresse IP et aux données collectées par le vecteur des cookies, mais également à tous les types d’identifiants uniques, tels que celui du terminal ou d’un composant du terminal de l’utilisateur, le résultat du calcul d’empreinte dans le cas du fingerprinting, ou encore l’identifiant généré par un logiciel ou un système d’exploitation ».
209. G29 [WP 37], « Le respect de la vie privée sur Internet – Une approche européenne intégrée sur la protection des données en ligne », adopté le 21 novembre 2000. 210. G29 – Avis n° 4/2007 sur le concept de données à caractère personnel [WP 136] adopté le 20 juin 2007, p. 18. 211. CA Paris, 27 avril 2007, n° 06/02334. Sur cet arrêt, v. F. Mattatia, « Internet face à la loi « Informatique et Libertés » : l’adresse IP est-elle une donnée à caractère personnel ? », Gaz. Pal. 2008, n° 13 à 15, p. 9. CA Paris, 15 mai 2007, 06/01954, Com. com. électr. 2007, comm. 144, obs. C. Caron. La cour a relevé que l’adresse IP est une série de chiffres qui « ne constitue en rien une donnée indirectement nominative relative à la personne dans la mesure où elle ne se rapporte qu’à une machine, et non à l’individu qui utilise l’ordinateur pour se livrer à la contrefaçon ». 212. Délibération n° 2013-420 de la formation restreinte prononçant une sanction pécuniaire à l’encontre de la société Google Inc.
84 | B anque
et
a ssurance
digitales
Cette position a enfin été consacrée par la jurisprudence européenne, puis en France. 142. La Cour de Justice européenne (CJUE) a été saisie d’une question préjudicielle par la Cour suprême allemande portant sur le fait de savoir si une adresse IP dynamique était une donnée à caractère personnel. Cette demande était présentée dans le cadre d’un litige opposant un internaute allemand à la République Fédérale d’Allemagne au sujet de l’enregistrement de son adresse IP sans son consentement lors de la consultation des différents sites institutionnels. Par un arrêt en date du 19 octobre 2016213, la CJUE conclut que « l’adresse IP d’un internaute enregistrée par un éditeur de site à l’occasion de la consultation du site par cette personne est une donnée à caractère personnel lorsque ledit éditeur dispose de moyens légaux lui permettant de faire identifier la personne concernée grâce aux informations supplémentaires dont dispose le fournisseur d’accès à Internet de cette personne ». 143. La Cour de cassation a indiqué dans un arrêt du 3 novembre 2016214 que « les adresses IP, qui permettent d’identifier indirectement une personne physique, sont des données à caractère personnel, de sorte que leur collecte constitue un traitement de données à caractère personnel et doit faire l’objet d’une déclaration préalable auprès de la CNIL ». 144. Ces arrêts anticipent la position prise par le RGPD selon laquelle l’adresse IP est un identifiant en ligne (au même titre que les cookies) et la combinaison des traces laissées sur l’Internet avec ces identifiants peut laisser des traces sur Internet et la combinaison des traces à des identifiants uniques et d’autres informations reçues par les serveurs peuvent « servir à créer des profils de personnes physiques et à identifier ces personnes »215. La définition nouvelle des données à caractère personnel, qui est posée par l’article 4, vise expressément la possibilité d’identifier une personne physique indirectement notamment « par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne ». 2.
Les témoins de connexion (cookies)
145. Un « témoin de connexion » est officiellement défini en France comme une « appliquette envoyée par un serveur de la toile mondiale à un utilisateur, parfois à l’insu de celui-ci, au cours d’une connexion afin de caractériser cet utilisateur.
213. CJUE, 19 oct. 2016, aff. C-582/14, N. Metallinos, « Statut de l’adresse IP - Arrêt Breyer : la Cour de Justice de l’Union européenne prône une approche réaliste », Com. com. électr. 2016, comm. 104. 214. Cass. civ. 1re, 3 nov. 2016, n° 15-22.595, publié au Bulletin. V. R. Perray, « L’adresse IP : (enfin !) une donnée personnelle pour la Cour de cassation », JCP éd. G, n° 49, 5 déc. 2016, 1310. 215. Considérant 30 du RGPD.
la
protection des données à caractère personnel
| 85
Par extension, information que l’appliquette peut enregistrer sur le disque de l’utilisateur et à laquelle le serveur peut accéder ultérieurement »216. Les témoins de connexion sont des technologies utilisées par différents acteurs du Web (moteurs de recherche, éditeurs de sites tels que les banques et les assurances, éditeurs de systèmes d’exploitation et d’applications, régies publicitaires, réseaux sociaux) qui permettent de tracer la navigation des internautes, de l’analyser ainsi que les déplacements, les consultations, les achats et plus globalement les habitudes en ligne de la personne. La prise en compte de ces « traceurs » par la réglementation sur les données à caractère personnel est issue de la transposition du « Paquet Télécom »217, ensemble de directives qui ont modifié la directive n° 2002/58/CE du 12 juillet 2002218 dite directive « vie privée et communications électroniques ». Cette réglementation leur est applicable car même si ces technologies ne sont pas, par nature, des données à caractère personnel, elles peuvent permettre d’y accéder et de les utiliser. 146. Dans sa recommandation sur les cookies de 2013219, la CNIL vise spécifiquement : les cookies http, les cookies « flash », les pixels invisibles ou Web bugs, les identifications par calcul d’empreinte du terminal connecté (« fingerprinting »), et tout autre identifiant généré par un logiciel ou un système d’exploitation. La CNIL utilise le terme cookie pour qualifier l’ensemble de ces « mouchards électroniques » qui permettent d’accéder à des informations qui sont stockées dans l’équipement terminal d’une personne utilisatrice d’un service de communications électroniques ou à inscrire des informations sur cet équipement. Concrètement, il s’agit des cookies qui sont déposés ou lus « lors de la consultation d’un site Internet, de la lecture d’un courrier électronique, de l’installation ou de l’utilisation d’un logiciel ou d’une application mobile, quel que
216. Définition France terme, ministère de la Culture et de la Communication, JO 16 mars 1999. 217. Directive n° 2009/136/CE du Parlement européen et du Conseil et directive n° 2009/140/CE du Parlement européen et du Conseil du 25 novembre 2009 modifiant les directives n° 2002/21/ CE relative à un cadre réglementaire commun pour les réseaux et services de communications électroniques, n° 2002/19/CE relative à l’accès aux réseaux de communications électroniques et aux ressources associées, ainsi qu’à leur interconnexion, et n° 2002/20/CE relative à l’autorisation des réseaux et services de communications électroniques, JOUE n° L. 337, 18 déc. 2009, p. 11 et p. 37 ; v. L. Rapp, op. cit. ; v. égal. F. Foster, « Le nouveau Paquet Télécom : instrument de l’intensification de la régulation sectorielle ? », Gaz. Pal. 24 avr. 2010, n° 114. 218. Directive n° 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (Directive « vie privée et communications électroniques »), JOUE n° L. 201, 31 juill. 2002, p. 37 ; v. N. Campagne, « Réalité et limites de la protection de la vie privée des entreprises », Revue Lamy droit de l’immatériel, n° 101, 1er févr. 2014 ; v. également G. Cordier, « Focus sur la directive n° 2009/136/CE du 25 novembre 2009 modifiant la directive n° 2002/58/CE concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques : optons pour une interprétation pragmatique de l’utilisation des cookies ? », Revue Lamy Droit de l’immatériel, n° 57. 219. Délibération n° 2013-378 du 5 décembre 2013 portant adoption d’une recommandation relative aux cookies et aux autres traceurs visés par l’article 32-II de la loi du 6 janvier 1978, JO 26 déc. 2013.
86 | B anque
et
a ssurance
digitales
soit le système d’exploitation, le navigateur ou le terminal utilisés (par exemple un ordinateur, une tablette, un ordiphone ou Smartphone, une télévision connectée, une console de jeux vidéo connectée au réseau Internet) ». La CNIL distingue deux catégories de cookies : ceux pour lesquels une simple information (néanmoins complète) est requise et ceux pour lesquels le consentement préalable est nécessaire préalablement à leur installation sur l’équipement terminal de la personne concernée ou leur lecture. L’article 32-II de la loi « Informatique et Libertés » pose un principe de transparence selon lequel : « l’abonné ou utilisateur d’un service de communications électroniques doit être informé de manière claire et complète, sauf s’il l’a été au préalable, par le responsable du traitement ou son représentant : – de la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement ; – des moyens dont il dispose pour s’y opposer ». 147. Les cookies, qui peuvent être déposés ou lus sous réserve d’en informer la personne concernée, sont ceux qui ont pour finalité exclusive de permettre ou faciliter la communication par voie électronique (cookie de session), les cookies de navigation strictement nécessaires à la fourniture d’un service expressément demandé par l’internaute (panier d’achat, par exemple). Certains cookies de mesure d’audience sont également visés. Le détail des conditions requises pour l’exemption de consentement préalable pour les cookies de mesure d’audience est donné par l’article 6 de la recommandation de la CNIL de 2013 précitée supra qui indique que la personne doit être informée de leur dépôt et de la façon de s’y opposer, étant précisé que le mécanisme d’opposition doit être « facilement utilisable sur l’ensemble des terminaux, des systèmes d’exploitation, des applications et des navigateurs Internet ». En outre, la finalité de ces mesures d’audience est strictement limitée et exclusive de toute possibilité de profilage. De fait, elles ne doivent pas permettre d’identifier l’internaute (portée limitée à un seul éditeur de site, pas de recoupement avec d’autres fichiers clients ou avec des statistiques d’autres sites, adresse IP limitée à la ville). Elles participent à la production de statistiques anonymes exclusivement. A contrario, plusieurs catégories de cookies ne peuvent pas être déposées ou lus tant que la personne n’a pas donné son consentement. Sont visés les cookies comportementaux liés aux opérations de publicité ciblée220, certains cookies de 220. V. chapitre II, section II - § 2. A : La constitution des fichiers de prospects. É. A. Caprioli, « Loi du 6 août 2004. Commerce à distance sur l’Internet et protection des données à caractère personnel », Com. com. électr. 2005, étude 7 et le numéro spécial de la revue Com. com. électr., févr. 2005 consacré à la loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel et modifiant la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ; E. Jouffin
la
protection des données à caractère personnel
| 87
mesure d’audience (ex. identification de l’internaute) telles les solutions « Analytics » (« Google Analytics » ou « Universal Analytics »). Sont également concernés les cookies des réseaux sociaux qui sont générés par les boutons de partage dès lors que ces derniers collectent des données personnelles. 3.
Les données pseudonymisées
148. En son considérant 26, le RGPD explicite qu’« il y a lieu d’appliquer les principes relatifs à la protection des données à toute information concernant une personne physique identifiée ou identifiable ». Cette dernière formule désigne les données pseudonymisées, étant entendu que la possibilité d’identifier une personne passe par la prise en compte de « l’ensemble des moyens raisonnablement susceptibles d’être utilisés par le responsable du traitement ou par toute autre personne pour identifier la personne physique directement ou indirectement, tels que le ciblage ». C’est ainsi que le règlement a pris en considération la généralisation des techniques de pseudonymisation qui entrent donc pleinement dans le périmètre réglementaire des données à caractère personnel. 149. L’utilité et parfois la nécessité même de la pseudonymisation des données – en tant que traitement permettant de ne pas divulguer l’identité et de la maintenir cachée – sont aisément identifiables dans le cadre de démarches ou d’opérations à but statistique ou en matière de e-santé et de recherche. Elle présente l’avantage remarquable d’assurer une sorte de confidentialité dans l’appréhension et la circulation de certaines catégories de données et d’en faciliter la collecte et le traitement. Compte tenu des enjeux, ce procédé a été défini dans le cadre de l’article 4, alinéa 5, du RGPD comme un « traitement de données à caractère personnel de telle façon que celles-ci ne puissent plus être attribuées à une personne concernée précise sans avoir recours à des informations supplémentaires, pour autant que ces informations supplémentaires soient conservées séparément et soumises à des mesures techniques et organisationnelles afin de garantir que les données à caractère personnel ne sont pas attribuées à une personne physique identifiée ou identifiable ». Contrairement à l’anonymisation, la possibilité d’une « ré-identification » de la personne, par l’utilisation d’« information additionnelle » n’est pas compromise, puisque, la pseudonymisation repose sur des mécanismes de « retraçage » « raisonnablement susceptibles d’être utilisés pour identifier une personne physique ». Ces mécanismes s’apprécient à la lumière d’un « ensemble de facteurs objectifs, tels que le coût de l’identification et le temps nécessaire à celle-ci, en tenant compte des technologies disponibles au moment du traitement et de l’évolution de celles-ci ». et X. Lemarteleur, « Un nouvel état de l’art pour les banques en matière de gestion de la relation clients/prospects ? », Banque & Droit, n° 146, nov.-déc. 2012, p. 16-23.
88 | B anque
et
a ssurance
digitales
Usuellement, et entre autres, il s’agira de la mise en correspondance de listes de pseudonymes et celles des identités réelles (ou tout autre procédé garantissant notamment le caractère aléatoire et imprévisible des choix de correspondance) ou bien des techniques sécurisées de cryptage/décryptage. Il convient de souligner que le processus de pseudonymisation est bien un traitement au sens de l’article 4, alinéa 2, du RGPD dans la mesure où des données personnelles ont bien été recueillies en amont pour ensuite devenir des données « pseudonymisées ». 150. Rappelons, par contraste, que si le processus d’anonymisation constitue bien un traitement au sens de l’article 4, alinéa 5, du RGPD – pour les mêmes raisons que celles précitées pour la pseudonymisation – une donnée anonyme (donc irréversible) ne constitue pas une donnée personnelle et n’entre pas dans le cadre du RGPD. Dès lors, une fois anonyme – c’est-à-dire transformée en « informations ne concernant pas une personne physique identifiée ou identifiable, ni aux données à caractère personnel rendues anonymes de telle manière que la personne concernée ne soit pas ou plus identifiable »221, la donnée peut être librement traitée. Ce n’est pas le cas de la donnée « pseudonymisée ». 151. La définition du RGPD situe donc la pseudonymisation comme une technique de sécurisation du traitement des données, au même titre que le chiffrement par exemple. Si le RGPD fait ouvertement la promotion du processus de pseudonymisation222 en relevant qu’elle « peut réduire les risques pour les personnes concernées et aider les responsables du traitement et les soustraitants à remplir leurs obligations en matière de protection des données », il indique également ne pas viser « à exclure toute autre mesure de protection des données ». § 3 – L’application des principes de protection aux services de banque et d’assurance en ligne A.
Le principe de finalité
152. La finalité d’un traitement est intrinsèquement liée à l’activité du responsable de traitement. Dès lors, même dans un contexte de rapprochement des activités bancaires et d’assurances, chaque traitement doit être appréhendé en fonction 221. Considérant 26 du RGPD. 222. V. en ce sens, notamment le considérant 29, qui indique : « Afin d’encourager la pseudonymisation dans le cadre du traitement des données à caractère personnel, des mesures de pseudonymisation devraient être possibles chez un même responsable du traitement, tout en permettant une analyse générale, lorsque celui-ci a pris les mesures techniques et organisationnelles nécessaires afin de garantir, pour le traitement concerné, que le présent règlement est mis en œuvre, et que les informations supplémentaires permettant d’attribuer les données à caractère personnel à une personne concernée précise soient conservées séparément. Le responsable du traitement qui traite les données à caractère personnel devrait indiquer les personnes autorisées à cet effet chez un même responsable du traitement ».
la
protection des données à caractère personnel
| 89
de sa finalité propre. En outre, le principe de finalité conditionne en amont celui de collecte loyale et licite qui est posé par l’article 6 de la loi « Informatique et Libertés ». Cet article impose, en effet, au responsable de traitement d’informer la personne préalablement à l’enregistrement et à l’utilisation de ses données. Le contenu de l’information est prévu par l’article 32 de la loi « Informatique et Libertés » et porte notamment sur l’identité de l’organisme qui réalise la collecte, les finalités poursuivies par le traitement, les destinataires des données, les droits reconnus à la personne et, le cas échéant, le transfert de données vers un État tiers (ne présentant pas un niveau de protection jugé suffisant par référence au droit de l’Union européenne). La loi du 7 octobre 2016 pour une République numérique a ajouté l’obligation d’informer la personne concernée par un traitement de son « droit de définir des directives relatives au sort de ses données à caractère personnel après sa mort »223 et « de la durée de conservation des catégories de données traitées ou, en cas d’impossibilité, des critères utilisés permettant de déterminer cette durée »224. 153. En application du principe de proportionnalité, les données collectées doivent être « adéquates, pertinentes et non excessives » par rapport aux objectifs poursuivis par le traitement. Par ailleurs, l’article 6-4° de la loi du 6 janvier 1978 modifiée impose que seules peuvent être collectées des données exactes et complètes. Le responsable de traitement doit ainsi veiller à ce que « les données inexactes ou incomplètes au regard des finalités pour lesquelles elles sont collectées ou traitées soient effacées ou rectifiées ». La CNIL s’est prononcée à différentes reprises en la matière. Ainsi, à titre d’exemple, la CNIL a émis un avertissement à l’encontre d’un établissement bancaire225 qui avait manqué à son obligation de mettre à jour les données de ses clients, en maintenant l’inscription de personnes au Fichier national des incidents de remboursement des crédits aux particuliers (FICP), plusieurs mois après la régularisation de leur incident de paiement. Il ne s’agit pas d’un cas unique, la CNIL ayant également pu sanctionner une autre banque pour avoir notamment inscrit sur ce même fichier une personne sans respecter les délais impartis par l’arrêté, cette situation conduisant « à la persistance d’informations inexactes et en tout état de cause non mises à jour »226. Enfin, suite à des dysfonctionnements de son application informatique, une société spécialisée dans les prestations de télécommunications par fibre optique avait identifié, à tort, un abonné comme étant titulaire de nombreuses adresses IP à l’origine de téléchargements illégaux et avait communiqué par erreur son identité à la Hadopi et aux services de police 223. Art. 63 de la loi pour une République numérique – Art. 32-6° de la loi « Informatique et Libertés » modifiée. 224. Art. 57 de la loi pour une République numérique – Art. 32-8° de la loi « Informatique et Libertés » modifiée. 225. Délibération de la formation restreinte n° 2014-299 du 7 août 2014 prononçant un avertissement à l’encontre de la société CA Consumer Finance (Crédit Agricole). 226. Délibération de la formation restreinte n° 2013-173 du 19 juin 2013 BNP Paribas [Avertissement public]. V. X. Delpech, « Radiation tardive du fichier des incidents de remboursement des crédits, avertissement de la CNIL », Dalloz Actualité, 16 juill. 2013. V. également Lamy droit du numérique (Guide), sous la direction de L. Costes, 2016, n° 4293 : « Durant quelle période un responsable de traitement peut-il ou doit-il conserver les données à caractère personnel ».
90 | B anque
et
a ssurance
digitales
et de gendarmerie. La CNIL a prononcé un avertissement à l’encontre de cette société, spécialement pour manquement à l’obligation de veiller à l’exactitude des données à caractère personnel de ses abonnés. La Commission indique que l’article 6-4° de la loi du 6 janvier 1978 modifiée « consiste sans ambiguïté en une obligation de résultat en ce qu’il impose au responsable de traitement de garantir l’exactitude des données à caractère personnel qu’il traite en prenant toutes les mesures utiles afin de rectifier ou d’effacer les données inexactes ». 154. Les données doivent être collectées pour des « finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités ». Concrètement, dans le secteur bancaire et dans le secteur des assurances, les finalités qui fondent la mise en œuvre des traitements de données personnelles relatives à la clientèle sont de différents ordres tels que la lutte contre le blanchiment, la lutte contre la fraude, la gestion de la relation clients, la réalisation d’études statistiques, le profilage, etc. Le manquement à cette obligation est passible des sanctions prévues au titre du détournement de finalité par l’article 226-21 du Code pénal ou d’une sanction administrative. 155. Les traitements de données doivent être licites, c’est-à-dire qu’ils doivent être fondés sur le consentement de la personne concernée, ou le respect d’une obligation légale incombant au responsable de traitement, ou l’exécution d’un contrat auquel la personne concernée est partie ou de mesures précontractuelles prises à la demande de celle-ci, ou la réalisation de l’intérêt légitime poursuivi par le responsable du traitement ou par le destinataire, sous réserve de ne pas méconnaître l’intérêt ou les droits et libertés fondamentaux de la personne concernée. 156. En ce qui concerne le consentement préalable de la personne, ce fondement peut être cumulé avec d’autres (c’est par exemple le cas de la prospection réalisée par voie électronique), obligatoire dans certains cas (pour le traitement des données « sensibles »). Il est défini par l’article 2-h) de la directive n° 95/46/CE comme étant « toute manifestation de volonté, libre, spécifique et informée par laquelle la personne concernée accepte que des données à caractère personnel la concernant fassent l’objet d’un traitement ». Cette définition n’a pas été reprise par la loi « Informatique et Libertés ». En 2011, le G29 a publié un avis relatif à la définition du consentement227 permettant d’envisager différentes situations concrètes. 157. L’article 4 § 11 du RGPD définit le consentement de la personne concernée comme « toute manifestation de volonté, libre, spécifique, éclairée » étant noté que la définition impose que le consentement soit « univoque » et manifesté par « une déclaration ou par un acte positif clair ». Ainsi, « le consentement devrait être donné par un acte positif clair par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque 227. G29 Avis n° 15/2011 [WP187] sur la définition du consentement, adopté le 13 juillet 2011.
la
protection des données à caractère personnel
| 91
son accord au traitement des données à caractère personnel la concernant, par exemple au moyen d’une déclaration écrite, y compris par voie électronique, ou d’une déclaration orale. Cela pourrait se faire notamment en cochant une case lors de la consultation d’un site Internet, en optant pour certains paramètres techniques pour des services de la société de l’information ou au moyen d’une autre déclaration ou d’un autre comportement indiquant clairement dans ce contexte que la personne concernée accepte le traitement proposé de ses données à caractère personnel. Il ne saurait dès lors y avoir de consentement en cas de silence, de cases cochées par défaut ou d’inactivité. Le consentement donné devrait valoir pour toutes les activités de traitement ayant la ou les mêmes finalités. Lorsque le traitement a plusieurs finalités, le consentement devrait être donné pour l’ensemble d’entre elles. Si le consentement de la personne concernée est donné à la suite d’une demande introduite par voie électronique, cette demande doit être claire et concise et ne doit pas inutilement perturber l’utilisation du service pour lequel il est accordé »228. 158. L’article 7 du RGPD pose des conditions pour la validité du consentement obtenu. Le recueil du consentement est nécessairement spécifique et doit être présenté de façon distincte sur tout support écrit. Un consentement global (dilué dans des conditions générales d’utilisation, par exemple) n’est pas valable. De plus, lorsque le traitement est basé sur le consentement, le responsable de traitement doit pouvoir prouver que la personne a consenti au traitement de ses données, ce qui impose de garder des traces de ce consentement. Le responsable est tenu de conserver la preuve du consentement et de son retrait. Par ailleurs, le consentement peut être retiré à tout moment, mais ne doit pas affecter la licéité du traitement rétroactivement. Le contexte du recueil du consentement est important dans la mesure où il sert à vérifier que le consentement est donné librement, en particulier s’il conditionne un contrat alors même que les données ne sont pas nécessaires à son application. L’article 8 du RGPD aménage les conditions applicables au consentement des enfants dans le cadre des services de la société de l’information (les réseaux sociaux étant visés). 159. La CNIL a sanctionné des sociétés pour ne pas avoir obtenu l’accord préalable des personnes concernées notamment en matière de dépôt de cookies. Tel a été l’objectif de la sanction pécuniaire de 30 000 € prononcée à l’encontre d’une société de vente en ligne229 pour ne pas avoir informé correctement les internautes (le bandeau d’information relatif aux cookies étant rédigé de telle sorte qu’il n’informait pas les utilisateurs de leur possibilité de paramétrer le dépôt de cookies) et pour avoir déposé des cookies ayant des finalités publicitaires
228. Considérant 32 du RGPD. 229. Délibération de la formation restreinte n° 2016-204 du 7 juillet 2016 prononçant une sanction pécuniaire à l’encontre de la société Brandalley. V. « La société Brandalley sanctionnée par la CNIL », Revue Lamy Droit de l’immatériel, n° 129, 1er août 2016.
92 | B anque
et
a ssurance
digitales
dès l’arrivée des internautes sur la page d’accueil du site, sans recueil préalable de leur consentement. 160. En ce qui concerne le respect d’une obligation légale incombant au responsable de traitement, c’est sur ce fondement, par exemple, que les traitements de lutte contre le blanchiment230 peuvent être mis en œuvre par les banques et les assurances. 161. L’exécution d’un contrat auquel la personne concernée est partie ou de mesures précontractuelles prises à la demande de celle-ci constitue le fondement permettant de légitimer les traitements liés à la gestion de clients. 162. En ce qui concerne la réalisation de l’intérêt légitime poursuivi par le responsable du traitement ou par le destinataire, sous réserve de ne pas méconnaître l’intérêt ou les droits et libertés fondamentaux de la personne concernée. Ce fondement est invoqué dans certaines situations (par exemple pour le marketing ou les traitements statistiques). Comme l’indique le RGPD : « le traitement de données à caractère personnel strictement nécessaire à des fins de prévention de la fraude constitue également un intérêt légitime du responsable du traitement concerné. Le traitement de données à caractère personnel à des fins de prospection peut être considéré comme étant réalisé pour répondre à un intérêt légitime »231. B.
L’accomplissement des formalités déclaratives
1.
Les principes du contrôle a priori de la CNIL
163. Préalablement à tout traitement de données à caractère personnel, il est obligatoire d’accomplir des formalités déclaratives auprès de la CNIL. Le régime applicable dépend de la nature des données concernées (données courantes, données « sensibles ») et de la finalité poursuivie. Le non-respect, y compris par négligence, des formalités préalables est passible de sanctions prévues à l’article 226-16 du Code pénal (pour les déclarations et demandes d’autorisation) et à l’article 226-16-1 du Code pénal (pour les normes simplifiées ou les dispenses). À titre indicatif, dans un arrêt de 2015, la Cour de cassation a estimé que l’obligation de déclaration s’appliquait « sans qu’il soit besoin d’atteindre un certain seuil de données traitées »232, le défaut de déclaration portant sur la 230. CMF, art. L. 561-5-1 : « Avant d’entrer en relation d’affaires, les personnes mentionnées à l’article L. 561-2 recueillent les informations relatives à l’objet et à la nature de cette relation et tout autre élément d’information pertinent. Elles actualisent ces informations pendant toute la durée de la relation d’affaires. Les modalités d’application de cet article sont précisées par décret en Conseil d’État ». 231. Considérant 47 du RGPD. 232. Cass. crim., 8 septembre 2015, n° 13-85.587, Juris-Data n° 2015-020516. Sur cet arrêt : « Les traitements de données à caractère personnel doivent être déclarés à la CNIL, peu important le faible nombre de données concernées », Liaisons sociales Quotidien – Le dossier jurisprudence hebdo, n° 174/2015.
la
protection des données à caractère personnel
| 93
création d’un seul fichier de données personnelles (en l’occurrence deux notes internes portant sur une seule personne) accessible à des tiers. 164. En outre, le défaut de déclaration d’un traitement a servi de fondement à de nombreuses décisions judiciaires, dans des contentieux de droit social, permettant au juge d’invalider le licenciement prononcé sur la base d’un dispositif illicite. À titre d’exemple, dès 2004, la Cour de cassation a dû se prononcer sur le licenciement d’un salarié ayant refusé à plusieurs reprises d’utiliser son badge d’entrée. La Cour a admis que le licenciement était sans cause réelle et sérieuse et souligne « qu’à défaut de déclaration à la Commission nationale de l’informatique et des libertés d’un traitement automatisé d’informations nominatives concernant un salarié, son refus de déférer à une exigence de son employeur impliquant la mise en œuvre d’un tel traitement ne peut lui être reproché »233. Pour certaines catégories de données, l’autorisation préalable de la CNIL est obligatoirement requise conformément aux dispositions de l’article 25 de la loi « Informatique et Libertés ». Tel est le cas, particulièrement, des données relatives à la santé, des données couvertes par l’article 9 de la loi, du numéro de sécurité sociale (NIR) et des données biométriques. 165. Le responsable de traitement est tenu d’obtenir l’autorisation de la CNIL en raison de la finalité des traitements concernés. Sont spécifiquement visés : – « les traitements automatisés susceptibles, du fait de leur nature, de leur portée ou de leurs finalités, d’exclure des personnes du bénéfice d’un droit, d’une prestation ou d’un contrat en l’absence de toute disposition législative ou réglementaire 234 ; – les traitements ayant pour objet « l’interconnexion de fichiers (…) et dont les finalités principales sont différentes235 ». 2.
Les formalités CNIL pour le secteur des assurances
166. Pour le secteur des assurances, la CNIL a adopté un « Pack de conformité Assurance » qui a été finalisé en 2014. Ce Pack constitue un référentiel à destination des professionnels du secteur de l’assurance (sociétés anonymes d’assurance, sociétés d’assurance mutuelle, mutuelles relevant du code de la mutualité, institutions de prévoyance), destiné à simplifier les formalités à accomplir tout en tenant compte de la réalité des traitements de données à caractère personnel mis en œuvre dans ce secteur. 233. Cass. soc., 6 avr. 2004, n° 01-45.227, Juris-Data n° 2004-023267. Sur le sujet : « La surveillance de l’activité des salariés », Liaisons sociales Quotidien – Le dossier pratique, n° 223/2014, 10 déc. 2014. Sur le sujet : F.-J. Pansier, « Vie privée, téléphone et informatique », Les Cahiers Sociaux, 1er juill. 2004, n° 162. V. également : L. Dusseau, S. Charbit, « Responsabilité pénale et Droit du travail », Les Cahiers Sociaux, 1er juill. 2004, n° 4. 234. Art. 25-I-4° de la loi « Informatique et Libertés ». 235. Art. 25-I-5° de la loi « Informatique et Libertés ».
94 | B anque
et
a ssurance
digitales
Ce Pack comporte deux normes simplifiées et trois autorisations uniques. Aux termes de l’article 24-I, les normes simplifiées, qui concernent des données courantes des traitements dont la mise en œuvre n’est pas susceptible de porter atteinte à la vie privée, doivent préciser : « 1° Les finalités des traitements faisant l’objet d’une déclaration simplifiée ; 2° Les données à caractère personnel ou catégories de données à caractère personnel traitées ; 3° La ou les catégories de personnes concernées ; 4° Les destinataires ou catégories de destinataires auxquels les données à caractère personnel sont communiquées ; 5° La durée de conservation des données à caractère personnel ». Les autorisations uniques relèvent de l’article 25-II selon lequel la CNIL peut autoriser, sur décision unique, les traitements ayant les mêmes finalités, portant sur des catégories de données identiques et ayant les mêmes catégories de destinataires. Concrètement, le Pack de conformité Assurance comporte : – la Norme simplifiée n° 16236 qui concerne les traitements automatisés de données à caractère personnel ayant pour finalités la passation, la gestion et l’exécution des contrats mis en œuvre par les organismes d’assurance, de capitalisation, de réassurance, d’assistance et par leurs intermédiaires ; – la Norme simplifiée n° 56237 qui concerne les traitements automatisés de données à caractère personnel ayant pour finalités la gestion commerciale de clients et de prospects mis en œuvre par les organismes d’assurance, de capitalisation, de réassurance, d’assistance et par les intermédiaires d’assurance ; – l’Autorisation unique n° AU-031238 qui concerne les traitements de données à caractère personnel relatifs à la consultation du Répertoire national d’identification des personnes physiques (RNIPP) et à l’utilisation du Numéro d’inscription au répertoire (NIR) mis en œuvre
236. Délibération n° 2013-212 du 11 juillet 2013 concernant les traitements automatisés de données à caractère personnel relatifs à la passation, la gestion et l’exécution des contrats mis en œuvre par les organismes d’assurance, de capitalisation, de réassurance, d’assistance et par leurs intermédiaires. 237. Délibération n° 2013-213 du 11 juillet 2013 portant création d’une norme simplifiée concernant les traitements automatisés de données à caractère personnel relatifs à la gestion commerciale de clients et de prospects mis en œuvre par les organismes d’assurance, de capitalisation, de réassurance, d’assistance et par les intermédiaires d’assurance. 238. Délibération n° 2014-014 du 23 janvier 2014 portant création d’une autorisation unique concernant les traitements de données à caractère personnel relatifs à la consultation du répertoire national d’identification des personnes physiques (RNIPP) et à l’utilisation du numéro d’inscription au répertoire (NIR) mis en œuvre par les organismes d’assurance, de capitalisation, de réassurance, d’assistance, les intermédiaires d’assurance et par l’AGIRA.
la
protection des données à caractère personnel
| 95
par les organismes d’assurance, de capitalisation, de réassurance, d’assistance, les intermédiaires d’assurance et par l’AGIRA ; – l’Autorisation unique n° AU-032239 qui concerne les traitements de données à caractère personnel relatifs aux infractions, condamnations ou mesures de sûretés mis en œuvre par les organismes d’assurance, de capitalisation, de réassurance, d’assistance, les intermédiaires d’assurance et par l’AGIRA ; – l’Autorisation unique n° AU-039240 qui concerne les traitements de données à caractère personnel ayant pour finalité la lutte contre la fraude à l’assurance mis en œuvre par les organismes d’assurance, de capitalisation, de réassurance, d’assistance et par les intermédiaires d’assurance. En 2016, les organismes d’assurance doivent avoir procédé à un engagement de conformité au Pack de conformité Assurance, sous réserve que les traitements concernés correspondent strictement aux standards qui y figurent. Les avantages du Pack sont considérables dans la mesure où il permet d’intégrer l’ensemble des traitements mis en œuvre pour cette activité. Son intérêt réside également dans la prise en compte de l’environnement digital et des évolutions y afférentes. 167. L’article 10 de la NS-16 sur la passation, la gestion et l’exécution des contrats permet d’intégrer l’utilisation des sites Internet par les entreprises d’assurances. Il est effectivement prévu que la norme s’applique « également dans le cas où le responsable de traitement utilise un service de communications en ligne », pour l’ensemble des finalités visées (passation et gestion des contrats, réalisation de statistiques et études actuarielles, exercice des recours et gestion des réclamations et des contentieux, exécution des dispositions légales). La norme précise que les données de connexion (date et heure de connexion, adresse IP de l’équipement utilisé pour se connecter, URL de la page visitée) des internautes qui se sont connectés au site de l’assureur « pourront être exploitées à des fins de mesure d’audience et d’assistance technique », sous réserve d’une information claire et complète de l’internaute et « qu’elles ne soient pas recoupées avec d’autres traitements tels que les fichiers clients ». 168. L’article 7 de la NS-56 sur la gestion commerciale de clients et de prospects comporte également des dispositions applicables au site Internet des assureurs permettant de réaliser en ligne les finalités de prospection commerciale. Dans ce contexte, il est prévu que les données de connexion puissent être utilisées dans les mêmes conditions que celles posées par la NS-16. Les conditions d’installation et 239. Délibération n° 2014-015 du 23 janvier 2014 portant création d’une autorisation unique concernant les traitements de données à caractère personnel relatifs aux infractions, condamnations ou mesures de sûretés mis en œuvre par les organismes d’assurance, de capitalisation, de réassurance, d’assistance, les intermédiaires d’assurance et par l’AGIRA. 240. Délibération n° 2014-312 du 17 juillet 2014 portant autorisation unique de traitements de données à caractère personnel ayant pour finalité la lutte contre la fraude à l’assurance mis en œuvre par les organismes d’assurance, de capitalisation, de réassurance, d’assistance et par les intermédiaires d’assurance.
96 | B anque
et
a ssurance
digitales
de récupération des témoins de connexion (cookies) sont détaillées, en particulier concernant l’exercice du droit d’opposition à l’analyse de la navigation de l’internaute. 169. L’autorisation unique portant sur l’utilisation du NIR (AU-031) prévoit pour les mesures liées à la base AGIRA241, « une authentification mutuelle du système hébergeant le traitement et l’utilisateur » via des certificats délivrés par le Réseau d’accès aux données de l’assurance et de la messagerie sécurisée (RADAMESS), étant ajouté que « l’identification des machines connectées au traitement est également faite par des certificats de même nature ». À l’instar de ce référentiel, en ce qui concerne les autorisations uniques pour la collecte des données d’infractions, de condamnations ou des mesures de sûreté (AU-032) et pour la lutte contre la fraude (AU-39), c’est surtout la sécurité des données qui est concernée par la prise en compte des développements technologiques242. 3.
Les formalités CNIL pour le secteur bancaire
170. En l’absence de pack de conformité bancaire, chaque traitement doit être appréhendé en fonction des finalités poursuivies et des catégories de données collectées et traitées. Certaines simplifications sont applicables (v. tableau infra sur les traitements du secteur banque et finances), mais aucune référence n’est dédiée à l’utilisation d’un service de communication au public et chaque établissement doit définir comment déclarer ses services de banque en ligne. En tout état de cause, les normes simplifiées prévues pour la gestion des comptes clients ne correspondent pas à l’actualité des activités des banques qui ont dû très largement procéder à des déclarations normales auprès de la CNIL. Les traitements de lutte contre la fraude, quant à eux, ont fait l’objet de demandes d’autorisations spécifiques par établissement. BANQUE ET FINANCE – Dispense Dispense n° 9 – Dispense de déclaration de certains traitements automatisés de données personnelles ayant pour finalité la tenue, l’utilisation et la communication des listes d’initiés – Délibération n° 2006-186 du 6 juillet 2006 (JO 4 août 2006). Les traitements doivent avoir exclusivement pour finalité l’établissement, la mise à jour, l’utilisation et la communication des listes d’initiés dans les conditions fixées à l’article L. 621-18-4 du Code monétaire et financier. Sont exclus du champ d’application de la dispense : les traitements ayant également pour finalité la recherche des opérations suspectes définie à l’article L. 621-17-2 du Code monétaire et financier, les traitements qui ont recours à des moyens informatiques situés dans des pays tiers.
.../... 241. Association pour la gestion des informations sur le risque en assurance (AGIRA) autorisée par la CNIL (Délibération n° 2008-579, 18 déc. 2008) à traiter les données à caractère personnel relatives aux décès transmises par l’INSEE pour le compte des organismes d’assurance, dans le cadre des traitements mis en œuvre aux fins de recherche des assurés et des bénéficiaires de contrats d’assurance sur la vie décédés. Le système permet ainsi aux organismes d’assurance membres de l’AGIRA, d’interroger le responsable de traitement (AGIRA), pour consulter le fichier. 242. V. infra, partie I, chapitre II, section I - § 3. C.
la
protection des données à caractère personnel
| 97
.../... BANQUE ET FINANCE – Normes simplifiées
– Norme simplifiée n° 12 du 19 août 1980 relative à la tenue des comptes de la
clientèle et le traitement des informations s’y rattachant par les établissements bancaires et assimilés. – Norme simplifiée n° 13 du 8 juillet 1980, modifiée le 30 avril 1985 et le 5 juillet 1988, relative à la gestion des crédits et des prêts aux personnes physiques. – Norme simplifiée n° 41 du 9 septembre 1997 concernant les traitements relatifs aux instruments financiers. Ces normes sont obsolètes et ne correspondent plus aux activités bancaires. BANQUE ET FINANCE – Autorisations uniques Autorisation unique [AU-003] pour certains traitements de données à caractère personnel mis en œuvre dans des organismes financiers au titre de la lutte contre le blanchiment de capitaux et le financement du terrorisme. Délibération n° 2005-297 du 1er décembre 2005 (JO 31 mars 2006). Délibération n° 2011-180 du 16 juin 2011 (JO 7 juill. 2011). Autorisation unique également applicable au secteur des assurances. Autorisation unique [AU-005] pour certains traitements de données à caractère personnel mis en œuvre par les établissements de crédit pour aider à l’évaluation et à la sélection des risques en matière d’octroi de crédit. Délibération n° 2006-019 du 2 février 2006 (JO 23 mars 2006). Délibération n° 2008-198 du 9 juillet 2008 (JO 5 août 2008). Sont visés par cette autorisation unique « les traitements automatisés relatifs à l’élaboration, à l’actualisation et à l’utilisation de systèmes de score ». Ces traitements peuvent être confiés dans des conditions précises à des prestataires externes. Les données traitées, les destinataires de ces données et leur durée d’utilisation et de conservation sont également strictement limités. Autorisation unique [AU-046] pour les traitements de données à caractère personnel mis en œuvre par les organismes publics et privés pour la préparation, l’exercice et le suivi de leurs contentieux ainsi que l’exécution des décisions rendues. Délibération n° 2016-005 du 14 janvier 2016 (JO 12 févr. 2016). Cette norme n’est pas spécifique au secteur bancaire.
C.
La sécurité des données
171. L’article 34 de la loi « Informatique et Libertés » impose aux responsables de traitement de prendre « toutes précautions utiles afin de préserver la sécurité des données » et d’empêcher « qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès ». La règle posée est que le niveau de sécurité doit être déterminé compte tenu des risques présentés par le traitement et de la nature des données243. L’obligation de sécurité à laquelle est tenu le responsable de traitement est une obligation de moyen renforcée. En cas de manquement à son obligation de sécurité et de confidentialité des données à caractère personnel, le responsable 243. É. A. Caprioli et I. Cantero, « Quelle sécurité de l’information en matière de protection des données personnelles ? », MagSecurs n° 51, 3e trimestre 2016, p. 17 et s.
98 | B anque
et
a ssurance
digitales
de traitement encourt des sanctions pénales prévues par l’article 226-17 du Code pénal (5 ans d’emprisonnement et jusqu’à 300 000 euros d’amende) et/ou de sanctions administratives (sanction pécuniaire jusqu’à 3 millions d’euros). 172. Comme en attestent les diverses sanctions publiques de la CNIL (avertissement, sanction pécuniaire), la Commission vérifie quasi-systématiquement les mesures prises par le responsable de traitement lors de ces contrôles et n’hésite pas à réprimer les manquements. À titre d’illustration, en 2014, la CNIL a prononcé un avertissement public à l’encontre d’une société de crédit aux particuliers244 pour avoir manqué à son obligation d’assurer la sécurité et la confidentialité des données de ses clients conformément à l’article 34 de la loi « Informatique et Libertés ». En l’espèce, deux clients de la société avaient reçu des documents confidentiels contenant des données nominatives relatives à des tiers, et la CNIL a considéré que « la société ne saurait s’exonérer de sa responsabilité en se retranchant derrière des erreurs humaines ». Au fil de ses sanctions, la CNIL a même précisé « l’état de l’art » au niveau des mesures de sécurité attendues des responsables de traitement. Tel est le cas, par exemple de la sanction pécuniaire de 10 000 euros infligée par la CNIL245 à une société pour ne pas avoir suffisamment sécurisé l’accès à des dispositifs de vidéosurveillance (mots de passe brefs, déductibles et non renouvelés depuis 2011 pour certains) mais également pour ne pas avoir adopté et mis en place une politique de sécurité. Cette délibération a été confirmée par le Conseil d’État246. 173. L’article 35 de la loi « Informatique et Libertés » étend l’obligation de sécurité au sous-traitant, étant rappelé que ce dernier ne dispose pas en principe d’autonomie sur la gestion des traitements qui lui sont confiés par le responsable. Il est réputé agir sous ses instructions, mais cela n’exonère en rien le responsable de traitement de son obligation de sécurité et de confidentialité des données. C’est cette position qu’a confirmée la CNIL dans un avertissement public de 2014 faisant suite à la notification d’une fuite de données personnelles. À l’issue de son contrôle, la CNIL a en effet constaté que les mesures de sécurité techniques et opérationnelles n’avaient pas été suffisantes et elle a retenu que le responsable « ne saurait minimiser sa responsabilité par le recours à plusieurs prestataires »247. La CNIL a même spécifiquement sanctionné l’existence d’un 244. Délibération de la formation restreinte n° 2014-299 du 7 août 2014 prononçant un avertissement à l’encontre de la société CA Consumer Finance (Crédit Agricole), v. notamment le commentaire A. Debet, « Le responsable de traitement est tenu d’une obligation de résultat s’agissant de l’exactitude des données », Com. com. électr. 2016, comm. 44. 245. Délibération de la formation restreinte n° 2013-139 du 30 mai 2013 SAS Professional Service Consulting dite PS Consulting. Sur la doctrine de la CNIL sur le sujet, v. A. Debet, « La biométrie inopposable au fonctionnaire en l’absence d’une information individuelle », Com. com. électr. 2014, comm. 89. 246. CE, 18 nov. 2015, n° 371196 : v. le commentaire de A. Debet, « Des précisions sur le cadre juridique des contrôles et des sanctions prononcées par la CNIL », Com. com. électr. 2016, comm. 16. 247. Délibération de la formation restreinte n° 2014-298 du 7 août 2014 prononçant un avertissement à l’encontre de la société Orange, Juris-Data n° 2014-019919. Le Conseil
la
protection des données à caractère personnel
| 99
manquement à l’obligation d’assurer la sécurité et la confidentialité des données gérées par un sous-traitant en adoptant une sanction pécuniaire de 50 000 euros aux motifs que le contrat conclu entre la société, responsable de traitement et son sous-traitant, « ne comportait aucune clause relative à la sécurité et à la confidentialité des données. Il a été enjoint à la société de prévoir une clause définissant les obligations de son prestataire en la matière et précisant que ce prestataire ne pouvait agir que sur son instruction »248. Pour le secteur bancaire comme pour celui des assurances, les mesures de sécurité techniques et organisationnelles doivent s’appuyer sur les référentiels de sécurité proposés par l’Agence nationale de la sécurité des systèmes d’information (ANSSI), les normes de la famille ISO/IEC 27000 et les standards PCI DSS249. Pour rappel, la transmission des données bancaires doit répondre aux exigences de normes ISO spécifiques et, entre autres, la norme ISO 20022 sur les services financiers. La généralisation des services en ligne positionne la sécurité et la confidentialité en amont des traitements de données et pendant tout le cycle de vie des données personnelles. En outre, dans un environnement digital, la maîtrise des risques numériques tend à transformer l’obligation de sécurité des responsables de traitement et des sous-traitants en une obligation de résultat. D.
Durée de conservation des données
174. L’article 6-5° de la loi « Informatique et Libertés » impose que les données à caractère personnel soient conservées sous une forme permettant l’identification des personnes concernées pour une durée limitée, c’est-à-dire « qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées ». Un prolongement de la durée de conservation est autorisé lorsqu’elle est effectuée « à des fins historiques, statistiques ou scientifiques dans les conditions prévues par la loi ».
d’État a confirmé la délibération de la CNIL par une décision en date du 30 décembre 2015 (n° 385019, publié au Recueil Lebon, Juris-Data n° 2015-029454. Le Conseil d’État relève que « la seule mention, dans le contrat liant la société Orange à son prestataire (…) d’une obligation de sécurité mise à la charge de [ce dernier] et de ses sous-traitants ne dispensait pas la société Orange de prendre des mesures destinées à s’assurer elle-même que la sécurité de ses données était préservée ». Or, il est avéré que Orange n’a « pas fait procéder à un audit de sécurité sur l’application qui avait été spécialement définie pour la prospection commerciale de ses clients », n’a « pas utilisé des moyens de communication sécurisés pour transférer à ses prestataires des données à caractère personnel », n’a « pas veillé à ce que les consignes de sécurité prévues contractuellement avec son prestataire soient portées à la connaissance du prestataire secondaire ». 248. Délibération de la formation restreinte n° 2015-379 du 5 novembre 2015 prononçant une sanction pécuniaire à l’encontre de la société Optical Center. 249. Payment Card Industry Data Security Standard.
100 | B anque
et
a ssurance
digitales
Cette limitation, déjà présente au sein de la directive n° 95/46/CE, a été conservée par le RGPD. En effet, le RGPD rappelle dans son considérant 39 que les données à caractère personnel devraient être adéquates, pertinentes et limitées à ce qui est nécessaire pour les finalités pour lesquelles elles sont traitées et que pour ce faire, il est nécessaire que la durée de conservation des données soit limitée au strict minimum. 175. Si la loi « Informatique et Libertés » n’imposait pas d’information spécifique sur la durée de conservation des données, cette exigence a été récemment ajoutée par le biais de la loi du 7 octobre 2016 pour une République numérique, qui a modifié l’article 32 et anticipe ainsi les dispositions du RGPD en la matière250. Force est de constater que si la législation établit parfois des durées de conservations précises (par exemple le délai de conservation des livres, registres, documents ou pièces sur lesquels l’administration fiscale peut exercer ses droits de communication, d’enquête et de contrôle a été fixé à 6 ans à compter de la date de la dernière opération mentionnée sur les livres ou registres ou de la date à laquelle les documents ou pièces ont été établis251), tel n’est pas toujours le cas et la détermination de la durée de conservation des données pour un traitement est souvent un exercice difficile. 176. La Recommandation de la CNIL du 11 octobre 2005252 portant sur les modalités d’archivage des données à caractère personnel, dans le secteur privé, a défini trois niveaux d’archives253 auxquels doivent être respectivement associées des modalités de conservation adaptées (procédures de bascule automatique entre les niveaux, habilitations spécifiques, traçabilité des accès, mesures de sécurité). 177. Pour le secteur des assurances, les durées de conservation applicables aux données relatives aux assurés doivent permettre de respecter les délais de prescription résultant notamment du Code des assurances254 et du Code 250. Article 13 2. A) et 14 2. A) du RGPD. 251. Article L. 102 B du Livre des procédures fiscales. 252. Délibération n° 2005-213 du 11 octobre 2005 portant adoption d’une recommandation concernant les modalités d’archivage électronique dans le secteur privé de données à caractère personnel, publiée au JO du 23 nov. 2005. 253. La recommandation différencie les archives courantes, qui correspondent à l’utilisation des données par les services concernés (contrat en cours d’exécution, par exemple), des archives intermédiaires pour les données présentant un intérêt administratif pour les services concernés et, surtout, dont les durées de conservation répondent à des prescriptions légales (civiles, commerciales, en matière sociale ou voire pénales), des archives définitives qui comprennent exclusivement les données présentant un intérêt historique, scientifique ou statistique justifiant leur conservation. 254. Article L. 114-1 : « Toutes actions dérivant d’un contrat d’assurance sont prescrites par deux ans à compter de l’événement qui y donne naissance. Toutefois, ce délai ne court : 1° En cas de réticence, omission, déclaration fausse ou inexacte sur le risque couru, que du jour où l’assureur en a eu connaissance ; 2° En cas de sinistre, que du jour où les intéressés en ont eu connaissance, s’ils prouvent qu’ils l’ont ignoré jusque-là. Quand l’action de l’assuré contre l’assureur a pour cause le recours d’un tiers, le délai de la prescription ne court que
la
protection des données à caractère personnel
| 101
civil255. De façon très complète, le « Pack de conformité Assurance » édité par la CNIL en 2014 a vocation à constituer un référentiel pour l’ensemble des délais de conservation des données. À titre d’exemple, des durées spécifiques sont prévues dans le cadre de la NS-16, pour les données de santé collectées hors conclusion de contrat (conservation pour une durée de 5 ans), pour les données relatives à la carte bancaire (durée allant de 13 à 15 mois selon la carte). La NS-56 différencie les délais de conservation pour les données relatives aux clients (3 ans à compter de la fin de la relation commerciale) et celles des prospects (3 ans à compter de leur collecte par le responsable de traitement ou du dernier contact émanant du prospect). 178. Pour le secteur bancaire, en l’absence de référentiel commun, les durées de conservation des données sont fixées en fonction des traitements concernés, par référence au CMF (délai de prescription de 5 ans conformément à l’article L. 561-12 du Code monétaire et financier)256, étant noté que des durées spécifiques sont également prévues (conservation des données de la carte bancaire, par exemple, pour une durée de 13 mois suivant la date de débit257). De même, pour la mise en œuvre de traitements pour aider à l’évaluation et à la sélection des risques en matière d’octroi de crédit (délibération n° 2008198258), le délai de conservation pour des informations spécialement collectées pour l’instruction des demandes de crédit est conservé, en cas de rejet de la demande, pendant une durée de six mois à compter du dépôt de la demande.
255. 256.
257. 258.
du jour où ce tiers a exercé une action en justice contre l’assuré ou a été indemnisé par ce dernier. La prescription est portée à dix ans dans les contrats d’assurance sur la vie lorsque le bénéficiaire est une personne distincte du souscripteur et, dans les contrats d’assurance contre les accidents atteignant les personnes, lorsque les bénéficiaires sont les ayants droit de l’assuré décédé ». « Pour les contrats d’assurance sur la vie, nonobstant les dispositions du 2°, les actions du bénéficiaire sont prescrites au plus tard trente ans à compter du décès de l’assuré ». C. civ., art. 2224 à 2227. CMF, art. L. 561-12 : « Sous réserve de dispositions plus contraignantes, les personnes mentionnées à l’article L. 561-2 conservent pendant cinq ans à compter de la clôture de leurs comptes ou de la cessation de leurs relations avec eux les documents et informations, quel qu’en soit le support, relatifs à l’identité de leurs clients habituels ou occasionnels. Elles conservent également, dans la limite de leurs attributions, pendant cinq ans à compter de leur exécution, quel qu’en soit le support, les documents et informations relatifs aux opérations faites par ceux-ci, ainsi que les documents consignant les caractéristiques des opérations mentionnées au II de l’article L. 561-10-2. Sans préjudice des obligations mentionnées au premier alinéa du présent article, les personnes mentionnées aux 1° et 1° ter de l’article L. 561-2 recueillent les informations et les données techniques relatives à l’activation, au chargement et à l’utilisation de la monnaie électronique au moyen d’un support physique et les conservent pendant une durée de cinq ans à compter de l’exécution de ces opérations. Un arrêté du ministre chargé de l’Économie précise les informations et les données techniques qui sont recueillies et conservées ». CMF, art. L. 133-24. Délibération n° 2008-198 du 9 juillet 2008 modifiant l’autorisation unique n° AU-005 relative à certains traitements de données à caractère personnel mis en œuvre par les établissements de crédit pour aider à l’évaluation et à la sélection des risques en matière d’octroi de crédit, publiée au JO du 5 août 2008 ‒ Numéro 181, v. RTD com. 2008, p. 832, obs. D. Legeais.
102 | B anque
et
a ssurance
digitales
179. Les sanctions pénales sont prévues par l’article 226-20 du Code pénal (5 ans d’emprisonnement et 300 000 euros d’amende)259. Au titre des sanctions, en 2009, le Conseil d’État260 a confirmé la délibération de la CNIL261 ayant refusé à une société l’autorisation nécessaire à la création d’un traitement ayant pour finalité la mise en place d’une « centrale de crédit » au motif notamment que le projet maintenait, sans justification évidente, les données sur les emprunteurs dans les fichiers de la centrale, trois ans après la fin du remboursement du crédit. La CNIL a aussi été rappelée à l’ordre par le Conseil d’État, dans sa décision du 28 septembre 2016262, qui prononce l’annulation d’une délibération de la formation restreinte de la CNIL, au motif que cette délibération ne fixait pas la durée de son maintien en ligne sur le site Internet de la CNIL et sur le site Légifrance. E.
L’« Accountability » ou principe de responsabilité posé par le RGPD
180. L’article 24 du RGPD pose un principe novateur dit d’« Accountability » [ou principe de responsabilité] qui repose sur un changement de paradigme. En effet, le contrôle a priori de la conformité des traitements aux exigences légales est désormais à la charge du responsable de traitement, et non plus de l’autorité de contrôle. Les banques comme les entreprises d’assurance devront, d’une part, garantir la conformité légale des traitements mise en œuvre dans le cadre de leurs activités et, d’autre part, être en mesure de le prouver. C’est sur cette double contrainte que se fonde le principe d’« Accountability ». Le responsable devra adopter des mesures techniques et organisationnelles appropriées en tenant compte de la nature, de la portée, du contexte, des finalités et des risques propres au traitement, mis à jour quand cela est nécessaire. Concrètement, il va falloir documenter les processus à chacune des étapes des traitements de données personnelles, en phase projet, avant la mise en œuvre effective du traitement et pendant tout le cycle des traitements. Le RGPD prévoit la rédaction et la mise en place de politiques de protection des données.
259. Cass. crim., 3 mars 2015, n° 13-88.079 : Une gestionnaire de fait d’une société a conservé des données qui ne peuvent être utilisées et conservées que pour le strict besoin et pendant le temps d’une transaction déterminée, mais ne doivent pas être stockées (cryptogrammes de cartes bleues). Elle a donc été condamnée au visa de l’article 226-20 du Code pénal. 260. CE, 30 déc. 2009, n° 306173, Juris-Data n° 2009-017446 ; JCP éd. A 2010, act. 38, obs. J.-G. S. V. également N. Mathey, « Crédit à la consommation, informatique et liberté », RDBF 2010, comm. 86. 261. Délibération n° 2007-044 du 8 mars 2007 refusant la création par la société Experian d’un traitement automatisé ayant pour finalité la mise en place d’une « centrale de crédit ». 262. CE, 28 sept. 2016, n° 389448, Juris-Data n° 2016-020259, publié au Recueil Lebon ; v. M. Touzeil-Divina, « Conditions de légalité d’une sanction complémentaire par publication en ligne », JCP éd. A 2016, act. 754.
la 1.
protection des données à caractère personnel
| 103
Les principes de « Privacy by design » et de « Privacy by default »
181. La protection des données doit être garantie dès la conception des traitements, et le RGPD créé de nouvelles obligations : – Le principe du « Privacy by design » [ou Protection des données dès la conception] qui est défini par l’article 25 du RGPD impose d’intégrer la protection des données « tant au moment de la détermination des moyens du traitement qu’au moment du traitement lui-même ». Cette règle s’appliquera concrètement dès le projet de traitement et à tous les acteurs, en ce compris les sous-traitants, par la mise en œuvre de « mesures techniques et organisationnelles appropriées, telles que la pseudonymisation »263 ou la purge des fichiers à l’expiration de la durée de conservation autorisée pour les données ou la minimisation des données, c’est-à-dire selon l’article 5-c) du RGPD, la limitation des données à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées. – Le principe de « Privacy by default » [ou Protection des données par défaut], également posé par l’article 25 du RGPD, exige du responsable de traitement de garantir par défaut le plus haut niveau possible de protection, en particulier les mesures prises doivent garantir « que, par défaut, les données à caractère personnel ne sont pas rendues accessibles à un nombre indéterminé de personnes physiques sans l’intervention de la personne physique concernée ». 182. L’article 83-4 du RGPD prévoit une sanction administrative pouvant aller jusqu’à 10 000 000 euros ou 2 % du CA mondial (pour les entreprises). 2.
L’analyse d’impact sur la vie privée prévue par le RGPD
183. Le RGPD remplace le principe de déclaration préalable auprès de l’autorité de contrôle par une sorte d’auto-évaluation de la part du responsable de traitement. Il part du constat que « l’obligation de notification (déclarations préalables à la mise en œuvre des traitements), génère une charge administrative et financière, sans pour autant avoir systématiquement contribué à améliorer la protection des données à caractère personnel »264. 184. Le responsable de traitement doit réaliser une étude d’impact si le type de traitement de données à caractère personnel concerné engendre un risque élevé sur les droits et libertés des personnes pour évaluer l’origine, la nature, la particularité et la gravité de ce risque.
263. V. partie I, chapitre II, section I - § 2. B. 3. 264. Considérant 89 du RGPD.
104 | B anque
et
a ssurance
digitales
185. Le RGPD soumet obligatoirement à une « analyse d’impact relative à la protection des données » : a) tout traitement qui porte sur « l’évaluation systématique et approfondie d’aspects personnels concernant des personnes physiques, qui est fondée sur un traitement automatisé, y compris le profilage, et sur la base de laquelle sont prises des décisions produisant des effets juridiques à l’égard d’une personne physique ou l’affectant de manière significative de façon similaire » ; b) la surveillance systématique à grande échelle265 d’une zone accessible au public ; c) tout traitement à grande échelle de données « sensibles » ou de données à caractère personnel relatives à des condamnations ; d) la liste des traitements soumis à l’analyse d’impact établie et publiée par l’autorité de contrôle (liste unifiée au sein de l’Union européenne). L’analyse d’impact n’est pas requise en l’absence de risque élevé pour le traitement, si le traitement figure sur la liste de l’autorité de contrôle portant sur des exonérations et lorsque le traitement répond à une obligation légale et qu’une analyse d’impact a été réalisée pour l’adoption de la réglementation (sauf si l’État le demande). Une seule analyse peut être menée sur un ensemble de traitements similaires quant à leurs finalités et au vu des risques présentés. Lorsque l’analyse d’impact révèle un risque élevé, le responsable de traitement devra consulter la CNIL. La Commission est tenue de conseiller le responsable sur les mesures à adopter sous deux mois (extensible à 14 semaines en cas de complexité). En application de l’article 36 du RGPD, elle pourra aussi, le cas échéant, interdire le traitement ou ordonner des mesures de mise en conformité. Concrètement, cette procédure revient en définitive à permettre à la CNIL d’autoriser le traitement ou non. Le responsable doit solliciter l’avis du Délégué à la Protection des Données et celui des personnes concernées ou de leurs représentants, si cela est nécessaire. Selon l’article 35-7 du RGPD, l’analyse d’impact doit contenir, au moins, une description du traitement concerné et de ses finalités (avec, le cas échéant, l’intérêt légitime poursuivi par le responsable du traitement), une évaluation de la nécessité et de la proportionnalité du traitement par rapport aux finalités poursuivies, une évaluation des risques pour les droits et libertés des personnes concernées, l’ensemble des mesures envisagées pour y faire face. 265. Par référence au considérant 91 du RGPD, il s’agit d’un « volume considérable de données à caractère personnel au niveau régional, national ou supranational ».
la
protection des données à caractère personnel
| 105
Lorsque le traitement répond à une obligation légale et qu’une analyse d’impact a été réalisée pour l’adoption de la réglementation de référence, il n’est pas nécessaire de faire une analyse supplémentaire, sauf si l’État le demande. L’analyse d’impact sur la vie privée opère un changement de cible. En effet, l’analyse d’impact, qui est en principe réalisée par les services en charge de la sécurité des systèmes d’information, vise à protéger l’entreprise vis-à-vis d’atteintes de son système d’information. L’analyse d’impact sur la vie privée a pour objectif de protéger la personne concernée par un traitement de données à caractère personnel dans un contexte de traitements identifiés comme étant risqués. 186. En application de l’article 83-4 du RGPD, la sanction administrative prévue pourra aller jusqu’à 10 000 000 euros ou 2 % du CA mondial (pour les entreprises). 3.
L’évolution du principe de sécurité pendant le traitement
187. Pour rappel, les principes de « Privacy by design » ou de « Privacy by default » s’appliquent aux mesures techniques à prendre pour garantir la sécurité et la confidentialité des données. a.
Les exigences portant sur les mesures de sécurité 266
188. L’article 32 du RGPD impose au responsable de traitement et au sous-traitant de mettre en œuvre les mesures appropriées afin de garantir un niveau de sécurité adapté au risque présenté par le traitement de données. Les mesures sont appréciées en fonction de la nature, de la portée, du contexte, du niveau et de la gravité des risques liés au traitement, et concrètement, il sera fait par référence aux résultats de l’analyse d’impact (lorsque celle-ci est exigée). Il est d’ailleurs précisé que l’évaluation du niveau de sécurité doit prendre en compte le risque « résultant notamment de la destruction, de la perte, de l’altération, de la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou de l’accès non autorisé à de telles données, de manière accidentelle ou illicite ». Certaines mesures sont même listées telles la pseudonymisation et le chiffrement des données à caractère personnel, l’adoption de « moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement » et de « moyens permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique ». L’évaluation régulière de l’efficacité des mesures est également recommandée.
266. C. Boutonnet, « La sécurité des données », hors-série Banque & Droit, mars-avr. 2017, p. 52 et s.
106 | B anque b.
et
a ssurance
digitales
La notification des violations de données personnelles
189. Le RGPD prévoit une nouvelle obligation à la charge des responsables de traitement de notification des violations de données personnelles, notion qui doit être entendue comme une « violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données »267. La notification est prévue en deux temps : tout d’abord réalisée auprès de l’autorité de contrôle puis, en fonction des circonstances, auprès de la personne concernée. 190. L’article 33 du RGPD prévoit que la notification à destination de l’autorité de contrôle est requise dès lors qu’elle est susceptible d’engendrer un risque sur les droits et libertés des personnes physiques. Elle doit alors être réalisée sans délai injustifié et dans la limite de 72 heures après en avoir eu connaissance. Tout dépassement du délai de 72 heures doit être justifié. De son côté, le sous-traitant est tenu de notifier toute violation de données personnelles au responsable dès qu’il en a connaissance. Le contenu de la notification porte sur la nature de la violation, le nombre de personnes et de traitements concernés, les coordonnées du Délégué à la Protection des Données ou de tout contact pertinent, les conséquences de la violation des données pour les personnes et les mesures prises ou proposées pour y remédier. Le RGPD autorise la transmission de ces informations en plusieurs phases. Le responsable doit documenter la violation (contexte, effets, mesures prises ou à prendre) et la mettre à disposition de l’autorité de contrôle pour vérifications. 191. Selon l’article 34 du RGPD, la notification à destination de la personne concernée est obligatoire si la violation des données à caractère personnel fait porter un risque élevé sur les droits et libertés des personnes concernées ; elle doit alors être faite sans délai et comporter une grande partie des informations déjà communiquées à l’autorité de contrôle. Cette obligation tombe dans le cas où le responsable a adopté des mesures de sécurité validées par la CNIL, telles que le chiffrement des données ou si ces mesures ont éradiqué le risque d’atteinte aux droits et libertés. Une notification générale à destination des personnes concernées (communication publique) peut également être envisagée quand la notification individuelle demanderait un effort disproportionné. Enfin, le RGPD reconnaît à la CNIL le pouvoir d’obliger le responsable de traitement à notifier aux personnes concernées. 267. Art. 4-12) RGPD : « violation de données à caractère personnel », une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données ».
la
protection des données à caractère personnel
| 107
192. La sanction administrative encourue en cas de manquement avéré à cette obligation est posée par l’article 83-4 du RGPD (jusqu’à 10 000 000 euros ou 2 % du CA mondial pour les entreprises). c.
L’évolution du statut du sous-traitant
193. La directive n° 95/46/CE comme la loi « Informatique et Libertés » ne prévoient pas d’engager la responsabilité du sous-traitant, ni de le sanctionner. Comme en attestent plusieurs sanctions de la CNIL, seul le responsable de traitement est passible de sanctions268. Le RGPD organise un nouveau statut du sous-traitant, ce dernier étant défini comme traitant des données à caractère personnel pour le compte du responsable du traitement et sous les instructions documentées de ce dernier. Le RGPD introduit un principe de responsabilité pour le sous-traitant à l’article 28 et l’astreint à de nouvelles exigences qui sont obligatoirement inscrites dans le contrat le liant au responsable de traitement. Outre l’information et l’autorisation préalable du responsable de traitement pour les sous-traitances ultérieures, il est tenu de coopérer avec l’autorité de contrôle (par exemple sur la production des documents sur ses procédures et mesures relatives aux traitements), de garantir la sécurité des traitements conformément aux prescriptions de l’article 32, et de notifier les violations de données au responsable de traitement. 194. En cas de manquement grave et avéré à ses obligations, des sanctions administratives peuvent s’élever à un maximum de 20 millions d’euros et dans le cas d’une entreprise à 4 % du CA mondial. § 4 – Le renforcement des droits des personnes
195. À titre liminaire et pour rappel, la protection des données personnelles repose également (si ce n’est à titre principal) sur le respect des droits qui sont reconnus aux personnes dont les données font l’objet d’un traitement. En cas de contestation, la charge de la preuve des réponses aux demandes incombe toujours au responsable de traitement. 196. Les sanctions prévues par le RGPD en cas de violation des dispositions relatives aux droits des personnes peuvent s’élever jusqu’à 20 000 000 d’euros ou 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu269.
268. V. délibérations supra sous partie I, chapitre II, section I - § 3. C. 269. RGPD, art. 83 5. b).
108 | B anque
et
a ssurance
digitales
Par rapport aux services de banque et d’assurance classiques, l’ensemble des principes relatif aux droits des personnes trouve une intensité d’application renforcée dans le cadre du déploiement des prestations numériques. 197. Le renforcement des droits des personnes opéré par le RGPD se fonde sur l’introduction de nouveaux droits (A), étant noté que ce texte vise également à consolider les droits existants tels que consacrés par la réglementation européenne et par la loi « Informatique et Libertés » (B). Le délai de réponse prévu par le règlement est ramené à un mois270, au lieu des deux mois prescrits par l’article 94 du décret du 20 octobre 2005271. A.
Les nouveaux droits
198. Parmi les développements les plus pertinents correspondant aux spécificités de la banque et l’assurance numériques, il convient de relever que le RGPD crée de nouveaux droits destinés à protéger la personne dans le cadre du traitement de ses données à caractère personnel, l’idée étant « de renforcer et de préciser les droits des personnes concernées et les obligations de ceux qui effectuent et déterminent le traitement des données à caractère personnel, ainsi que de prévoir, dans les États membres, des pouvoirs équivalents de surveillance et de contrôle du respect des règles relatives à la protection des données à caractère personnel et des sanctions équivalentes pour les violations » (considérant 11 du règlement). Ces renforcements et précisions se déclineront donc sur le droit à l’information (1), le droit à la limitation des traitements (2), le droit à la portabilité des données (3) et les droits liés à la prise de décision automatisée (4). 1.
Droit à l’information
199. Alors qu’il s’agit d’une obligation dans la loi « Informatique et Libertés », le règlement européen reconnaît à l’information préalable de toute personne concernée par un traitement le statut de droit reconnu à cette personne, avec pour conséquence le fait d’être plus lourdement sanctionné. Pour rappel, dans le cadre de la loi « Informatique et Libertés », l’obligation d’information de la personne concernée par un traitement de données à caractère personnel est intrinsèquement liée au principe de collecte loyale et licite des données. L’article 32 en définit le contenu272.
270. RGPD, art. 12-3. 271. Décret n° 2005-1309 du 20 octobre 2005 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés,JO 22 oct. 2005, p. 16769. I. Cantero, « Décret du 20 octobre 2005 pris en application de la loi Informatique et Libertés ! » : Com. com. électr. 2006, étude 6. 272. V. supra partie I, chapitre II, section I - § 2. A.
la
protection des données à caractère personnel
| 109
200. À l’instar de la loi, le RGPD prévoit une information, que la collecte soit directement réalisée auprès des personnes concernées (article 12 sur la collecte directe) ou non (article 13 sur la collecte indirecte des données). Ce principe de transparence est un des bastions de la protection et est imposé quelles que soient les modalités de collecte des données. Il s’agit pour le responsable de traitement de communiquer un ensemble d’informations de façon « concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples ». La liste des informations est très précise et comprend les informations de type général dont : les données d’identification (identité et coordonnées du responsable du traitement, coordonnées du délégué à la protection des données), les finalités du traitement et si le traitement est fondé sur le consentement de la personne, les intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, les destinataires des données et, le cas échéant, le transfert de données vers un pays tiers et la référence aux garanties appropriées ou adaptées et les moyens d’en obtenir une copie ou l’endroit où elles ont été mises à disposition. Des informations complémentaires doivent être communiquées sur la durée de conservation des données ou les critères utilisés pour la déterminer, sur l’existence d’un droit d’accès, de rectification, d’effacement et de portabilité des données ainsi que sur le droit de s’opposer au traitement de ses données ou de demander sa limitation. L’information doit également porter sur le droit d’introduire une réclamation auprès d’une autorité de contrôle (la CNIL ou toute autorité chef de file). D’autres informations devront être délivrées en fonction du traitement (pour les traitements reposant sur le consentement préalable de la personne, ou sur l’existence d’une prise de décision automatisée ou encore sur la finalité du traitement ultérieur des données envisagé). 201. L’obligation d’information admet plusieurs exceptions (informations déjà connues, efforts disproportionnés pour leurs communications, communication prévue par le droit local ou, au contraire, interdite). 202. Le détail des informations à fournir s’applique quel que soit le support de communication. Or, un des objectifs de la contractualisation en ligne tient quand même au fait d’en accélérer les processus (recueil du consentement, signature…). L’ensemble des informations à fournir ne doit pas être négligé au profit de la vélocité attendue, et toutes les informations requises devront donc être communiquées à la personne concernée. Pour autant, cet ensemble détaillé d’informations pourrait aussi s’avérer contre-productif dans la mesure où, à l’instar de conditions générales d’utilisations trop étoffées, le risque est de générer un réel désintérêt des personnes concernées. 2.
Droit à la limitation du traitement
203. Selon l’article 4-3) du RGPD, la limitation du traitement s’entend du « marquage de données à caractère personnel conservées, en vue de limiter leur traitement futur ». En application de l’article 18 du RGPD, la personne concernée peut exiger une limitation temporaire du traitement de ses données dans certains cas et notamment pour une durée liée aux vérifications nécessaires
110 | B anque
et
a ssurance
digitales
ou à la régularisation de la situation par le responsable de traitement. Ce droit s’applique dans les cas où la personne concernée conteste l’exactitude de ses données ou s’oppose à leur effacement (dans le cadre d’un traitement illégitime). Le droit à la limitation est également prévu pour contester l’intérêt légitime poursuivi par le responsable de traitement. Enfin, il peut être sollicité lorsque les données ne doivent plus être traitées eu égard à la finalité poursuivie mais qu’elles « sont encore nécessaires à la personne concernée pour la constatation, l’exercice ou la défense de droits en justice ». Cette limitation impose au responsable de ne traiter les données qu’avec le consentement de la personne, ou pour l’exercice de droits en justice, ou pour des motifs d’intérêt public important. 3.
Droit à la portabilité des données
204. Les dispositions relatives au droit à la portabilité des données sont certainement celles qui auront, par nature, une incidence remarquable et spécifique sur les prestations de banque et d’assurance en ligne. Selon l’article 20 du RGPD, les personnes concernées par un traitement ont le droit de recevoir leurs données dans un format structuré et lisible, et de les transmettre à un autre responsable. Toutefois, la portabilité des données est prévue dans certains cas seulement : lorsque le traitement est fondé sur le consentement ou sur les besoins du contrat, mais également si le traitement est automatisé. Les exceptions visent en particulier les traitements d’intérêt public. À noter que la nouvelle rédaction prévoit que la personne a le droit d’obtenir que les données soient transmises directement par le responsable de traitement quand cela est faisable. 205. Il convient de mettre en parallèle cette disposition du RGPD avec l’article 48 de la loi pour la République numérique273, repris par les articles L. 224-42-1 et suivants du Code de la consommation soumettant au droit à la portabilité et à la récupération « tous les fichiers mis en ligne par le consommateur ; (...) toutes les données résultant de l’utilisation du compte d’utilisateur du consommateur et consultables en ligne par celui-ci, à l’exception de celles ayant fait l’objet d’un enrichissement significatif par le fournisseur en cause (...). D’autres données associées au compte utilisateur du consommateur et répondant aux conditions suivantes : « a) Ces données facilitent le changement de fournisseur de service ou permettent d’accéder à d’autres services ; « b) L’identification des données prend en compte l’importance économique des services concernés, l’intensité de la concurrence entre les
273. Loi n° 2016-1321, 7 oct. 2016, « Pour une République numérique », JO 8 oct. 2016. V. N. Martial-Braz, « République numérique », RDBF 2016, comm. 204.
la
protection des données à caractère personnel
| 111
fournisseurs, l’utilité pour le consommateur, la fréquence et les enjeux financiers de l’usage de ces services ». 206. Il convient de souligner que seules les données significativement « enrichies » seront exclues du droit à la portabilité et à la récupération des données. Ceci étant, le critère de l’enrichissement significatif est encore peu explicite, en l’absence du décret d’application. L’entrée en application de la loi sur la République numérique différée au 25 mai 2018 devrait permettre de faciliter son adéquation avec le RGPD, pas forcément évidente en l’état des incertitudes sur le texte. 4.
Droit lié à une décision automatisée274
207. L’article 22 du RGPD encadre le droit de ne pas être soumis « à une décision basée uniquement sur un traitement automatisé, que le profilage, qui produit des effets juridiques la concernant ou qui l’affecte », sauf exceptions (la conclusion ou l’exécution d’un contrat, le respect d’une obligation légale, le consentement de la personne). La personne doit pouvoir solliciter une intervention humaine, exprimer son point de vue et contester la décision. Les décisions ne peuvent être basées sur le traitement de données sensibles, sauf consentement exprès de la personne ou la poursuite d’un motif d’intérêt général « et que des mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée ne soient en place ». B.
Le renforcement des droits existants
208. Le RGPD renforce donc le droit d’opposition au traitement (1), le droit d’accès aux données personnelles (2) et le droit de rectification des données (3), lesquels ont déjà été éprouvés dans le cadre de la banque et l’assurance traditionnelles. Leur pertinence est rehaussée par le caractère numérique des nouvelles prestations de ces secteurs d’activité. 1.
Le droit d’opposition
a.
Le droit d’opposition dans la loi « Informatique et Libertés »
209. Le droit d’opposition tel que posé par l’article 18 de la loi « Informatique et Libertés » impose à la personne concernée de se prévaloir de « motifs légitimes » (préjudice, données obsolètes, erronées…), sauf en cas de prospection commerciale où le droit d’opposition est automatique car non conditionné par un quelconque motif275. À titre dérogatoire, l’opposition à un traitement de données n’est pas recevable pour les traitements qui répondent à une obligation 274. V. infra partie I, chapitre II, section II « Prospection commerciale » et section III « Profilage ». 275. V. infra partie I, chapitre II, section II « Prospection commerciale » et section III « Profilage ».
112 | B anque
et
a ssurance
digitales
légale ou lorsque l’acte qui fonde le traitement l’exclut expressément (contrat par exemple). 210. Les sanctions en cas de manquement à cette obligation sont prévues par l’article 226-18-1 du Code pénal (jusqu’à 5 ans d’emprisonnement, 300 000 euros d’amende). Des sanctions administratives sont également encourues. À titre d’illustration, et entre autres, on peut citer la décision du Conseil d’État en 2015276 venant confirmer celle de la CNIL qui avait fermement rappelé en 2011 l’importance du respect de l’exercice du droit d’opposition des individus dans le cadre d’une affaire relative à un site Internet qui n’avait pas anonymisé des décisions judiciaires, alors que les personnes concernées exerçaient, à bon droit, leur droit d’opposition. La sanction pécuniaire à hauteur de 10 000 euros ainsi que l’injonction de cesser le traitement de données infligées par la CNIL ont été confirmées277. b.
Le droit d’opposition dans le RGPD
211. Nonobstant le fait qu’il emporte des incidences également pour les services de banque et d’assurance traditionnels, le renforcement du droit d’opposition tel que consacré par le RGPD, comporte un écho particulier pour les prestations en ligne, en particulier dans le cadre de la prospection commerciale. Comme pour réaffirmer le caractère impérieux du principe, le considérant 70 rappelle que : « les données à caractère personnel sont traitées à des fins de prospection, la personne concernée devrait avoir le droit, à tout moment et sans frais, de s’opposer à ce traitement, y compris le profilage dans la mesure où il est lié à une telle prospection, qu’il s’agisse d’un traitement initial ou ultérieur. Ce droit devrait être explicitement porté à l’attention de la personne concernée et présenté clairement et séparément de toute autre information ». 212. C’est ainsi que l’article 21-2 du règlement dispose que « lorsque les données à caractère personnel sont traitées à des fins de prospection, la personne concernée a le droit de s’opposer à tout moment au traitement des données à caractère personnel la concernant à de telles fins de prospection, y compris au profilage dans la mesure où il est lié à une telle prospection ». Le périmètre du droit d’opposition en matière de prospection est donc particulièrement large. Il prend en considération les nouvelles techniques de démarchage et d’approche auprès des prospects, y compris le profilage dont le caractère possiblement intrusif est évident. 276. CE, 10e/9e SSR, 23 mars 2015, n° 353.717. Pour un commentaire de l’arrêt, v. « Droit à l’oubli : le Conseil d’État confirme les sanctions de la CNIL visant un site Internet ne respectant pas le droit d’opposition », Revue Lamy Droit de l’immatériel, n° 116, 1er juin 2015. 277. V. également Cass. crim., 29 juin 1999 : Bull. crim. n° 158 ; Cass. crim., 28 sept. 2004 : Bull. crim. n° 224 ; AJ pénal 2004, p. 447 ; Dr. pénal 2005, p. 18, obs. Véron ; Gaz. Pal. 2005, 1, 1376, note A. C.
la
protection des données à caractère personnel
| 113
213. Afin de garantir l’effectivité du droit d’opposition, l’article 13-2 b) impose que le responsable de traitement fournisse à la personne concernée, au moment où les données à caractère personnel sont obtenues, entre autres, l’information de l’existence du droit de s’opposer au traitement auprès au responsable du traitement, l’objectif étant de « garantir un traitement équitable et transparent »278. 214. Dans le même sens, l’article 21-4 indique que c’est « au plus tard au moment de la première communication avec la personne concernée », que le droit d’opposition en matière de prospections commerciales « est explicitement porté à l’attention de la personne concernée et est présenté clairement et séparément de toute autre information », étant entendu que l’exercice de ce droit d’opposition peut se faire « à l’aide de procédés automatisés utilisant des spécifications techniques ». Dans le cadre d’un traitement « nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique » ou « nécessaire aux fins des intérêts légitimes poursuivis » par le responsable de traitement, ce dernier devra cesser le traitement lorsque le droit d’opposition est justement exercé, sauf s’il démontre l’existence « des motifs légitimes et impérieux pour le traitement qui prévalent sur les intérêts et les droits et libertés de la personne concernée, ou pour la constatation, l’exercice ou la défense de droits en justice »279. 2.
Le droit d’accès aux données
a.
Le droit d’accès dans la loi « Informatique et Libertés »
215. La loi « Informatique et Libertés » reconnaît à toute personne concernée par un traitement de données à caractère personnel, un droit d’accès direct à ses données et un droit d’accès indirect (prévu aux articles 41 et 42 et dont l’exercice est confié à la CNIL pour des fichiers spécifiques280). La CNIL a permis de compléter le dispositif légal en publiant un Guide sur le droit d’accès en 2010, des fiches pratiques accessibles sur son site et, plus anciennement, une recommandation relative à la mise en œuvre du droit individuel d’accès aux fichiers automatisés281. 278. V. l’article 14 du RGPD, lorsque les données à caractère personnel n’ont pas été collectées auprès de la personne concernée. 279. RGDP, art. 21-1. 280. Il s’agit des « fichiers intéressant la sûreté de l’État, la défense ou la sécurité publique (Traitement des antécédents judiciaires – TAJ – fichiers des services de renseignement des ministères de l’Intérieur – Direction générale du renseignement intérieur, services de renseignement territorial – ou de la Défense – Direction générale de la sécurité extérieure – Système d’information Schengen…), mais aussi certains fichiers du ministère de la justice (fichier de gestion informatisée des détenus en établissement pénitentiaire – GIDE) ou des finances et des comptes publics (fichier des comptes bancaires dénommé FICOBA, fichier du service TRACFIN) ». 281. Délibération n° 80-010 du 1er avril 1980 portant adoption d’une recommandation relative à la mise en œuvre du droit individuel d’accès aux fichiers automatisés.
114 | B anque
et
a ssurance
digitales
216. Seul le droit d’accès direct concerne les établissements bancaires et les compagnies d’assurance et les oblige à mettre en œuvre des procédures et des mesures adaptées afin de répondre aux exigences de l’article 39 de la loi « Informatique et Libertés » ainsi qu’à celles posées par les articles 92 à 98 du décret du 20 octobre 2005 pour les modalités d’exercice. 217. L’article 39 de la loi « Informatique et Libertés » prévoit que « toute personne physique justifiant de son identité a le droit d’interroger le responsable d’un traitement » et d’accéder aux informations suivantes : la finalité du traitement, les catégories de données traitées, les destinataires ou catégories de destinataires de ces données, le cas échéant, l’existence d’un transfert de données vers un État tiers et les informations qui permettent de connaître et de contester la logique du traitement ayant servi de fondement à une décision produisant des effets juridiques à son égard (comme, par exemple, le score attribué et ayant conduit au rejet d’une demande de crédit282). Le droit d’accès peut être exercé par un représentant de la personne concernée (représentant légal pour les mineurs, ou tout représentant dûment mandaté, tel un avocat) et par ses héritiers, pour les données contenues dans le Fichier national des comptes bancaires et assimilés (FICOBA)283, mais également en fonction des directives laissées par le défunt quant à la conservation, l’effacement et la communication de ses données à caractère personnel en application de l’article 40-1 de la loi « Informatique et Libertés »284. En ce qui concerne l’étendue du droit d’accès, la CNIL a précisé son périmètre plutôt très largement dans le cadre de plusieurs décisions. Ainsi, à titre d’exemple, la CNIL avait enjoint à un fournisseur d’accès à Internet de répondre à la demande de l’une de ses clientes réclamant d’accéder à ses données. N’ayant pas obtempéré, la CNIL a adopté une sanction pécuniaire à l’encontre de cette société et l’a obligée à communiquer « la copie de l’intégralité des documents contenant des données à caractère personnel la concernant figurant dans le ou les fichiers de la société » ainsi que l’intégralité des procédures mises en œuvre au sein de la société pour le respect des droits des personnes concernées (information, opposition, accès, rectification)285. 218. Les juridictions vont dans le même sens. Ainsi en a-t-il été dans le cadre de l’ordonnance du 17 juillet 2014286 par laquelle le Tribunal de grande instance de Paris a eu l’occasion de se prononcer sur l’existence du droit d’accès à ces données de connexion. Dans cette affaire, une cliente titulaire de deux comptes bancaires avait reçu un courrier électronique l’informant de la situation débitrice 282. 283. 284. 285.
Fiche CNIL sur le droit d’accès. Décision du Conseil d’État du 29 juin 2011. V. supra, section I - § 2. 4. : « Les données des personnes décédées ». Délibération n° 2008-163 du 12 juin 2008 prononçant une sanction pécuniaire à l’encontre de la société Neuf Cegetel. 286. TGI Paris, ord. réf., 7 juill. 2014, M. c/ Crédit Lyonnais : http://www.legalis.net. V. le commentaire d’É. A. Caprioli, « L’adresse IP est une donnée à caractère personnel », Com. com. électr. 2014, comm. 81.
la
protection des données à caractère personnel
| 115
de son compte. Il s’avérait que cette cliente n’était qu’en copie du mail et que le destinataire principal était un collègue de son mari. À la suite de ces événements, elle mettait en demeure la banque de lui communiquer l’historique des logs de connexion de ses comptes. Face au refus de la banque, elle saisissait le Tribunal de grande instance en référé sollicitant la communication de l’historique des logs de connexion de ses deux comptes depuis leur création, et ce sous astreinte. Pour cela, elle se fondait notamment sur son droit d’accès à ces données à caractère personnel prévu à l’article 39 de la loi n° 78-17 du 6 janvier 1978. L’établissement bancaire considérait, quant à lui, que ces données n’étaient pas des données à caractère personnel de sa cliente mais celles d’une tierce personne de sorte que la loi « Informatique et Libertés » et donc le droit d’accès ne s’appliquait pas. Le Tribunal de grande instance de Paris rejette cet argument et fait droit à la demande considérant « qu’il est constant que dans ses échanges en ligne avec ses clients, la société (…) est soumise aux dispositions de la loi n° 78-17 du 6 janvier 1978 modifiée », que la demanderesse sollicitait un accès aux logs de connexion de ses propres comptes et donc à « des données qui lui sont personnelles » et que « l’éventualité que cette communication révélerait une utilisation frauduleuse » ne saurait la priver de ce droit d’accès. Le tribunal conclut que l’absence de contestation sérieuse et l’existence d’une urgence « résultant de la conservation légale des données pendant une durée limitée à un an » justifient que la banque communique « dans un délai de huit jours à compter de la signification de cette décision, l’historique, à compter du 17 juillet 2013, de ses logs de connexion, incluant les adresses IP, de ses deux comptes en ligne ». Le Tribunal de grande instance, sans s’embarrasser de la question de savoir si l’adresse IP constitue une donnée à caractère personnel, prend le soin de spécifier de façon explicite dans son dispositif que le droit d’accès aux logs de connexion inclut l’adresse IP. 219. Le responsable de traitement peut s’opposer à une demande d’accès si cette dernière ne respecte pas des droits d’auteur287, ou s’il s’agit d’une demande manifestement abusive (critère quantitatif ou de fréquence, par exemple) ou encore si les données sont conservées sous une forme qui exclut manifestement tout risque d’atteinte à la vie privée288.
287. Art. 39-I-5° : « (…) Toutefois, les informations communiquées à la personne concernée ne doivent pas porter atteinte au droit d’auteur au sens des dispositions du livre Ier et du titre IV du livre III du Code de la propriété intellectuelle ». 288. Art. 39-II, al. 2 : « les dispositions du présent article ne s’appliquent pas lorsque les données à caractère personnel sont conservées sous une forme excluant manifestement tout risque d’atteinte à la vie privée des personnes concernées et pendant une durée n’excédant pas celle nécessaire aux seules finalités d’établissement de statistiques ou de recherche scientifique ou historique. Hormis les cas mentionnés au deuxième alinéa de l’article 36, les dérogations envisagées par le responsable du traitement sont mentionnées dans la demande d’autorisation ou dans la déclaration adressée à la Commission nationale de l’informatique et des libertés ».
116 | B anque
et
a ssurance
digitales
Le non-respect du droit d’accès est sanctionné par l’article R. 625-11 du Code pénal (amende prévue pour les contraventions de cinquième classe289). b.
Le droit d’accès dans le RGPD
220. L’article 15 du RGPD reconnaît aux personnes concernées par un traitement un droit d’accès plus étendu que celui qui est posé par l’article 39 de la loi « Informatique et Libertés » et tel que précisé par le décret de 2005. Le droit d’accès doit permettre à la personne concernée d’obtenir de la part du responsable de traitement, la confirmation que ses données personnelles font l’objet d’un traitement (ou non) et corrélativement, la communication de diverses informations. L’article 15 ajoute aux informations relatives au traitement déjà inscrites dans les exigences de l’article 39 de la loi « Informatique et Libertés » des informations sur « la durée de conservation des données à caractère personnel envisagée ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée », « lorsque les données à caractère personnel ne sont pas collectées auprès de la personne concernée, toute information disponible quant à leur source », la logique sous-jacente à toute prise de décision automatisée « ainsi que l’importance et les conséquences prévues de ce traitement pour la personne concernée ». Enfin, en cas de transfert des données vers un État tiers, la personne concernée doit pouvoir accéder aux garanties appropriées (« Clauses contractuelles » types ou « Binding Corporate Rules ») qui permettent d’encadrer ce transfert. Force est de constater que le niveau de précision que pourra atteindre une demande d’accès repose d’abord sur une parfaite maîtrise du cycle des données (collecte, utilisation et transmission, le cas échéant). L’ouverture du droit d’accès impose d’organiser en amont les procédures et mesures permettant de répondre aux demandes. 221. Le droit d’accès comprend l’obligation faite au responsable de fournir une copie des données, sous réserve que cela ne porte pas atteinte aux droits et libertés de tiers. Pour toute autre copie, il peut demander « le paiement de frais raisonnables basés sur les coûts administratifs pour toute copie supplémentaire demandée par la personne concernée ». Lorsque la personne concernée présente sa demande par voie électronique, sauf si elle s’y oppose, les informations demandées doivent lui être communiquées également par voie électronique.
289. C. pén. art. 131-13 : « 5°) 1 500 euros au plus pour les contraventions de la 5e classe, montant qui peut être porté à 3 000 euros en cas de récidive lorsque le règlement le prévoit, hors les cas où la loi prévoit que la récidive de la contravention constitue un délit ».
la 3.
protection des données à caractère personnel
| 117
Le droit de rectification
222. Aux termes de l’article 40 de la loi « Informatique et Libertés », toute personne justifiant de son identité « peut exiger du responsable d’un traitement que soient, selon les cas, rectifiées, complétées, mises à jour, verrouillées ou effacées les données à caractère personnel la concernant, qui sont inexactes, incomplètes, équivoques, périmées, ou dont la collecte, l’utilisation, la communication ou la conservation est interdite ». Sans grands changements, le droit de rectification qui est prévu par l’article 16 du RGPD vise à permettre aux personnes concernées d’obtenir la correction de leurs données inexactes ou incomplètes. Corrélativement, le RGPD exige du responsable de traitement d’informer les destinataires des données des rectifications auxquelles il a procédé. 4.
Le droit à l’effacement des données
223. Ainsi que le rappelle le Considérant 66290, ce droit vise à « renforcer le « droit à l’oubli » numérique », dont la consécration est intervenue suite à l’arrêt de la CJUE en date du 13 mai 2014291. Le droit à l’effacement (ou également intitulé « droit à l’oubli »), qui est posé par l’article 17 du RGPD, s’applique dans différentes situations. Ainsi, les données doivent être effacées lorsqu’elles ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées et traitées, lorsque la personne retire son consentement ou qu’elle exerce son droit d’opposition. Le droit à l’effacement des données s’applique aussi lorsque le traitement est illicite ou qu’il s’agit d’une obligation légale, sous réserve des exceptions prévues (obligations légales, intérêt public, statistique…). Le RGPD impose au responsable de traitement d’informer les destinataires des données des rectifications auxquelles il a procédé.
290. Le considérant 66 indique : « Le droit à l’effacement devrait également être étendu de façon à ce que le responsable du traitement qui a rendu les données à caractère personnel publiques soit tenu d’informer les responsables du traitement qui traitent ces données à caractère personnel qu’il convient d’effacer tout lien vers ces données, ou toute copie ou reproduction de celles-ci. Ce faisant, ce responsable du traitement devrait prendre des mesures raisonnables, compte tenu des technologies disponibles et des moyens dont il dispose, y compris des mesures techniques afin d’informer les responsables du traitement qui traitent les données à caractère personnel de la demande formulée par la personne concernée ». V. également les considérants 39, 59, 68 et 73. 291. CJUE, gde ch., 13 mai 2014, aff. C-131/12, Google Spain SL et Google Inc. c/ Agencia Española de Protección de Datos (AEPD) et a. : Juris-Data n° 2014-009597 ; v. note sous arrêt de L. Marino, « Un “droit à l’oubli” numérique consacré par la CJUE », JCP éd. G n° 26, 30 juin 2014, 768.
118 | B anque
et
a ssurance
digitales
SECTION II LA PROSPECTION COMMERCIALE DES DONNÉES292 224. L’objectif de cette section est de présenter les principales règles applicables à la prospection commerciale dans un environnement digital qui repose sur la collecte et le traitement automatisés des données, à l’exclusion des autres formes de prospection (par voie postale ou appel téléphonique avec intervention humaine)293. 225. L’écosystème de la prospection commerciale est en pleine mutation, conséquence naturelle de la digitalisation des entreprises, tendance à laquelle n’échappent pas le secteur bancaire et celui des assurances. Toutefois, cette évolution est surtout due au développement du marketing digital qui ajoute aux applications marketing attachées à l’Internet « traditionnel », celles liées aux téléphones mobiles, tablettes, GPS et aux objets connectés (IOT) ou encore à la banque en ligne294. En effet, alors que le marketing « traditionnel » n’utilisait pas a priori de données personnelles, la publicité digitale les utilise beaucoup, spécialement par le biais du ciblage comportemental qui peut être réalisé à l’aide de cookies (et autres traceurs) collectés sur les sites des banques et des entreprises d’assurance mais également sur d’autres sites. Dès lors, la prospection commerciale directe va pouvoir être réalisée à partir de la base CRM (Customer Relationship Management ou Gestion de la Relation Client) de la banque ou de l’entreprise d’assurances et à partir de données issues de partenaires (données tierces ou externes). 226. Dans ce contexte, la qualité de responsable de traitement doit être définie en amont et distinguée de celle du responsable de la collecte des données personnelles relatives aux prospects. Les banques et entreprises d’assurance ont la qualité de responsable de traitement pour ce qui concerne leur base CRM. Mais la prospection commerciale ne se limite pas à ses propres fichiers. De fait, afin d’optimiser la prospection, le recours à l’achat de fichiers auprès de partenaires (agence de communication, régie publicitaire, prestataire de campagne d’e-mailing), s’est généralisé, ce qui implique en amont un encadrement strict des relations contractuelles et de la conformité légale des fichiers concernés. 227. Par ailleurs, confrontée au développement des fichiers de prospection commerciale, la CNIL a adopté de nombreuses décisions afin d’encadrer la 292. É. A. Caprioli, « Loi du 6 août 2004. Commerce à distance sur l’Internet et protection des données à caractère personnel », Com. com. électr. 2005, étude 7 et le numéro spécial de la Revue Com. com. électr. de février 2005 consacré à la loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel et modifiant la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés. 293. V. les fiches de la CNIL sur la prospection postale et téléphonique avec intervention humaine, disponible sur le site : www.cnil.fr. 294. É. A. Caprioli (ss. La dir.), I. Cantero, I. Choukri, P. Agosti ; F. Coupez, La banque en ligne et le droit, RB Édition 2014, p. 19 et s.
la
protection des données à caractère personnel
| 119
pratique et d’accompagner les professionnels du secteur dans le cadre de l’élaboration des codes de déontologie295 auxquels il peut être utilement fait référence. 228. Le régime juridique défini pour la prospection directe, c’est-à-dire réalisée en ayant recours à des techniques électroniques, relève à la fois de la loi pour la confiance dans l’économie numérique296 du 21 juin 2004, ci-après « LCEN » (§ 1), et de la loi « Informatique et Libertés » (§ 2)297. § 1 – Les obligations posées par la loi pour la confiance dans l’économie numérique (LCEN)
229. La réglementation applicable aux sollicitations commerciales tient compte de différents objectifs dont celui de lutter contre le phénomène du « spamming » (ou encore « pollupostage » ou « pourriel »). Le « spamming » a été défini par la CNIL « comme l’envoi massif – et parfois répété – de courriers électroniques non sollicités, le plus souvent à caractère commercial, à des personnes avec lesquelles l’expéditeur n’a jamais eu de contacts et dont il a capté l’adresse électronique dans les espaces publics de l’Internet : forums de discussion, listes de diffusion, annuaires, sites Web, etc. »298. Il est question de « communications commerciales non sollicitées » dans la directive n° 2000/31/CE du 8 juin 2000 sur le commerce électronique299 dont l’article 7 laisse aux États membres la liberté d’en organiser la réglementation sous réserve que ces communications puissent être « identifiées de manière claire et non équivoque dès leur réception par leur destinataire ». Enfin, la protection du consommateur est prévue par la directive n° 2002/65/CE sur la commercialisation à distance de services financiers auprès des consommateurs300 (incluant les services d’assurance), 295. Code déontologique de la Fédération e-commerce et vente à distance : « Code de déontologie des professionnels du marketing direct vis-à-vis de la protection des données à caractère personnel » de 2003, complété par le « Code déontologique du e-commerce et de la vente à distance » de juin 2012 ; Charte de l’e-mailing élaborée en 2002 par le Syndicat national de la communication directe, déclaré en 2005 conforme à la loi « Informatique et Libertés » – CNIL, Délibération n° 2005-047 portant avis sur un projet de code de déontologie présenté par le Syndicat national de la communication directe (NCD) relatif à la communication électronique ; Code de conduite sur l’utilisation des coordonnées électroniques à des fins de prospection directe – Charte de l’e-mailing de l’Union française du marketing direct. 296. Loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique, JO 22 juin 2004, p. 11168. 297. É. A. Caprioli et I. Cantero, « La protection des données à caractère personnel dans le cadre de la banque en ligne », in Banque & Droit, Quel droit pour le développement de la banque en ligne ?, hors-série, juin 2013, p. 64. 298. CNIL, 20e Rapport d’activité 1999, La Documentation française, 2000, p. 108. 299. Directive n° 2000/31/CE du Parlement européen et du Conseil du 8 juin 2000 relative à certains aspects juridiques des services de la société de l’information, et notamment du commerce électronique, dans le marché intérieur (« directive sur le commerce électronique », JOCE n° L. 178, 17 janv. 2000, p. 1. 300. Directive n° 2002/65/CE du Parlement européen et du Conseil du 23 septembre 2002 concernant la commercialisation à distance de services financiers auprès des consommateurs et modifiant les directives n° 90/619/CEE du Conseil, n° 97/7/CE et n° 98/27/CE, JOUE n° L. 271, 9 déc. 2002, p. 16.
120 | B anque
et
a ssurance
digitales
transposée en droit français par l’ordonnance n° 2005-648 du 6 juin 2005301, qui interdit le démarchage réalisé par automate d’appel ou par télécopieur sans le consentement préalable du consommateur. 230. En transposant l’article 13 de la directive n° 2002/58/CE du 12 juillet 2002 (dite directive « vie privée et communications électroniques »302, l’article 22 de la LCEN a créé un régime unifié pour la prospection commerciale par des techniques de communication à distance. Ce cadre a initialement été inséré dans le Code de la consommation à l’article L. 121-20-5 (abrogé en 2014)303 et dans le Code des Postes et des communications électroniques à l’article L. 33-4-1 rapidement transféré à l’article L. 34-5304 du même code. 231. Suite à l’adoption en 2009 du « Paquet Télécom », constitué d’un ensemble de directives instituant le nouveau cadre européen applicable aux communications électroniques, l’article L. 34-5 du CPCE a été modifié de façon substantielle en 2011305 et en 2014306 afin de prendre en compte les évolutions technologiques. Il fonde, dans sa version actuelle307, le régime applicable à la prospection directe quelle que soit l’activité dans laquelle cette opération s’inscrit, le secteur bancaire comme celui des assurances étant ainsi tenus de se conformer aux exigences prescrites. Le cadre de la protection est strictement défini (A) et repose sur la consécration du principe du consentement préalable de la personne concernée, la solution de l’opt-in ayant été préférée à celle de l’opt-out en France (B). A.
Le cadre juridique de la protection
1.
Définition de la prospection directe
232. L’article L.34-5 du CPCE définit la prospection directe comme étant « l’envoi de tout message destiné à promouvoir, directement ou indirectement, des biens, des services ou l’image d’une personne vendant des biens ou fournissant 301. Ordonnance n° 2005-648 du 6 juin 2005 relative à la commercialisation à distance de services financiers auprès des consommateurs, JO 7 juin 2005, p. 10002. 302. Directive n° 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive « vie privée et communications électroniques »), JOUE n° L. 201, 31 juill. 2002, p. 37 et s. 303. Abrogé par l’article 9 de la loi n° 2014-344 du 17 mars 2014 relative à la consommation, JO 18 mars 2014, p. 5400. 304. Article 10 de la loi n° 2004-669 du 9 juillet 2004 relative aux communications électroniques et aux services de communication audiovisuelle, JO 10 juill. 2004, p. 12483. 305. Ordonnance n° 2011-1012 du 24 août 2011 relative aux communications électroniques, JO 26 août 2011, p. 14473. 306. Article 115 de la loi n° 2014-344 du 17 mars 2014 relative à la consommation, JO 18 mars 2014, p. 5400. 307. Article 13 de l’ordonnance n° 2016-301 du 14 mars 2016 relative à la partie législative du Code de la consommation, JO 16 mars 2016.
la
protection des données à caractère personnel
| 121
des services » et y inclut depuis 2014 « les appels et messages ayant pour objet d’inciter l’utilisateur ou l’abonné à appeler un numéro surtaxé ou à envoyer un message textuel surtaxé ». Si la CNIL évoque dans son Guide sur la publicité308 la notion de « messages à caractère publicitaire », l’article L. 34-5 du Code des Postes et des communications électroniques renvoie à la dimension commerciale de ces messages, cette acception étant plus large. Dans ce contexte, il est recommandé d’être vigilant quant à la promotion indirecte attachée à un envoi. En effet, les lettres de contact ou newsletters, les magazines d’information (hors abonnement) peuvent constituer des supports de promotion indirecte dès lors que des informations à caractère commercial ou publicitaire y sont insérées (comme, par exemple, l’annonce d’une formation ou d’un salon professionnel payants). C’est notamment sur ce type de communication que la CNIL a prononcé, courant 2015, une sanction pécuniaire publique de 15 000 euros à l’encontre d’un grand groupe de presse. La Commission a ainsi estimé que même si la lettre d’information disponible sur le site de la société avait bien pour objet de fournir un contenu informationnel, elle servait aussi à « promouvoir d’autres titres de la société ainsi que des biens et services proposés par des tiers » et elle avait « également vocation à titre accessoire à assurer une opération de prospection commerciale »309. 233. A contrario, les échanges contractualisés (abonnement magazine) et les messages exclusivement informatifs (mise à disposition de chéquier, mini-relevé de compte ou d’alerte bancaire sur portable) échappent à cette qualification. 2.
Critères de la prospection directe
234. L’article L. 34-5 du Code des Postes et des communications électroniques pose un principe d’interdiction de la prospection directe « au moyen de système automatisé de communications électroniques au sens du 6° de l’article L. 32, d’un télécopieur ou de courriers électroniques utilisant les coordonnées d’une personne physique, abonné ou utilisateur, qui n’a pas exprimé préalablement son consentement à recevoir des prospections directes par ce moyen »310. a.
Les moyens visés
235. Le texte a été modifié par l’ordonnance du 24 août 2011311 afin de prendre en compte les évolutions technologiques, « l’automate d’appel » visé dans la version initiale de l’article ayant été remplacé par le libellé plus générique de « système 308. Guide « La pub, Si je veux ! », éd. 2011. Disponible sur le site de la CNIL : www.cnil.fr 309. Délibération de la formation restreinte n° 2015-155 du 1er juin 2015 prononçant une sanction pécuniaire à l’encontre de la société Prisma Media. 310. CPCE, art. L. 32-6° : « On entend par services de communications électroniques les prestations consistant entièrement ou principalement en la fourniture de communications électroniques. Ne sont pas visés les services consistant à éditer ou à distribuer des services de communication au public par voie électronique ». 311. Préc.
122 | B anque
et
a ssurance
digitales
automatisé de communications électroniques ». Selon l’article L. 32 du Code des Postes et des communications électroniques, « on entend par communications électroniques les émissions, transmissions ou réceptions de signes, de signaux, d’écrits, d’images ou de sons, par voie électromagnétique ». Les moyens de prospection qui sont visés renvoient donc à des techniques automatisées, ce qui, pour rappel, exclut les envois postaux et les appels téléphoniques avec intervention humaine. Cette rédaction large permet d’intégrer la prospection réalisée par la technologie Bluetooth312 conformément à la position de la CNIL en la matière. Dès 2008, la Commission s’est, en effet, intéressée à l’envoi de publicité sur les mobiles par Bluetooth « en exigeant le recueil du consentement préalablement à l’envoi de messages publicitaires sur des téléphones portables à partir de panneaux publicitaires intégrant des bornes Bluetooth »313, étant noté que cette exigence figure à l’article 6-a) de la norme simplifiée NS-48 sur le « recueil du consentement exprès et spécifique de la personne concernée ». 236. Plus spécifiquement, l’article L. 34-5 du Code des Postes et des communications électroniques fait également référence au télécopieur (moyen qui n’appelle pas de remarque particulière) et au courrier électronique qui est défini par l’article 1er de la LCEN comme « tout message, sous forme de texte, de voix, de son ou d’image, envoyé par un réseau public de communication, stocké sur un serveur du réseau ou dans l’équipement terminal du destinataire, jusqu’à ce que ce dernier le récupère ». Pour le G29314, le courrier électronique est constitué par « tout message transmis par communication électronique où la participation simultanée de l’expéditeur et du destinataire n’est pas requise est compris dans la notion de courrier électronique ». Concrètement, et sans que cette liste soit exhaustive, la définition, volontairement vaste et neutre d’un point de vue technologique, couvre outre le courrier SMTP (« Simple Mail Transport Protocol »), les SMS, les MMS, les systèmes de messagerie vocale, les communications « Net Send » adressées directement à une adresse IP et de façon plus globale, l’ensemble des messages électroniques pouvant être reçus sur un terminal fixe ou mobile. b.
Les personnes concernées
237. L’article L. 34-5 du Code des Postes et des communications électroniques indique « les coordonnées d’une personne physique, abonnée ou utilisateur ». Au-delà de la précision relative à la qualité d’abonné ou d’utilisateur, destinée à étendre le champ d’application de la définition, ce sont les personnes physiques qui sont visées, c’est-à-dire les particuliers ou les professionnels. Les personnes 312. Définition Larousse – « Technologie de connexion sans fil à courte portée, permettant de relier des appareils numériques (équipements informatiques, téléphoniques, audiovisuels, etc.) ». 313. 29e Rapport d’activité 2008, p. 50. 314. Avis n° 5/2004 portant sur les communications de prospection directe non sollicitées selon l’article 13 de la directive n° 2002/58/CE adoptée le 27 février 2004, p. 3.
la
protection des données à caractère personnel
| 123
morales sont exclues du champ d’application de l’article L. 34-5 du Code des Postes et des communications électroniques. Elles peuvent être prospectées directement et disposent d’un droit d’opposition (« Opt-out »). Ce principe est valable pour les adresses impersonnelles telles sav@sociétéX.com, contact@ sociétéY.fr. La CNIL a considéré que les coordonnées de type prénom.nom@ société.fr (ou.com ou autres) pouvaient également être librement prospectées sous réserve que le message commercial envoyé ait un lien avec les fonctions professionnelles exercées par le destinataire dans la société ayant attribué cette adresse. B.
Le principe de la protection
1.
Le consentement préalable (« Opt-in »)
238. Pour être licite, la prospection directe par voie électronique est subordonnée à l’obtention du consentement préalable du destinataire qui doit être entendu selon l’article L. 34-5, alinéa 2, du Code des Postes et des communications électroniques comme « toute manifestation de volonté libre, spécifique et informée par laquelle une personne accepte que des données à caractère personnel la concernant soient utilisées à des fins de prospection directe ». La licéité de ce type de prospection repose sur l’« Opt-in » (consentement préalable) qui doit être distingué de l’« Opt-out » (opposition), étant rappelé qu’il s’agit d’un choix opéré par la France pour la transposition de la directive de 2002 dite « vie privée et communications électroniques ». Concrètement, pour l’« Opt-in », les coordonnées du destinataire de la prospection doivent avoir été recueillies directement auprès de la personne (client/prospect), à l’occasion d’une vente ou d’une prestation de services. Le G29 a recommandé que les services gratuits soient inclus dans la notion d’offres de biens et de services315, et, en tout état de cause, la collecte vise également les hypothèses de jeux-concours. 239. En ce qui concerne l’« Opt-out », il s’agit d’une option par défaut, notamment lorsque la prospection concerne des produits ou services analogues et que le destinataire des messages a la possibilité de s’opposer, de manière expresse et sans ambiguïté, sans frais (hormis ceux liés à la transmission du refus) à l’utilisation de ses coordonnées (téléphone, mail et télécopie). 240. Les formes du consentement dans un environnement digital sont identiques à celles qui sont définies par la directive n° 95/46/CE, et le consentement pourra être donné « selon toute modalité appropriée permettant à l’utilisateur d’indiquer ses souhaits librement, de manière spécifique et informée, y compris en cochant une case lorsqu’il visite un site Internet »316.
315. Avis n° 01/2012 sur les propositions de réforme de la protection des données, 23 mars 2012, p. 10. 316. Considérant 17 de la directive n° 2002/58/CE.
124 | B anque
et
a ssurance
digitales
241. Les modalités du recueil du consentement ainsi que sa validité ont été précisées par le G29 et par la CNIL dans le cadre des obligations prescrites au titre de la protection des données à caractère personnel. La jurisprudence aussi a permis de compléter les conditions du recueil du consentement. En particulier, dans un arrêt de 2015317, le Conseil d’État a validé la mise en demeure de la CNIL adressée à une société de ventes de logiciels considérant que « le consentement spécifique exigé par les dispositions de l’article L. 34-5 du Code des postes et communications électroniques ne peut résulter que du consentement exprès de l’utilisateur, donné en toute connaissance de cause et après une information adéquate sur l’usage qui sera fait de ses données personnelles ». Il rappelle que le consentement ne saurait résulter de l’acceptation des conditions générales de vente, fussent-elles explicites. Le consentement doit être explicite et informé et porter spécifiquement sur le traitement de données à caractère personnel, nonobstant le consentement sur les conditions générales qui est nécessairement distinct. 242. Une seule exception est prévue au principe d’interdiction, étant noté qu’elle repose sur plusieurs conditions cumulatives. L’article L. 34-5, alinéa 4, du CPCE autorise la prospection commerciale directe si : • les coordonnées du destinataire ont été collectées directement auprès de l’intéressé et conformément aux principes posés par la loi « Informatique et Libertés » ; • la prospection porte sur « des produits ou services analogues » à ceux déjà fournis lors d’opérations commerciales antérieures par la même personne physique ou morale, le G29 a estimé qu’il s’agit de produits ou services qui répondent aux « attentes raisonnables » et a recommandé d’apprécier la situation du point de vue de la personne destinataire du message318 ; • la personne concernée doit être informée de l’existence d’un droit d’opposition à l’utilisation des données collectées pour de nouvelles sollicitations. Cette possibilité doit pouvoir être exercée de manière simple et sans frais, hormis ceux liés à la transmission du refus. 2.
L’obligation d’information
243. Le consentement repose sur un principe de transparence vis-à-vis de la personne concernée (client/prospect). L’article L. 34-5, alinéa 5, du CPCE qui fonde cette exigence impose d’indiquer des « coordonnées valables auxquelles le destinataire puisse utilement transmettre une demande tendant à obtenir que ces communications cessent sans frais autres que ceux liés à la transmission de celle-ci », « l’identité de la personne pour le compte de laquelle la communication est émise » et de mentionner qu’il s’agit de prospection commerciale. L’obligation 317. CE, 11 mars 2015, n° 368624 ; Com. com. électr. 2015, comm. 46, obs. A. Debet, Gaz. Pal. 2015, n° 85, p. 31. 318. Avis n° 5/2004 du 27 février 2004, op. cit., http://www.cnpd.public.lu/fr/publications/groupeart29/wp090_fr.pdf et avis 15/2011 du 13 juillet 2011 sur la définition du consentement : http://www.cnpd.public.lu/fr/publications/groupe-art29/wp187_fr.pdf
la
protection des données à caractère personnel
| 125
d’information préalable du destinataire du message de prospection est reprise et précisée par la loi « Informatique et Libertés ». Les manquements à l’article L. 34-5 du Code des Postes et des communications électroniques font l’objet de sanctions pénales et/ou administratives et sont souvent appréciés à l’aune des obligations prescrites par la loi « Informatique et Libertés ». § 2 – Les contraintes liées à protection des données personnelles319
244. La loi « Informatique et Libertés » appréhende la question de la prospection commerciale bien en amont de l’opération. De fait, toute opération de prospection requiert au préalable la constitution de fichiers des personnes qui vont être destinataires des messages, soit à partir de bases internes de données ou via l’acquisition (gratuite ou payante) de données d’origine tierce. Concrètement, plusieurs traitements de données au sens de la loi « Informatique et Libertés » sont concernés, dont à titre principal, la collecte des données réalisée directement auprès des prospects ou non ainsi que leur exploitation qui peut comprendre, outre l’envoi de messages commerciaux, l’acquisition ou la location de fichiers, l’enrichissement ou le croisement des données figurant dans les fichiers de prospection, la conservation de ces données, leur transmission (voire d’autres opérations encore). Ainsi, la loi « Informatique et Libertés » impose d’accorder une attention particulière à certaines catégories de données personnelles, pour la sélection des futurs prospects (A) et de veiller à ce que les traitements réalisés à des fins de prospection soient conformes aux obligations prescrites au titre de la protection des données à caractère personnel (B). A.
La constitution des fichiers de prospects
245. La recherche d’une meilleure performance des actions de prospection va de pair avec le développement des opérations ciblées et passe nécessairement par la réalisation de traitements de données personnelles dont la finalité sera de sélectionner les futurs prospects (clients ou purs prospects). Dans ce contexte, il est indispensable de veiller à garantir la collecte licite des données qui impose au préalable d’exclure les catégories de données qui ne peuvent pas faire l’objet d’opérations de prospection (1) et celles qui sont strictement encadrées (2).
319. E. Jouffin et X. Lemarteleur, « Un nouvel état de l’art pour les banques en matière de gestion de la relation clients/prospects ? », Banque & Droit, n° 146, nov.-déc. 2012, p. 16 et s.
126 | B anque
1.
et
a ssurance
digitales
Les données interdites de prospection
246. Les opérations de prospection commerciale ne peuvent pas être réalisées sur les données relatives à la santé, le NIR (ou NIRPP, Numéro d’inscription au répertoire des personnes physiques), certaines des données couvertes par le secret bancaire et les données relatives aux condamnations et infractions. Cela signifie que le consentement préalable de la personne ne permet pas de surseoir au principe d’interdiction. 247. En premier lieu, les données relatives à la santé320 sont couvertes par le secret professionnel prévu par l’article 226-13 du Code pénal qui en interdit la libre circulation ou divulgation. Pour la loi « Informatique et Libertés », les données de santé sont des données dites « sensibles » et l’article 8 pose un principe d’interdiction de traitement de cette catégorie de données à caractère personnel. La levée de l’interdiction repose sur le consentement exprès de la personne concernée sauf dans le cas où la loi l’interdit. Tel est le cas, par exemple, de l’article L. 1111-8 du Code de la santé publique (CSP), applicable aux hébergeurs de données de santé, qui exclut « tout acte de cession à titre onéreux de données de santé identifiantes, directement ou indirectement, y compris avec l’accord de la personne concernée », sous peine des sanctions prévues à l’article 226-21 du Code pénal (jusqu’à 3 ans d’emprisonnement) et dans le même sens, l’article L. 411-3 du Code de la santé publique interdit aux professionnels de santé « la constitution et l’utilisation à des fins de prospection ou de promotion commerciales de fichiers composés à partir de données issues directement ou indirectement des prescriptions médicales ou des informations médicales mentionnées à l’article L. 161-29 du Code de la sécurité sociale, dès lors que ces fichiers permettent d’identifier directement ou indirectement le professionnel prescripteur. La constitution et l’utilisation à des fins de prospection ou de promotion commerciales de fichiers composés à partir de données issues directement ou indirectement des prescriptions médicales ou des informations médicales mentionnées à l’article L. 161-29 du Code de la sécurité sociale, dès lors que ces fichiers permettent d’identifier directement ou indirectement le professionnel prescripteur ». 248. Dans sa recommandation de 1997 sur le traitement des données relatives à la santé321, la CNIL indique que « ces données, même rendues anonymes à l’égard des patients, ne peuvent être utilisées à des fins de promotion ou de prospection commerciale, dès lors qu’elles sont associées à l’identification du professionnel de santé ». Partant, les données de santé susceptibles d’être collectées dans le cadre de l’assurance, au moment de la souscription d’un contrat, ne pourront pas être utilisées à des fins de prospection par le responsable de traitement à l’origine de 320. V. supra partie I, chapitre II, section I - § 2 - A. 1. 321. Délibération n° 97-008 du 4 février 1997 portant adoption d’une recommandation sur le traitement des données de santé à caractère personnel, JO 12 avr. 1997, p. 5606.
la
protection des données à caractère personnel
| 127
la collecte (organismes d’assurance, de capitalisation, de réassurance, d’assistance et par les intermédiaires d’assurance). Ces données ne pourront pas non plus être transmises à des partenaires pour ces mêmes finalités de prospection/marketing direct. Tout manquement à cette interdiction est passible des sanctions prévues par l’article L. 226-21 du Code pénal qui réprime le détournement de finalité. 249. Cette limite est très clairement inscrite dans la norme simplifiée 56 de la CNIL qui vise les traitements automatisés de données à caractère personnel relatifs à la gestion commerciale de clients et de prospects. En effet, la NS-56 exclut expressément l’utilisation des données de santé par exemple pour les finalités spécifiques de « gestion d’opérations techniques de prospection (ce qui inclut notamment les opérations techniques comme la normalisation, l’enrichissement et la déduplication) », de sélection de personnes pour réaliser des actions de prospection ainsi que pour la réalisation d’opérations de sollicitations. 250. Pour le secteur bancaire, en principe, les responsables de traitement n’ont pas à traiter de données de santé du fait des finalités poursuivies par les traitements liés à l’activité bancaire. Ils ne peuvent pas être destinataires de ce type de données, ni les utiliser à des fins de prospection commerciale. 251. En ce qui concerne le secteur bancaire comme celui des assurances, les données relatives aux infractions et aux condamnations couvertes par l’article 9 de la loi « Informatique et Libertés » ne peuvent pas être collectées ni traitées dans le cadre de fichiers constitués à des fins de prospection, les finalités imparties pour leur traitement étant très strictement autorisées comme, par exemple, dans le cadre de l’AU-046 portant sur les traitements mis en œuvre pour la préparation, l’exercice et le suivi de leurs contentieux ainsi que l’exécution des décisions rendues322. 252. Enfin, le NIR, qui n’est pas susceptible d’être traité par les banques, ne peut pas être utilisé à des fins de prospection directe (par exemple dans le cadre de la constitution d’un fichier) par les entreprises d’assurance. 2.
Les données strictement encadrées
253. Le traitement de certaines données à des fins de prospection commerciale peut être autorisé sous réserve du consentement préalable de la personne concernée. Attention toutefois, car la frontière entre « interdiction de traiter » et « consentement préalable requis » peut être très mouvante et doit de toute façon être interprétée au vu des circonstances du traitement, étant entendu que le consentement préalable de la personne n’est pas un sésame absolu.
322. Délibération n° 2016-005 du 14 janvier 2016 portant autorisation unique de traitements de données à caractère personnel mis en œuvre par les organismes publics et privés pour la préparation, l’exercice et le suivi de leurs contentieux ainsi que l’exécution des décisions rendues (AU-046), JO 12 févr. 2016.
128 | B anque
et
a ssurance
digitales
254. Il ressort des dispositions légales et de la position de la CNIL que les données bancaires sont particulièrement protégées323. Partant, il n’est pas possible de raisonner à partir des données elles-mêmes (ce qui est le cas pour les données de santé) mais il faut tenir compte de la finalité poursuivie. Ainsi, la Cour de cassation a pu juger que n’était pas abusive une clause détenue dans une convention de compte autorisant la banque à transmettre des données personnelles vers des partenaires à des fins de gestion ou de prospection commerciale, « le client qui a donné son autorisation préalable ayant la faculté de la retirer à tout moment »324. 255. En tout état de cause, les traitements des données bancaires doivent répondre à des finalités strictement encadrées et dans de nombreuses situations les données collectées ne pourront pas être réutilisées pour sélectionner les personnes concernées à des fins de prospection. Sont donc interdites de prospection : – les données des listes d’initiés qui ne peuvent pas être utilisées, consultées ou transmises à d’autres fins que l’application de la législation sur la prévention des délits d’initiés325 ; – les données des cartes de paiement326 dont la collecte et l’utilisation répondent à des finalités strictement énumérées ; – les informations collectées dans le cadre de la gestion des risques liés aux crédits souscrits par les clients, l’utilisation à d’autres fins de ces données étant proscrite conformément à l’arrêté du 26 octobre 2010 relatif au fichier national des incidents de remboursement des crédits interdit la collecte de données à d’autres fins que celles mentionnées au présent arrêté. 256. Concrètement, les projets de prospection directe reposant sur des données bancaires pour la sélection des prospects doivent tenir compte en amont des destinataires des données, afin d’être conformes aux exigences liées au partage des informations couvertes par le secret. En outre, ces projets doivent également veiller au respect du principe de finalité, ce qui signifie que la prospection commerciale ne doit pas être interdite. Enfin, ils sont également tenus de considérer avec attention les obligations inhérentes au consentement préalable des personnes concernées (recueil et traçabilité). 323. V. supra partie I, chapitre II, section I - § 2 - A. 2. 324. Cass. civ. 1re, 23 janv. 2013, n° 10-28.397 et n° 11-11 421, A. Debet, « Absence de caractère abusif d’une clause de partage de données figurant dans une convention de compte », Com. com. électr. 2013, comm. 89. 325. Art. 2 § 2 [sur les finalités] de la délibération n° 2006-186 du 6 juillet 2006 décidant la dispense de déclaration de certains traitements automatisés de données personnelles ayant pour finalité la tenue, l’utilisation et la communication des listes d’initiés. 326. Article 1 de la délibération n° 2013-358 du 14 novembre 2013 portant adoption d’une recommandation concernant le traitement des données relatives à la carte de paiement en matière de vente de biens ou de fourniture de services à distance et abrogeant la délibération n° 03034 du 19 juin 2003.
la
protection des données à caractère personnel
| 129
257. Pour les données personnelles relatives à une personne mineure, sous sa nouvelle rédaction issue de la loi du 7 octobre 2016 pour une République numérique, la loi « Informatique et Libertés » ne comprend toujours pas de disposition spécifique pour la prospection directe de ce type de données. Cette opération est censée être placée sous la responsabilité des représentants légaux des mineurs (ex. : en ce qui concerne l’obtention du consentement préalable). A contrario, pour le RGPD, « les enfants méritent une protection spécifique en ce qui concerne leurs données à caractère personnel (...). Cette protection spécifique devrait, notamment, s’appliquer à l’utilisation de données à caractère personnel relatives aux enfants à des fins de marketing, ou de création de profils de personnalité ou d’utilisateur »327. 258. Les cookies (et autres traceurs) requièrent également une attention particulière dès lors qu’ils sont installés à des fins de prospection commerciale. En effet, ils tombent également sous l’exigence du consentement préalable de l’internaute lorsqu’ils sont collectés et utilisés pour cette finalité. 259. Les principes de transparence et de consentement préalable qui sont posés par l’article L. 34-5 du Code des Postes et des communications électroniques sont repris par la loi « Informatique et Libertés » pour y être précisé, étant noté que la CNIL veille au respect de l’ensemble des prescriptions légales applicables en la matière et qu’elle se montre plus stricte quant à l’interprétation de ces principes. B.
Le respect des principes « Informatique et Libertés »
1.
L’information préalable de la personne concernée
260. L’information des personnes qui vont être prospectées (clients/prospects) est une obligation prescrite par l’article L. 34-5 du Code des Postes et des communications électroniques mais largement complétée par l’article 32 de la loi « Informatique et Libertés ». Quelles que soient les modalités de la collecte (directement auprès de la personne ou non), l’obligation d’information admet une exception d’interprétation stricte qui se fonde sur le fait que la communication est impossible ou qu’elle exigerait des efforts disproportionnés. On rappellera que cette dérogation n’est pas cautionnée par la CNIL328. 261. Selon l’article 32 de la loi « Informatique et Libertés », le responsable de traitement est tenu d’indiquer : – l’identité du responsable du traitement (le cas échéant, celle de son représentant329), ce qui renvoie exclusivement à la « personne pour le compte de laquelle la communication est émise » telle que visée par l’article L. 34-5 du Code des Postes et des communications électroniques 327. Considérant 38 du RGPD. 328. V. supra partie I, chapitre II, section I. 329. Conformément aux prescriptions de l’article 5 de la loi « Informatique et Libertés ».
130 | B anque
et
a ssurance
digitales
et non au responsable de la collecte (dans le cas d’acquisition de fichiers externes par exemple) ; – « la finalité poursuivie par le traitement auquel les données sont destinées », c’est-à-dire de mentionner clairement qu’il s’agit de prospection commerciale ; – les champs obligatoires ou non sur le formulaire de collecte (et les conséquences éventuelles du défaut de réponse), ce qui s’applique dans le cas de formulaire en ligne ; – les destinataires ou catégories de destinataires des données, selon que les données seront exclusivement à usage interne ou communiquées à des partenaires à des fins de réutilisation ; – les droits « Informatique et Libertés » (droit d’accès aux données, droit de rectification/effacement des données, droit de « définir des directives relatives au sort de ses données à caractère personnel après sa mort », ce qui inclut le droit d’opposition au traitement de prospection) ; – « la durée de conservation des catégories de données traitées ou, en cas d’impossibilité, des critères utilisés permettant de déterminer cette durée ». 262. En outre, si des transferts de données à caractère personnel sont envisagés à destination d’un État tiers (ne présentant pas un niveau de protection suffisant), les personnes concernées doivent en être informées. Tel pourrait être le cas, dans un contexte de recours à des prestataires situés à l’étranger (routage des mails par exemple) ou en cas de transfert des fichiers de clients/prospects à des fins de marketing direct à des filiales de la banque ou de l’entreprise d’assurance situées dans un État tiers. 263. Les modalités de l’information sont précisées par l’article 90 du décret du 20 octobre 2005. Comme indiqué supra330, ces modalités sont liées à la réalisation de la collecte directement auprès des personnes concernées (formulaire en ligne ou demande formulée par téléphone) ou en cas de collecte indirecte (acquisition de fichiers ou DMP, par exemple). Spécifiquement pour les cookies (ou autres traceurs), pour rappel331, l’article 32-II de la loi « Informatique et Libertés » prévoit que « tout abonné ou utilisateur d’un service de communications électroniques doit être informé de manière claire et complète, sauf s’il l’a été au préalable, par le responsable du traitement ou son représentant : – de la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement
330. V. supra partie I, chapitre II, section I. 331. V. supra partie I, chapitre II, section I.
la
protection des données à caractère personnel
| 131
terminal de communications électroniques, ou à inscrire des informations dans cet équipement ; – des moyens dont il dispose pour s’y opposer ». 264. La CNIL a par ailleurs précisé les contours de l’obligation d’information notamment dans sa recommandation sur les cookies332 dans laquelle elle indique que « la validité du consentement est liée à la qualité de l’information reçue. Celle-ci doit être visible, mise en évidence et complète ». 2.
Le respect du principe de finalité
265. La prospection commerciale peut répondre à la poursuite d’intérêts légitimes de la part du responsable de traitement. Toutefois, en application de la LCEN (et de sa codification à l’article L. 34-5 du Code des Postes et des communications électroniques), la prospection directe, c’est-à-dire réalisée par voie électronique, est subordonnée à l’obtention du consentement préalable de la personne concernée (client/prospect), sous réserve de l’exception prévue au titre de la prospection portant sur des produits et services analogues à ceux déjà fournis lors d’opérations antérieures333. 266. Pour rappel, le consentement de la personne concernée doit être libre, spécifique et informé, ces trois caractéristiques étant cumulatives. Le caractère libre du consentement impose, d’une part, que la personne puisse choisir de recevoir de la prospection sans être exposée à quelque conséquence que ce soit, en cas de refus de sa part d’être prospectée (ne plus accéder à un service, par exemple). D’autre part, et d’un point de vue pratique, elle doit pouvoir exprimer elle-même son accord, ce qui exclut de facto toute case précochée. La CNIL recommande que le consentement soit recueilli au moyen d’une case à cocher334. Le caractère spécifique du consentement renvoie au fait qu’il doit nécessairement être rattaché à la finalité de prospection commerciale ou de marketing direct. Il ne peut pas être fondé sur la seule acceptation des conditions générales d’utilisation ou de vente même si elles sont claires et explicites. Le recueil du consentement pour l’ensemble des finalités de traitement couvertes par les CGU ne permet pas de le considérer comme spécifique. Le consentement ne saurait être global ou implicite. Ce critère est intrinsèquement lié aux informations qui doivent être communiquées au prospect. Le consentement informé exige, en effet, de mentionner au prospect de façon claire et précise la nature et les conséquences du traitement des données.
332. Délibération n° 2013-378 du 5 décembre 2013 portant adoption d’une recommandation relative aux cookies et aux autres traceurs visés par l’article 32-II de la loi du 6 janvier 1978, JO 26 déc. 2013. 333. V. supra partie I, chapitre II, section II - § 1. 334. CNIL : « La publicité ciblée en ligne » – Communication présentée en séance plénière le 5 février 2009 ; Fiches prospection de la CNIL.
132 | B anque
et
a ssurance
digitales
Cela étant, les modalités du recueil ont aussi leur importance sur la validité du consentement à des opérations de prospection directe. Conformément à l’article 32 de la loi « Informatique et Libertés », le consentement doit en effet être recueilli préalablement à l’opération de prospection, au moment de la collecte des données ou au moment de leur enregistrement (collecte indirecte). 267. Dans un arrêt du 11 mars 2015, le Conseil d’État335 a apporté des précisions sur la notion de consentement à la prospection commerciale par voie électronique et en particulier sur le caractère nécessairement spécifique de ce dernier. En l’espèce, une société proposait aux internautes l’installation de logiciels gratuits sur leur terminal, via l’acceptation de conditions générales d’utilisation du service (CGU). Or, la validation des CGU emportait également l’installation d’un moteur de recherche sur l’équipement de l’utilisateur, l’envoi de messages publicitaires adaptés en fonction du suivi de ses connexions ainsi que la cession de données personnelles (courriers électroniques) à des partenaires tiers aux fins de réaliser des opérations de prospection. À l’issue de son contrôle, la CNIL avait mis en demeure la société de recueillir le consentement spécifique des personnes physiques concernées avant de réaliser les opérations de prospection directe et de cession de coordonnées. Le Conseil d’État a validé la décision de la CNIL en indiquant que le consentement donné pour « l’ensemble des finalités d’un traitement, dont l’usage des données personnelles de l’utilisateur, ne saurait être regardé comme valant consentement spécifique, au sens et pour l’application de l’article L. 34-5 ». S’agissant de l’information, le Conseil d’État a rappelé que la validité du consentement repose sur le fait qu’il soit « donné en toute connaissance de cause et après une information adéquate sur l’usage qui sera fait de ses données personnelles ». 268. Spécifiquement pour les cookies et autres traceurs336 utilisés à des fins publicitaires, la validité du consentement repose sur l’information de l’internaute dont la CNIL recommande qu’elle « soit rédigée en des termes simples et compréhensibles pour tout utilisateur, et permette aux internautes d’être parfaitement informés des différentes finalités des cookies déposés et lus »337. L’internaute qui se rend sur le site d’un éditeur doit donc être informé via l’apparition d’un bandeau, sur la page d’accueil du site ou sur la page secondaire : – des finalités de publicitaires des cookies et autres traceurs utilisés ; – de la possibilité de s’opposer à leur installation via un lien figurant dans le bandeau ;
335. CE, 10e et 9e sous-sections, 11 mars 2015 (n° 368624), préc. 336. V. supra partie I, chapitre II, section I. 337. Délibération n° 2013-378 du 5 décembre 2013 portant adoption d’une recommandation relative aux cookies et aux autres traceurs visés par l’article 32-II de la loi du 6 janvier 1978 (préc.).
la
protection des données à caractère personnel
| 133
– et du fait que « la poursuite de sa navigation vaut accord au dépôt de cookies sur son terminal ». En conséquence, concrètement en ce qui concerne les cookies, l’action positive du prospect, nécessaire à l’expression de son consentement, sera réalisée dès lors que ce dernier se rend sur une autre page du site ou qu’il aura cliqué sur un autre élément du site (lien, image, bouton « rechercher »). Il n’est pas nécessaire de prévoir de case à cocher. En l’absence de toute action, aucun cookie (ou traceur) ne pourra être déposé sur le terminal de l’internaute et le bandeau d’information ne doit pas disparaître. 269. Enfin, l’article 32-II de la loi « Informatique et Libertés » prévoit que le consentement des internautes peut résulter du paramétrage du navigateur ou de tout autre dispositif placé sous leur contrôle. La validité du consentement résultant du paramétrage du navigateur est liée à la qualité de l’information préalable des internautes et requiert que les cookies soient effectivement gérés par le navigateur (ce qui concrètement reste parfois techniquement compliqué en cas d’utilisation d’autres technologies que les cookies http, tels que les pixels invisibles, les cookies flash ou les techniques de « fingerprinting »). Les internautes peuvent également choisir d’activer l’option « do not track » afin qu’aucune information ne soit collectée. 270. Comme indiqué supra338, les conditions de validité du consentement ont été renforcées par le RGPD. D’une part, l’article 7 du RGPD impose au responsable de traitement la charge de la preuve du recueil du consentement donné par la personne concernée et de son retrait, cette exigence étant applicable également pour la prospection directe. En outre, le retrait peut être exercé à tout moment (sans effet rétroactif) et facilement. Concrètement, des procédures idoines de gestion des consentements devront être mises en œuvre et documentées. 271. Pour les mineurs, l’article 8 du RGPD pose un âge de référence pour définir les modalités applicables au consentement des mineurs dans le cadre de l’utilisation des services de la société de l’information (ex. : création de compte sur Internet pour des jeux en ligne ou pour participer aux réseaux sociaux). Ainsi, en deçà de 16 ans, le consentement préalable à un traitement doit être obtenu auprès du titulaire de l’autorité parentale. Aucune disposition spécifique sur la prospection n’est indiquée, sauf en ce qui concerne le profilage, c’est-à-dire la sélection préalable des prospects.
338. V. supra partie I, chap. II, section I.
134 | B anque
3.
et
a ssurance
digitales
L’accomplissement des formalités auprès de la CNIL
272. Pour le secteur des assurances, les opérations de prospection commerciale par voie électronique relèvent du « Pack de conformité Assurance » de la CNIL finalisé en 2014339. Plus spécifiquement, ces opérations sont couvertes par la Norme Simplifiée 56 (« NS-56 ») qui concerne les traitements automatisés de données à caractère personnel ayant pour finalité la gestion commerciale de clients et de prospects mis en œuvre par les organismes d’assurance, de capitalisation, de réassurance, d’assistance et par les intermédiaires d’assurance. Pour les traitements de données concernés qui répondent strictement aux standards énoncés dans la NS-56, la formalité auprès de la CNIL est un simple engagement de conformité à la norme. Si le responsable de traitement a désigné un CIL, les traitements doivent être consignés dans son registre. Le régime déclaratif lié à la prospection commerciale bénéficie d’un formalisme simplifié. Pour autant, force est de constater que la NS-56 est très complète et veille à régler dans le détail les différentes situations de prospection. Sur les finalités, la NS-56 vise : – les opérations de fidélisation des clients (au sein d’une ou plusieurs entités) et de suivi de la relation (dont l’agrégation des contrats pour un même client au sein de l’entreprise ou du groupe) ; – les opérations relatives aux prospects, ce qui comprend la gestion d’opérations techniques de prospection (telles la normalisation, l’enrichissement et la déduplication), la sélection de personnes (cibles pour les actions de fidélisation, de prospection, de sondage, de test produit ou services et de promotion) et la réalisation d’opérations de sollicitations (campagne de e-mailing, par exemple) ; – l’élaboration de statistiques commerciales ; – la cession, la location ou l’échange des données relatives à l’identification des clients ou prospects pour améliorer le service au client en proposant des produits ou services permettant de réduire la sinistralité ou d’offrir un contrat ou une prestation complémentaire ; – l’organisation de jeux-concours, de loteries ou de toute opération promotionnelle ; – la gestion des avis des personnes sur des produits, services ou contenus. Et de façon à couvrir l’ensemble du périmètre client/prospect, la NS-56 concerne également la gestion des demandes de droit d’accès, de rectification et d’opposition, ce qui comprend la collecte d’un titre d’identité conformément aux prescriptions applicables pour la recevabilité de la demande. 339. V. supra partie I, chapitre II, section I.
la
protection des données à caractère personnel
| 135
En ce qui concerne les catégories de données, à côté des informations d’identification et celles relatives à la situation des personnes concernées (dont le suivi de la relation commerciale), les données de connexion (date, heure, adresse Internet, protocole de l’ordinateur de l’internaute, URL visitée) et les données relatives à la sélection des personnes sont spécifiquement indiquées. S’agissant des destinataires des données, la NS-56 vise expressément les soustraitants qui peuvent donc recevoir des données relatives aux clients ou aux prospects afin de les traiter, sous les instructions du responsable de traitement pour une ou plusieurs des finalités visées dans le cadre de la norme, « dès lors que le contrat signé entre les sous-traitants et le responsable du traitement fait mention des obligations incombant aux sous-traitants en matière de protection de la sécurité et de la confidentialité des données ». Les données personnelles relatives aux clients ou aux prospects peuvent également être transmises aux partenaires du responsable de traitement, à des sociétés extérieures ou entre entités d’un groupe sous réserve du respect des conditions d’information et/ou de consentement préalable de la personne concernée. Le transfert de données vers l’étranger est prévu dès lors que le responsable de traitement respecte les conditions prévues pour cette opération (décision d’adéquation, garanties appropriées telles des clauses contractuelles types ou des « Binding Corporate Rules » ou une des exceptions de l’article 69 de la loi « Informatique et Libertés ») (v. infra chapitre II, section IV). 273. Si le traitement ne correspond pas aux standards de la NS-56, une déclaration normale devra être réalisée auprès de la CNIL (ou consignation du traitement de prospection dans le registre du Correspondant). Les banques, qui ne disposent pas de « Pack de conformité » devront pour leur part adresser à la CNIL une déclaration normale pour leurs traitements mis en œuvre à des fins de prospection commerciale. 274. Par un arrêt du 25 juin 2013, la Cour de cassation a jugé : « un tel fichier non déclaré constitue un objet illicite, hors commerce, insusceptible d’être vendu ; qu’au cas présent, il est constant et non contesté que le fichier de clientèle tenu par la société Bout-Chard aurait dû être déclaré à la CNIL et qu’il ne l’a pas été ; que néanmoins, pour écarter la nullité de la vente du fichier de clientèle en cause, la cour d’appel a relevé que « la loi n’a pas prévu que la sanction de l’absence de déclaration du traitement du fichier clients soit la nullité du fichier » (arrêt attaqué, § 4) ; qu’en statuant ainsi, par un motif inopérant, cependant que le défaut de déclaration rendait le dossier illicite et, par suite, la vente de ce dossier nulle pour objet illicite, la cour d’appel a violé l’article 1128 du Code civil, ensemble l’article 22 de la loi n° 78-17 du 6 janvier 1978 »340.
340. Cass. com., 25 juin 2013, n° 12-17.037, Bull. civ. IV, n° 108.
136 | B anque
et
a ssurance
digitales
Lorsque la personne est un client, les données peuvent être conservées pendant 3 ans « à compter de la fin de la relation commerciale ». En revanche, lorsque la personne est un prospect non-client, les données peuvent être conservées pendant 3 ans « à compter de leur collecte par le responsable de traitement ou du dernier contact émanant du prospect »341. 4.
Le respect des droits des personnes
275. L’ensemble des droits « Informatique et Libertés » doit être garanti par le responsable de traitement, à l’instar de n’importe quel traitement de données à caractère personnel. 276. La personne concernée (client/prospect) doit être informée de l’existence de son droit d’accès, de rectification et d’effacement des données et d’opposition au traitement de prospection commerciale ainsi que des modalités d’exercice de ces droits (coordonnées valides de la personne ou du service concerné). 277. Spécifiquement pour le droit d’accès, elle a le droit d’interroger le responsable de traitement afin de connaître les données personnelles la concernant qui figurent dans les fichiers de prospection. Elle peut également demander à connaître l’identité de la personne qui a fourni le fichier (en cas de collecte indirecte des données), en application de l’article 39-4° de la loi « Informatique et Libertés » qui prévoit « la communication de toute information disponible quant à l’origine de celles-ci ». 278. Pour le droit de rectification, le responsable du traitement qui a procédé à la rectification de données doit en informer sans délai tout destinataire de ces données afin qu’il « procède également sans délai à la rectification ». 279. Les sanctions encourues en cas de manquement à cette obligation sont celles prévues en application de loi « Informatique et Libertés » pour tout type de traitement, sur le plan pénal (articles R. 625-10 et R. 625-11 du Code pénal) et/ou administratif (sanctions de la CNIL). 280. Concrètement, compte tenu de la pluralité d’acteurs possibles sur une opération de prospection directe (annonceur et ses partenaires, tels les prestataires en charge du routage des e-mailings), il appartient au responsable de traitement de vérifier ou de formaliser en amont les procédures pour la réception et le traitement des demandes d’accès, de rectification ou suppression des données et d’opposition au traitement. Une attention particulière doit être apportée au droit d’opposition (« Opt-out ») auquel est conféré un statut particulier en matière de prospection commerciale. 341. V. supra partie I, chapitre II, section I - § 3. B. 2. sur « Les formalités CNIL pour le secteur des Assurances ».
la a.
protection des données à caractère personnel
| 137
Le droit d’opposition
281. L’article 38 de la loi « Informatique et Libertés » impose un droit d’opposition automatique pour le client ou prospect dont les données ont été collectées et font l’objet d’un traitement à des fins de prospection commerciale, qu’elle qu’en soit la forme. La personne concernée (client/prospect) doit avoir la possibilité de s’opposer de manière simple et dénuée d’ambiguïté, au moment de la collecte de ses données. De fait, ce droit doit pouvoir être exercé « sans frais » non seulement pour le traitement en cours mais également pour tout traitement ultérieur, c’est-à-dire pour chaque message de prospection ultérieur342. 282. Conformément à l’article 97 du décret de 2005, le responsable de traitement doit avoir désinscrit de sa liste de prospection le demandeur dans un délai de deux mois et doit en informer « sans délai » les destinataires des données qui font l’objet de l’opposition. Concrètement, le traitement automatisé des demandes devrait pouvoir être réalisés sous les délais plus courts. Très spécifiquement, le droit d’opposition peut également être exercé préalablement à toute prospection. C’est l’objectif des listes d’opposition. b.
Le droit d’opposition avant toute prospection : les listes d’opposition
283. Le consommateur a la possibilité de s’inscrire sur des listes d’oppositions lorsqu’il ne souhaite pas que ses données à caractère personnel (numéro de téléphone fixe ou mobile, adresse mail) soient utilisées, notamment à des fins commerciales. Ces listes reposent pour la plupart sur une démarche volontaire dans la mesure où l’annonceur comme ses partenaires sont libres de les consulter ou non avant de lancer une opération de prospection. 284. En vertu de la directive n° 2009/136/CE et de l’article L. 34 du Code des Postes et des communications électroniques, tous les clients doivent être informés de leurs droits relatifs à l’utilisation de leurs données personnelles dans les annuaires d’abonnés, et de leur droit de figurer ou de ne pas figurer dans ces annuaires. Plusieurs listes ont été mises en œuvre dans le secteur de la téléphonie qui sont gérées par les opérateurs. Par exemple, l’inscription sur les listes rouge ou orange permet de ne pas figurer dans les annuaires publics. La liste « anti-annuaire » inversé permet, quant à elle, d’éviter de retrouver les noms et coordonnées d’une personne à partir du numéro de téléphone. Dans le même sens, la liste « anti-prospection » empêche l’utilisation à des fins de prospection commerciale des coordonnées figurant dans les annuaires. Des dispositifs pour
342. Considérant 41 de la directive n° 2002/58/CE : « Il conviendrait, lorsque des coordonnées électroniques sont recueillies, que le client soit informé clairement et distinctement sur leur utilisation ultérieure à des fins de prospection directe et qu’il lui soit donné la faculté de s’opposer à cet usage. Il convient de continuer d’offrir cette possibilité lors de chaque message de prospection directe ultérieur, et ce, sans frais, hormis les coûts liés à la transmission du refus ».
138 | B anque
et
a ssurance
digitales
ne pas recevoir de sollicitation sont aussi prévus pour les SMS (33700) et pour les courriers électroniques (« Signal SPAM »). 285. Or, ces listes trouvent une autre limite dans le fait que les démarcheurs n’utilisent pas uniquement les annuaires téléphoniques pour réaliser des prospections commerciales. Ainsi, donner son ou ses numéros dans le cadre de telle ou telle opération commerciale, peut conduire à la constitution de listes qui peuvent être réutilisées ou revendues pour de la prospection. La « loi Hamon » a créé la « liste Bloctel » pour remplacer la liste « PACITEL » ; cette nouvelle liste d’opposition au démarchage téléphonique ayant été précisée par décret343 courant 2015, plus contraignante, est entrée en vigueur depuis le 1er juin 2016. L’innovation majeure réside dans l’obligation faite aux responsables de traitement de consulter liste Bloctel avant toute campagne de prospection téléphonique et au moins une fois par mois lorsque la campagne dure plus de 30 jours, pour s’assurer de la conformité des fichiers de prospection commerciale avec la liste et avant toute mise à disposition de fichier (cession, location) pour s’assurer de la conformité des fichiers avec la liste. Les banques ainsi que les entreprises d’assurance vont devoir transmettre leurs listes de prospection, au moins une fois par mois, à l’organisme chargé de la liste Bloctel afin que ce dernier actualise les données enregistrées (concrètement, les oppositions). En conséquence, elles s’interdisent de démarcher téléphoniquement un consommateur inscrit sur cette liste, directement ou par l’intermédiaire d’un tiers agissant pour leur compte (agence de communication, régie publicitaire), « sauf en cas de relations contractuelles préexistantes ». Une des exceptions au principe est posée par l’article L. 223-1, alinéa 2, du Code de la consommation selon lequel un professionnel peut démarcher un consommateur sans avoir à vérifier au préalable son inscription sur la liste Bloctel en cas de « relations contractuelles préexistantes ». Ces relations sont définies sur le site officiel du service Bloctel comme étant « les contrats en cours à durée déterminée ou indéterminée qui n’ont pas fait l’objet d’une résiliation », étant donnés à titre d’exemple : – « les contrats de services à exécution successive ou étalé dans le temps ex : abonnements ; – les contrats de service à durée indéterminée qui ne s’éteignent qu’en cas de résiliation ; – les contrats à durée déterminée en cours ». En revanche, lorsque le contrat est totalement exécuté (remise du bien ou du service et paiement du prix, par exemple), le professionnel ne pourra plus 343. Décret n° 2015-556 du 19 mai 2015 relatif à la liste d’opposition au démarchage téléphonique, JO 21 mai 2015, p. 8581.
la
protection des données à caractère personnel
| 139
démarcher par téléphone le consommateur inscrit sur la liste d’opposition Bloctel. Cette interdiction commence dès que la relation contractuelle est terminée, c’est-à-dire à compter du paiement et de la fourniture complète du bien ou du service. 286. L’article L. 223-2 du Code de la consommation créé par l’ordonnance du 14 mars 2016 reprend les dispositions de l’article L. 121-34 du Code de la consommation imposant que : « Lorsqu’un professionnel est amené à recueillir auprès d’un consommateur des données téléphoniques, il l’informe de son droit à s’inscrire sur la liste d’opposition au démarchage téléphonique. Lorsque ce recueil d’information se fait à l’occasion de la conclusion d’un contrat, le contrat mentionne, de manière claire et compréhensible, l’existence de ce droit pour le consommateur ». Le décret du 19 mai 2015 ne précise pas la manière dont l’information au consommateur sur son droit de s’inscrire sur la liste d’opposition doit être formulée. La NS-56 ne comprend pas non plus de mention sur la liste Bloctel, étant noté qu’elle est postérieure à sa création. Concrètement, les banques et les entreprises d’assurance devront prévoir sur leur site, et sur tout support de communication électronique, une mention d’information adaptée indiquant que l’inscription sur la liste est gratuite. Le contrôle du respect de ces exigences est assuré par la DGCCRF344 (Direction générale de la concurrence, de la consommation et de la répression des fraudes), l’article L. 121-34-1 du Code de la consommation prévoit de 15 000 à 75 000 euros d’amende pour non-respect des obligations prescrites au titre de la liste Bloctel. c.
Le droit d’opposition dans le RGPD
287. Sans grands changements, l’article 21 du RGPD prévoit que le droit d’opposition est automatique pour les traitements de prospection commerciale et que, dans ce cas, « les données à caractère personnel ne sont plus traitées à ces fins ». Lors de la première communication avec la personne concernée, le droit d’opposition doit être explicitement porté à son attention, clairement et séparément de toute autre information. Le RGPD prend en compte l’environnement digital et prévoit donc dans ce contexte, la possibilité pour la personne concernée de s’opposer par des moyens automatisés. § 3 – Les sanctions
288. Les manquements aux obligations légales prescrites par la LCEN et la loi « Informatique et Libertés » en matière de prospection commerciale directe sont passibles de sanctions pénales et de sanctions administratives. 344. V. infra partie I, chapitre II, section II - § 3 pour les sanctions administratives.
140 | B anque
et
a ssurance
digitales
289. Sur le plan pénal, la prospection commerciale directe réalisée sans le consentement préalable des personnes concernées est constitutive d’un délit passible des sanctions prévues par l’article L. 226-18 du Code pénal qui réprime la collecte déloyale ou illicite de données. Spécifiquement, l’article L. 226-18-1 du Code pénal sanctionne le fait de procéder à un traitement de données à caractère personnel concernant une personne physique « à des fins de prospection, notamment commerciale », malgré l’opposition de cette personne. À ces sanctions peuvent s’ajouter celles prévues en cas de manquement aux autres principes légaux de protection (formalités préalables, durée de conservation limitée, mesures de sécurité adaptée, respect des droits d’accès, de rectification des données). Dans tous les cas, la peine prévue est de cinq ans d’emprisonnement et de 300 000 euros d’amende (amende pouvant être portée au quintuple pour une personne morale). La loi Hamon et son décret d’application n° 2014-1109 du 30 septembre 2014345 ont abrogé l’article R. 10-1 du Code des Postes et des communications électroniques346 qui prévoyait de sanctionner toute prospection réalisée au mépris de l’opposition des personnes concernées ou en l’absence de leur consentement préalable (amende de 750 euros pour les personnes physiques portée à 3 750 euros pour les personnes morales pour chaque message irrégulièrement expédié). Cette disposition a été remplacée au profit de nouvelles sanctions administratives. 290. Pour les sanctions administratives, trois autorités administratives sont compétentes : l’ARCEP, la DGCCRF et la CNIL. D’une part, selon l’article L. 34-5, alinéas 7 et 8, la DGCCRF est habilitée à constater les manquements et à prononcer une sanction pécuniaire jusqu’à 3 000 euros pour une personne physique et 15 000 euros pour une personne morale, sous réserve des compétences de l’ARCEP et de la sanction que cette dernière aurait déjà prononcée. La CNIL peut recevoir les plaintes des personnes concernées par la prospection et exercer son pouvoir de sanction conformément aux articles 45 à 47 de la loi « Informatique et Libertés », étant rappelé que la sanction pécuniaire de la CNIL peut atteindre 3 millions d’euros depuis l’entrée en application de la loi pour une République numérique du 7 octobre 2016.
345. JO 2 oct. 2014, p. 15999. 346. Le fait d’utiliser, dans des opérations de prospection directe, des données à caractère personnel relatives à des personnes ayant exprimé leur opposition, par application des dispositions du 4 de l’article R. 10, quel que soit le mode d’accès à ces données, est puni, pour chaque correspondance ou chaque appel, de l’amende prévue pour les contraventions de la quatrième classe, sans préjudice de l’application du premier alinéa de l’article 226-18 du Code pénal. La prospection directe des personnes physiques, abonnés ou utilisateurs, en violation des dispositions du premier alinéa de l’article L. 34-5 est punie, pour chaque communication, de l’amende prévue pour les contraventions de la quatrième classe, sans préjudice de l’application du premier alinéa de l’article 226-18 du Code pénal.
la
protection des données à caractère personnel
| 141
291. Un premier constat est que la CNIL a adopté de nombreuses sanctions pour réprimer les opérations de prospection commerciale directe illicite. Parmi les manquements constatés, la CNIL a notamment sanctionné la collecte déloyale des données. À titre d’exemple, c’est sur ce fondement que la CNIL a prononcé un avertissement public à l’encontre d’une société347 ayant constaté que « les personnes appelées pensent participer à une enquête sur la consommation des ménages français, alors que la finalité réelle est de constituer une base de données de séniors qui feront l’objet de prospection commerciale électronique par des tiers, partenaires de la société ». Par ailleurs, la méconnaissance du droit d’opposition ‒ concrètement l’impossibilité pour les personnes de se désinscrire de listes de prospection ‒ a également été sanctionnée par la CNIL348. 292. En outre, la CNIL a également adopté des sanctions349 pour le non-respect du consentement préalable requis au titre de l’article L. 34-5 du Code des Postes et des communications électroniques. Spécifiquement sur les cookies, de nombreuses décisions ont également été prises par la CNIL, étant noté que Google a été sanctionné en 2014350. Pour illustration, en 2016, une sanction pécuniaire de 30 000 euros351 a été prononcée à l’encontre d’une société, le contrôle réalisé par la CNIL ayant permis de constater que « le bandeau d’information relatif aux cookies était rédigé de telle sorte qu’il n’informait pas les utilisateurs de leur possibilité de paramétrer le dépôt de cookies » et que « plusieurs cookies ayant des finalités publicitaires étaient déposés dès l’arrivée des internautes sur la page d’accueil du site, sans recueil préalable de leur consentement ». 293. Enfin, la première décision judiciaire en matière de prospection commerciale revient à la Cour de cassation dans un arrêt rendu en 2006352 où la Cour, pour confirmer la condamnation de la société contrevenante, affirme que « constitue une collecte de données nominatives le fait d’identifier des adresses électroniques et de les utiliser, même sans les enregistrer dans un fichier, pour adresser à leurs titulaires des messages électroniques ». Elle considère également comme étant déloyal « le fait de recueillir, à leur insu, des adresses électroniques personnelles de personnes physiques sur l’espace public d’Internet, ce procédé faisant obstacle à leur droit d’opposition ».
347. Délibération de la formation restreinte n° 2015-454 du 21 décembre 2015 prononçant un avertissement public à l’encontre de la société Profils Seniors. 348. Délibération n° 2008-422 du 6 novembre 2008 portant décision de la formation restreinte à l’égard de la société C-Discount (sanction pécuniaire de 30 000 euros). 349. Délibération n° 2015-155 du 1er juin 2015 et délibération n° 2011-384 du 12 janvier 2012 précitées. 350. Délibération n° 2013-420 de la formation restreinte prononçant une sanction pécuniaire à l’encontre de la société Google Inc. (sanction de 150 000 euros). 351. Délibération de la formation restreinte n° 2016-204 du 7 juillet 2016 prononçant une sanction pécuniaire à l’encontre de la société Brandalley, disponible à : https://www.legifrance.gouv.fr/ affichCnil.do?id=CNILTEXT000032909770 352. Cass. crim., 14 mars 2006, n° 05-83.423. Com. com. électr. 2006, comm. 131, note A. Lepage ; Bull. crim. 2006, n° 69 ; D. 2006, p. 1066 ; JCP éd G, 2006, IV, 1819 ; RLDI mai 2006, n° 471, note Leclainche ; RLDI juin 2016, n° 498, note A. Belloir.
142 | B anque
et
a ssurance
digitales
SECTION III LE PROFILAGE ET LE BIG DATA 294. La profusion de données personnelles va de pair avec le développement du profilage, c’est-à-dire, concrètement, l’établissement du « profil » d’une personne à partir de la réalisation de traitements automatisés sur ses données. Pour le client de la banque comme pour celui de l’assurance, beaucoup de données le concernant figurent dans la base de l’entreprise (CRM), mais de nombreuses autres informations peuvent également être tirées de ses consultations des sites de la banque ou de l’assurance, de ses achats, de ses habitudes ou préférences, et plus globalement toutes ses traces laissées sur le Web. 295. Parallèlement, les « Wearables », smartphones, montres et bracelets connectés se multiplient et permettent d’accéder à de nouvelles données à caractère personnel très diverses, ce qui offre aux établissements bancaires et financiers ainsi qu’aux entreprises d’assurance d’autres opportunités de connaissance de leurs clients353. Ainsi, par exemple : – une voiture connectée pourra évaluer le style de conduite d’un assuré et les risques pris au volant ; – une maison connectée alertera en cas d’intrusion, de fuite, de court-circuit ; – un bracelet connecté mesurera en continu l’état de santé de son utilisateur, à travers différents paramètres (« Quantified self »)354. 296. La constitution de méga bases de données est désormais couplée avec les facultés croissantes d’analyse permises par l’intelligence artificielle, et c’est cette alliance qui renvoie au phénomène du Big Data355. Des « Fintech » en ont perçu les potentialités. Au Royaume-Uni, « Bought by Many » crée des communautés d’individus aux besoins d’assurances spécifiques (cyclistes, diabétiques, etc.) pour négocier – tel un grossiste – avec les assureurs, changeant ainsi de paradigme en passant de la gestion de la relation client (CRM) à l’ère du « Vendor Relationship Management » (VRM). Dans le même ordre d’idée, aux États-Unis, « The Climate Corporation » prédit le risque climatique en temps réel et offre des solutions d’assurance automatisées, notamment à destination de l’agriculture. 297. Les établissements bancaires et financiers comme les entreprises d’assurance se sont emparés de cette opportunité, entre autres, pour parfaire au 353. N. Weinbaum, « Les données personnelles confrontées aux objets connectés », Com. com. électr. déc. 2014 ; C. Laverdet, « Les enjeux juridiques de l’Internet des objets », JCP éd. G, La semaine du praticien, En questions, n° 23, 9 juin 2014, 670, p. 1154. 354. L. Marino, « To be or not to be connected : ces objets connectés qui nous espionnent », D. 2014 ; F. Meuris, « Les dangers du « soi quantifié » », Com. com. électr. juill. 2014. 355. M. Dupuis, E. Berthelé, Le Big Data dans l’assurance, Éditions L’Argus de l’assurance, 2014 ; P. Thourot et K. A. Folly, Big Data : opportunité ou menace pour l’assurance ?, RB Édition, 2016.
la
protection des données à caractère personnel
| 143
mieux la connaissance de leur clientèle, de leurs prospects, pour lutter contre la fraude. Pour autant, le profilage comme les traitements de Big Data ne sauraient être réalisés en méconnaissance des principes de protection des données à caractère personnel356. 298. Après avoir donné les définitions et les principales caractéristiques du profilage (§ 1) et du Big Data (§ 2), nous serons en mesure de dégager la difficulté d’application des principes de la protection des données à caractère personnel (§ 3). § 1 – Définitions et caractéristiques du profilage
299. À l’instar de la directive n° 95/46/CE, la loi « Informatique et Libertés » ne définit pas le profilage. De fait, une définition est proposée dans la Recommandation du Comité des ministres du Conseil de l’Europe du 23 octobre 2010357 à l’article 1-e) aux termes duquel il s’agit d’une « technique de traitement automatisé des données qui consiste à appliquer un “profil” à une personne physique, notamment afin de prendre des décisions à son sujet ou d’analyser ou de prévoir ses préférences ». 300. Dans le cadre de la loi « Informatique et Libertés », les opérations de profilage sont appréhendées sous l’article 10 qui interdit la prise de décision produisant des effets juridiques à l’égard d’une personne « sur le seul fondement d’un traitement automatisé de données destiné à définir le profil de l’intéressé ou à évaluer certains aspects de sa personnalité ». L’article 39 de la loi prévoit que la personne concernée a le droit d’interroger le responsable de traitement afin d’accéder « aux informations permettant de connaître et de contester la logique » qui sous-tend ce traitement, sous réserve du respect des droits des tiers (droits d’auteur, en particulier). L’interdiction de prise de décision automatisée qui est posée par l’article 10 est levée, dans le cadre de la conclusion ou de l’exécution d’un contrat, lorsque la personne concernée a pu présenter ses observations ou lorsque le responsable de traitement a répondu à ses demandes (ex. : l’accès à la logique du dispositif utilisé). Il résulte de la lecture combinée de ces différents articles que le profilage nécessite soit une intervention humaine dans la prise de décision, soit la possibilité pour la personne qui est concernée de communiquer ses observations. 301. Concrètement, l’article 10 de la loi de 1978 modifiée a servi de fondement aux traitements de « scoring », pour aider à l’évaluation et à la sélection des risques en matière d’octroi de crédit. Tel est le cas des traitements couverts par 356. L. Marino, « Le Big Data bouscule le droit », RLDI 2013, déc. 2013, v. p. 55 et s. ; P. Alix, « Le Big Data à l’épreuve du droit », AFCDP, « Correspondant informatique et libertés, bien plus qu’un métier », v. p. 281 et s. 357. Recommandation CM/Rec (2010) 13 et exposé des motifs du Comité des ministres des États membres sur la protection des personnes à l’égard du traitement automatisé de données à caractère personnel dans le cadre du profilage, adoptée le 23 octobre 2010.
144 | B anque
et
a ssurance
digitales
l’Autorisation unique AU-005358 qui soumet la licéité du dispositif de score à la possibilité pour le demandeur de solliciter un entretien avec un agent habileté à procéder à un réexamen du dossier dans le cadre duquel l’intéressé peut faire valoir ses observations sur sa situation financière personnelle. Les situations de profilage qui ont été autorisées par la CNIL pour la prévention ou l’évaluation de risques ont toujours amené la Commission à imposer la possibilité de réexamen des dossiers359 ou celle de présenter ses observations360. Les traitements de lutte contre la fraude ont également été mis en œuvre sur la base de l’article 10 de la loi « Informatique et Libertés »361. L’application de l’article 10 n’est toutefois pas totalement adaptée au profilage à des fins de prospection ou de marketing car la décision automatisée n’a pas vocation à produire des effets juridiques, comme le requiert l’article 10. 302. L’article 4-4) du RGPD définit le profilage comme « toute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données à caractère personnel pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique »362. 303. Le périmètre de l’article 22 du RGPD permet de prendre en considération tout type de décision individuelle automatisée, y compris le profilage, dès lors que le traitement automatisé produit des effets juridiques à l’égard de la personne concernée ou l’affecte de façon similaire. L’article 22-3 du RGPD précise que lorsque le traitement est nécessaire à la conclusion ou à l’exécution d’un contrat entre la personne concernée et un responsable de traitement, ou lorsqu’il est fondé sur le consentement préalable, parmi les garanties qui doivent être mises en œuvre par le responsable de traitement, figure le droit de la personne concernée d’obtenir une intervention humaine, d’exprimer son point de vue et de contester la décision.
358. Délibération n° 2008-198 du 9 juillet 2008 modifiant l’autorisation unique n° AU-005 relative à certains traitements de données à caractère personnel mis en œuvre par les établissements de crédit pour aider à l’évaluation et à la sélection des risques en matière d’octroi de crédit. 359. Délibération n° 2012-297 du 13 septembre 2012 autorisant Laser Cofinoga à mettre en œuvre un traitement automatisé de données à caractère personnel ayant pour finalité l’aide à la sélection et à l’évaluation des risques en matière d’octroi de crédit. 360. Délibération n° 2009-363 du 25 juin 2009 autorisant la mise en place par le Banque de France d’un dispositif de détection des « chèques présumés flambants » à l’occasion de la consultation du Fichier national des chèques irréguliers (FNCI). 361. Délibération n° 2012-435 du 6 décembre 2012 autorisant la mise en œuvre par la société Mondial Assistance d’un traitement de données à caractère personnel ayant pour finalité la lutte contre la fraude en matière de contrat d’assurance et d’assistance. 362. E. Jouffin et X. Lemarteleur, « Du psautier de Mayence au zetaoctets – quel environnement juridique pour le big data ? », Banque & Droit n° 166, mars-avr. 2016, p. 12.
la
protection des données à caractère personnel
| 145
§ 2 – Définitions et caractéristiques du Big Data
304. Le Big Data peut se définir comme « l’ensemble des résultats de chaque recherche effectuée, de chaque liste de résultats affichée et de chaque parcours en résultant. Comme ensemble, cette information incarne les intentions de l’humanité : une base de données gigantesque de désirs, d’attentes, d’envies […]. Un tel monstre n’a jamais existé dans l’histoire de la culture, mais il est quasiment certain qu’il va grandir de façon exponentielle à partir d’aujourd’hui. Cet artefact peut nous raconter des choses extraordinaires sur notre identité et nos aspirations en tant que culture. Et être une source d’abus tout aussi extraordinaires »363. L’expression de Big Data a été utilisée en 2008, pour la première fois semble-t-il, par le Gartner Group. En France, on parle de « Mégadonnées »364. Ce phénomène se caractériserait par trois « V » : Volume, Vélocité, Variété365. Certains ajoutent deux autres V : Véracité (l’exactitude ou la qualité des données) et Valeur (ce qu’il est possible de tirer comme sens de ces données afin de créer de la valeur). Ce dont on est sûr, c’est qu’en termes de volume, ce sont 122 milliards de milliards de données qui ont été créées en France pour 2014, dès lors on a du mal à imaginer ce que cela représente au niveau mondial. L’arrivée des logiciels capables de traiter ces gigantesques volumes de données structurées et non structurés se situe en 2009366. 305. La variété des données couvre une multitude de formats (textes, audio, vidéos, etc.), une multitude de provenances (sites, réseaux sociaux, smartphones, RFID, etc.), différentes origines (interne aux organisations ou externe) et différentes catégories, c’est-à-dire les données structurées (données métier, données clients, données administratives, etc.) ou non structurées (données du Web, données des réseaux sociaux, etc.). 363. J. Batelle, « The Search: How Google and its Rivals Rewrote the Rule of Business and Transformed our Culture », Penguin, 2005. 364. La Commission générale de terminologie et de néologie, après le Québec en 2013, a intégré dans son « Vocabulaire de l’informatique » le terme de « mégadonnées » qui est désormais le terme officiel pour désigner le « Big Data » (JO 22 août 2014). Sa définition est la suivante : « Données structurées ou non dont le très grand volume requiert des outils d’analyse adaptés. Note : On trouve aussi l’expression « données massives ». Équivalent étranger : big data ». 365. Gartner – IT Glossary : « Big data is high-volume, high-velocity and high-variety information assets that demand cost-effective, innovative forms of information processing for enhanced insight and decision making ». 366. V. par exemple : Hadoop, le NoSQL, Mapreduce… Selon le Commissariat général à la stratégie et à la prospective – Premier ministre – 2013 – Analyse des big data : quels usages, quel défi ? : « Ces logiciels, souvent open source comme Hadoop, peuvent distribuer des données simultanément sur plusieurs serveurs. D’autres logiciels, à l’image de MapReduce¸ servent à effectuer des calculs en parallèle avec ces données distribuées. On bénéficie ainsi de la puissance de calcul concomitante de multiples serveurs banalisés en cluster (secteurs). Pour améliorer le traitement des données, les logiciels doivent être capables de détecter l’information intéressante : on parle alors de datamining. De plus, l’analyste utilise une méthode inductive et non plus déductive : il cherche à établir des corrélations entre plusieurs informations sans hypothèses prédéfinies ».
146 | B anque
et
a ssurance
digitales
La vélocité fait référence aux capacités et aux délais de traitement des données, désormais en quasi en temps réel (analyse, actualisation des données), tout en permettant l’analyse en flux (streaming). Ces quelques éléments témoignent de l’impact des analyses issues du Big Data incorporant les données provenant des objets connectés sur la vie privée des individus367. Dans la banque, comme dans l’assurance, les applications sont multiples et permettent de mieux maîtriser les risques, par exemple en matière de crédit368. § 3 – La difficile application des principes de protection
306. Le G29 fait la distinction entre un traitement Big data qui permettrait de détecter des tendances et mettre en relation des informations et un profilage en tant que tel qui permettrait la prise de décisions par rapport aux individus369. Cela étant, quelle que soit l’origine des données personnelles, les opérations de profilage comme le Big data doivent se conformer aux principes de protection ayant trait au respect de la finalité des traitements, à la proportionnalité des données par rapport aux finalités poursuivies et à leur sécurité. Pour rappel, selon l’article 6 de la loi « Informatique et Libertés », les données à caractère personnel sont collectées pour des « finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités ». Pour les traitements les plus intrusifs tels que le marketing direct, la publicité comportementale, le courtage des données ou la publicité impliquant des techniques de profilage et de partage des données, le critère de l’intérêt légitime du responsable de traitement ne saurait légitimer le traitement370. 307. Spécifiquement sur le profilage de la clientèle, dans un avis du 9 avril 2014, le G29 a reconnu que « les responsables de traitement peuvent avoir un intérêt 367. G29 [WP 221] Statement of the WP29 on the impact of the development of big data on the protection of individuals with regard to the processing of their personal data in the European Union (2014): « “Big data” is a broad term that covers a great number of data processing operations, some of which are already well - identified, while others are still unclear and many more are expected to be developed in the near future” ». V. égal. Opinion n° 03/2013 on purpose limitation (2013): « Big data refers to the exponential growth both in the availability and in the automated use of information: it refers to gigantic digital datasets held by corporations, governments and other large organisations, which are then extensively analysed (hence the name: analytics) using computer algorithms. Big data can be used to identify more general trends and correlations but it can also be processed in order to directly affect individuals ». 368. C. Claudios, R. Hagège, « L’impact du Big data sur les modèles de crédit : révolution ou évolution ? », Rev. Banque, n° 777, nov. 2014, p. 74 et s. 369. G29 Opinion n° 03/2013 [WP 203] on purpose limitation, 2 avr. 2013. 370. Direct marketing at the initiative of the retailer/controller will also not be possible on this ground. In some cases, Article 7 (f) could provide an appropriate legal ground instead of Article 7 (b), subject to adequate safeguards and measures, and meeting the balancing test. In other cases including those involving extensive profiling, data-sharing, online direct marketing or behavioural advertisement, consent under Article 7 (a) should be considered, as follows from the analysis below.
la
protection des données à caractère personnel
| 147
légitime à connaître les préférences de leurs clients pour être en mesure de mieux personnaliser leurs offres, et en fin de compte, proposer des produits et des services qui correspondent mieux aux besoins et aux désirs des clients (…) pour autant qu’il existe des garanties appropriées »371. Pour autant, il conviendra de noter que le G29 précise également qu’« une telle activité de profilage [notamment via la création de profils complexes concernant la personnalité et les préférences des clients] risque de constituer une violation grave de la vie privée du client et, dans ce cas, l’intérêt et les droits de la personne concernée prévaudraient sur l’intérêt poursuivi par le responsable de traitement ». 308. Le G29 précise que, lorsque les responsables de traitement souhaitent surveiller leurs clients en ligne ou hors ligne, combiner une grande masse de données personnelles provenant de différentes sources et qui ont été initialement collectées dans d’autres contextes et pour des finalités différentes, si cette surveillance aboutit à la création de profils complexes de personnalité et de préférence des clients, un tel profilage impose que ces derniers donnent leur consentement. 309. L’exécution d’un contrat n’est pas un motif juridique légitime approprié pour construire un profil en fonction des goûts des utilisateurs et de leurs modes de vie d’après leur navigation et achats sur Internet. Par conséquent, pour les traitements intrusifs précités, seul le critère du consentement doit être considéré372. 310. Dans le contexte du Big data, le principe de finalité est mis à mal373. En effet, l’agrégation des données en masse peut aboutir à la création de nouvelles finalités. On assiste à un changement de paradigme selon lequel la finalité ne serait pas exclusivement prédéterminée, mais pourrait être le résultat de la manipulation des données. Dans son avis du 9 avril 2014, le G29 a précisé que « si une organisation souhaite spécifiquement analyser ou prédire les préférences personnelles, le comportement et les attitudes de clients individuels, qui serviront ensuite à guider des « mesures ou décisions » prises à l’égard de ces clients (...) un consentement préalable, libre, spécifique, informé et indubitable devrait presque toujours être requis, faute de quoi l’utilisation ultérieure ne pourra pas être jugée compatible. Ce consentement devrait surtout être requis, par exemple, pour le traçage et le profilage à des fins de prospection directe, de publicité comportementale, de courtage en informations, de publicités fondées sur la localisation ou d’étude de marché numérique fondé sur le traçage »374. 371. G29, Avis n° 06/2014 sur la notion d’intérêt légitime poursuivi par le responsable du traitement des données au sens de l’article 7 de la directive n° 95/46/CE, 844/14/FR, WP 217, 9 avr. 2014 qui est disponible à l’adresse : http://ec.europa.eu/justice/data-protection/article-29/ documentation/opinion-recommendation/files/2014/wp217_fr.pdf 372. Avis G29 n° 06/2014 [WP 217] on the notion of legitimate interests of the data controller under article 7 of directive n° 95/46/EC. 373. E. Jouffin et X. Lemarteleur, « Du psautier de Mayence au zetaoctets – quel environnement juridique pour le big data ? », Banque & Droit, n° 166, mars-avr. 2016, p. 14 et s. 374. V. supra.
148 | B anque
et
a ssurance
digitales
311. Il convient de noter qu’un consentement unique pourrait suffire à la réutilisation de ses données (y compris pour les données en provenance de partenaires), si la personne concernée a été correctement informée et s’il n’y a pas de changement de finalité pour les nouveaux traitements liés à cette réutilisation. Concrètement, la nécessité du consentement doit être appréciée au cas par cas, en fonction des objectifs poursuivis par les nouvelles utilisations de données qui sont envisagées. 312. On précisera à ce propos, que le recueil du consentement n’exonère en aucun cas les responsables de traitements concernés par le projet d’effectuer les formalités déclaratives auprès de la CNIL. 313. En ce qui concerne la réutilisation des données à des fins statistiques, d’après le Conseil d’État, les principes de la loi « Informatique et Libertés » « ne sont pas une entrave au développement du Big Data. En effet, nombre des usages du Big Data ne visent pas les personnes en tant que telles, mais l’exploitation statistique des données le concernant. Or, le principe de finalités déterminées n’exclut pas la liberté de réutilisation statistique : dans le cadre juridique actuel, la finalité statistique est toujours présumée compatible avec la finalité initiale du traitement. Lorsque les usages du Big Data visent les personnes en tant que telles, par exemple pour établir un profil prédictif de leurs caractéristiques (solvabilité, dangerosité…), la pleine application des principes fondamentaux de la protection des données est en revanche requise375 ». 314. Pour le traitement statistique des données, le RGPD reconnaît expressément que « les données à caractère personnel peuvent être conservées pour des durées plus longues dans la mesure où elles seront traitées exclusivement à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques ». Dans cette perspective, l’article 89 du RGPD impose au responsable de traitement de prendre des mesures techniques et organisationnelles (comme le recours à la pseudonymisation) et des garanties telles le « principe de minimisation des données ». 315. S’agissant du principe de proportionnalité, l’accumulation de données déjà présente dans le profilage et intrinsèquement liée au Big Data n’est pas conforme au principe de proportionnalité des données. En effet, aux termes de l’article 6-3 de la loi « Informatique et Libertés », les données doivent être « adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs ». Le principe de minimisation des données semble, quant à lui, ne pas pouvoir être facilement conciliable avec la logique du Big Data.
375. Étude annuelle 2014 du Conseil d’État, « Le numérique et les droits fondamentaux », sept. 2014, Études et documents, Conseil d’État, p. 18, disponible à l’adresse : http://www. ladocumentationfrancaise.fr/var/storage/rapports-publics/144000541.pdf
la
protection des données à caractère personnel
| 149
316. Sur la sécurité des données, il est possible que la sécurisation des bases données impose au responsable de traitement de déployer des moyens ou de recourir à des mesures techniques et organisationnelles extrêmement performantes afin de préserver la disponibilité, l’authenticité, l’intégrité et la confidentialité des données. L’article 35 du RGPD prévoit de réaliser obligatoirement une analyse d’impact « en cas d’analyse systématique et approfondie d’aspects personnels concernant les personnes physiques, qui est fondée sur un traitement automatisé, y compris le profilage ». 317. En ce qui concerne l’obligation d’information des personnes concernées par des opérations de profilage ou de Big data, pour rappel, alors que la loi « Informatique et Libertés » ne le prévoit pas, en cas de collecte (indirecte), le RGPD impose d’informer la personne concernée de « la source d’où proviennent les données à caractère personnel et, le cas échéant, une mention indiquant qu’elles sont issues ou non de sources accessibles au public »376.
SECTION IV TRANSFERT DES DONNÉES À CARACTÈRE PERSONNEL 318. Les réseaux de communications électroniques (télécoms et Internet) et les moyens informatiques, entraînent depuis de nombreuses années des flux transfrontières de données. Cela se vérifie dans les grands groupes internationaux de banque et d’assurance où les outils sont souvent partagés ainsi que les données. 319. À l’époque de la globalisation, du fait des activités et des implantations des banques et des assurances, leurs traitements informatisés de données circulent à l’échelle planétaire ; la localisation physique de l’hébergement et de l’exploitation de ces données dans le cadre du « Cloud computing » peut être dissociée du lieu de leur collecte et de leur utilisation (accès…) ; de même, le cas du « Big data » dans les grands groupes internationaux de banques ou d’assurances représente des enjeux importants en termes d’analyse des données, particulièrement sur la question de l’anonymisation (irréversible ?) et de la pseudonymisation. Les réseaux numériques ouverts (l’Internet) ou fermés (intranet, extranet) se multiplient et l’abolition des frontières étatiques pourrait remettre en cause la souveraineté des États, voire des approches régionales comme dans l’Union européenne ou internationale (Conseil de l’Europe). 320. L’article 24 de la loi « Informatique et Libertés » mentionnait dès son origine : « Sur proposition ou après avis de la Commission, la transmission entre le territoire et l’étranger, sous quelque forme que ce soit d’informations
376. É. A. Caprioli, « Profilage et algorithmes dans la banque. Brèves réflexions juridiques », horssérie Banque & Droit, mars-avr. 2017, p. 23 et s.
150 | B anque
et
a ssurance
digitales
nominatives faisant l’objet de traitements automatisés régis par l’article 16 (…) peut être soumise à autorisation préalable ou réglementée (…)»377. De même, la Convention du Conseil de l’Europe n° 108 du 28 janvier 1981378, dispose d’un chapitre III, intitulé « flux transfrontières de données ». 321. La directive n° 95/46/CE du 24 octobre 1995 reprendra certains des principes, en les affinant, en procédant à la distinction essentielle entre ceux qui s’opèrent dans les États de l’Union et ceux qui s’effectuent en dehors de l’Union européenne, en transformant la notion de protection équivalente en protection adéquate. La directive reprend à son chapitre IV le transfert des données personnelles en dehors de l’Union européenne et pour lesquels le principe fondateur de libre circulation des données dans les États membres ne peut s’appliquer379. Il fallait éviter que certains acteurs délocalisent leurs traitements dans des « paradis des données » pour échapper aux lois des États membres. Selon d’éminents auteurs, « faute de conventions internationales, protectrices de grande portée et contraignante (…), ce texte a entendu cependant atténuer – et non supprimer – les disparités pour assurer une protection minimale des droits et libertés des ressortissants de l’Union même lorsque leurs données seraient traitées à l’extérieur de celle-ci »380. Les articles 25 et 26 composent ce chapitre et constituent les fondements juridiques de l’harmonisation des législations des États membres (voir infra). La loi « Informatique, fichiers et libertés » a été modifiée le 4 août 2004 pour assurer la transposition de la directive381. Les transferts n’étaient pas ignorés par la directive et par la loi française, mais les praticiens ont pu constater les limites des articles 25 et 26 de la directive. 322. De plus, c’est le 27 avril 2016 que le RGPD382 a été adopté après plus de quatre années de discussions et avec un chapitre dédié aux transferts. Pour ce faire, nous envisagerons dans un premier temps le droit applicable en matière de transfert de données en dehors de l’Union européenne tel qu’il est applicable jusqu’à l’entrée en vigueur du règlement européen (§ 1) et nous
377. JO 7 janv. 1978 et rectificatif au JO 25 janv. 1978. 378. Convention n° 108 du Conseil de l’Europe, consultable sur le site : www.coe.org 379. G. Braibant, Données personnelles et société de l’information, La Documentation française, Rapport au Premier ministre, 1998. L’article 1er de la directive n° 95/46/CE dispose : « 1. Les États membres assurent, conformément à la présente directive, la protection des libertés et droits fondamentaux des personnes physiques, notamment de leur vie privée, à l’égard du traitement des données à caractère personnel. 2. Les États membres ne peuvent restreindre ni interdire la libre circulation des données à caractère personnel entre États membres pour des raisons relatives à la protection assurée en vertu du paragraphe 1 ». 380. A. Lucas, J. Devèze, J. Frayssinet, Droit de l’informatique et de l’internet, PUF, 2001, v. n° 339, p. 194. 381. G. Desgens-Pasanau, La protection des données à caractère personnel, LexisNexis, 2012, p. 83 et s. ; A. Debet, J. Massot, N. Metallinos, Informatique et Libertés, Lextenso, 2015, v. p. 1595 et s. 382. Règlement n° 2016/679/UE du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données et abrogeant la directive n° 95/46/CE (règlement général sur la protection des données), JOUE n° L. 119, 4 mai 2016, p. 1.
la
protection des données à caractère personnel
| 151
présenterons, dans un second temps, les nouvelles règles dont l’application est fixée au 25 mai 2018 (§ 2). § 1 – Cadre juridique applicable jusqu’en mai 2018
323. Il n’existe pas de définition légale ou réglementaire du transfert dans les textes européens ou français. Mais la CNIL a donné une définition « fonctionnelle » du transfert : « toute communication, copie ou déplacement de données par l’intermédiaire d’un réseau ou toute communication, copie, ou déplacement de ces données d’un support à un autre, quel que soit le type de ce support, dans la mesure où ces données ont vocation à faire l’objet d’un traitement dans le pays destinataire »383. Ainsi, pour qu’il y ait transfert, il faut la communication d’un traitement de données vers un pays destinataire situé en dehors de l’Union européenne. Aussi, peut-on en déduire que les opérations de transfert et de traitement sont étroitement imbriquées. 324. Seront par conséquent qualifiés de transfert la mise à disposition d’un intranet groupe qui peut centraliser un annuaire délocalisé des employés, la base des ressources humaines ou de celles pour la gestion des commandes ou de la comptabilité clients, l’hébergement technique des services et données associées, la saisie informatique de données inscrites dans des dossiers manuels par un prestataire… Un grand nombre de ces traitements numériques sont concernés dans le cadre des activités des banques ou d’assurances internationales. Inversement, ne seront pas constitutifs de transferts : la simple consultation d’une page Web par un internaute situé dans un pays tiers à l’UE384 ou la saisie des données par un internaute dans un formulaire en ligne. A.
Transfert et directive n° 95/46/CE du 24 octobre 1995
325. Les dispositions des articles 25 et 26 de la directive sont consacrées aux transferts de données à caractère personnel. 1.
Le principe d’interdiction des transferts ne présentant pas un niveau de protection adéquat
326. Le principe d’interdiction de transfert des données vers des États ne présentant pas un niveau de protection adéquat est posé à l’article 25 de la directive n° 95/46/CE. Dans la convention du Conseil de l’Europe, le niveau devait être « équivalent » en 1981 ; il a été remplacé par le terme « adéquat » en 2001385. De son côté, la loi française mentionne un niveau « suffisant »386.
383. Guide CNIL, « Transfert de données à caractère personnel vers les pays non-membres de l’Union européenne », juin 2008, p. 5. 384. CJCE, 6 nov. 2003, aff. C-101-/01 Lindqvist, D. 2004, p. 1062. 385. Protocole additionnel de la Convention n° 108 du 8 novembre 2001. 386. V. l’article 68, alinéa 2, de la loi « Informatique, fichiers et libertés ».
152 | B anque
et
a ssurance
digitales
L’utilisation de ces termes n’est pas neutre et les conséquences juridiques peuvent être différentes387. 327. L’appréciation du niveau de protection adéquat est précisée, à tout le moins pour partie, à l’article 25-2 de la directive. Ainsi, « le caractère adéquat du niveau de protection offert par un pays tiers s’apprécie au regard de toutes les circonstances relatives à un transfert ou à une catégorie de transferts de données ; en particulier, sont prises en considération la nature des données, la finalité et la durée du ou des traitements envisagés, les pays d’origine et de destination finale, les règles de droit, générales ou sectorielles, en vigueur dans le pays tiers en cause, ainsi que les règles professionnelles et les mesures de sécurité qui y sont respectées ». Pour déterminer le caractère « adéquat », on peut constater que le concept est à la fois complexe et flou, dans la mesure où l’approche européenne est à la fois souple (« au regard de toutes les circonstances du transfert »), qu’elle s’apprécie au cas par cas (« pour chaque catégorie de données ») et qu’elle effectue en termes de « similarité fonctionnelles »388, en ce sens que l’objectif poursuivi par la directive n’est pas d’assurer une « transposition » des règles de protection du système européen mais plutôt de rechercher tous les éléments et les mesures permettant de constater une protection « adéquate ». 2.
Les dérogations au principe
328. Les exceptions définies par l’article 26 de la directive389 sont énumérées de façon limitative et doivent être interprétées strictement comme l’indique un 387. Y. Poullet, « Pour une justification des articles 25 et 26 de la directive européenne n° 95/46/CE en matière de flux transfrontières et de protection des données », Com. com. électr. 2003, p. 9. 388. Y. Poullet, « Flux transfrontières de données, vie privée et groupe d’entreprises : à propos d’une opinion récente du Groupe de travail “Article 29” sur la protection des données et d’une décision de la Commission belge de protection des données », RLDI n° 8, sept. 2005, p. 236 et s. 389. L’article 26 fixe les dérogations : « 1. Par dérogation à l’article 25 et sous réserve de dispositions contraires de leur droit national régissant des cas particuliers, les États membres prévoient qu’un transfert de données à caractère personnel vers un pays tiers n’assurant pas un niveau de protection adéquat au sens de l’article 25, paragraphe 2, peut être effectué, à condition que : a) la personne concernée ait indubitablement donné son consentement au transfert envisagé, ou b) le transfert soit nécessaire à l’exécution d’un contrat entre la personne concernée et le responsable du traitement ou à l’exécution de mesures précontractuelles prises à la demande de la personne concernée, ou c) le transfert soit nécessaire à la conclusion ou à l’exécution d’un contrat conclu ou à conclure, dans l’intérêt de la personne concernée, entre le responsable du traitement et un tiers, ou d) le transfert soit nécessaire ou rendu juridiquement obligatoire pour la sauvegarde d’un intérêt public important, ou pour la constatation, l’exercice ou la défense d’un droit en justice, ou e) le transfert soit nécessaire à la sauvegarde de l’intérêt vital de la personne concernée, ou f) le transfert intervient au départ d’un registre public qui, en vertu de dispositions législatives ou réglementaires, est destiné à l’information du public et est ouvert à la consultation du public ou de toute personne justifiant d’un intérêt légitime, dans la mesure où les conditions légales pour la consultation sont remplies dans le cas particulier (…) ».
la
protection des données à caractère personnel
| 153
document du Groupe de travail de l’Article 29 : « ces dérogations, formulées de manière restrictive, ne doivent concerner que des cas dans lesquels les risques pour la personne concernée sont relativement faibles, ou des cas dans lesquels d’autres intérêts (qu’ils soient publics ou propres à la personne concernée ellemême) priment le droit de la personne concernée au respect de sa vie privée »390. 329. S’agissant des exceptions, on peut distinguer celles qui relèvent du consentement de la personne et celles qui sont liées à une nécessité. D’après l’article 26-1, a) « la personne concernée ait indubitablement donné son consentement au transfert envisagé ». L’article 2.h) de la directive, définit ce que l’on entend par « consentement de la personne concernée » : « toute manifestation de volonté, libre, spécifique et informée par laquelle la personne concernée accepte que des données à caractère personnel la concernant fassent l’objet d’un traitement ». Cette définition exclut le consentement implicite ou tacite. Puisque le consentement doit être spécifique, ne sera pas valable le fait d’obtenir un consentement a priori des personnes sur un transfert dont les contours et les finalités ne pourraient être exposés avec précision aux personnes concernées au moment du recueil de leur consentement. De plus, l’information de la personne doit porter également sur l’absence ou la faiblesse de la protection dans le pays destinataire. Cependant, le terme indubitablement employé à l’article 26-1-a) laisse perplexe391. Afin de préciser ce qualificatif, on retiendra que le consentement doit être certain et qu’aucun doute quant à son existence n’est possible. Cette formulation comme toute dérogation est d’interprétation stricte. Ainsi, elle nous semble apporter une limite quant à la portée de la dérogation devant s’appliquer à des transferts précis, ponctuels, pour lesquels le consentement aura été donné, au cas par cas, et non de façon générale. La notion d’État tiers renvoie au niveau de protection en vigueur localement et l’encadrement du transfert des données vers les États dépend de ce niveau de protection. On distingue trois niveaux de protection. a.
La libre circulation des données dans les États membres
330. Le principe de libre circulation s’applique entre les États membres de l’Union européenne, ainsi qu’aux trois pays de l’Espace économique européen (Islande, Liechtenstein, Norvège). En conséquence, il n’y a pas d’encadrement des transferts de données car la protection de la vie privée et des droits et libertés fondamentaux est assurée. En effet, selon l’article premier de la directive :
390. Avis du 24 juillet 1998, Groupe de travail « Article 29 », réf. D C MARKTD /5025/98-W P 12. 391. CNIL, « Les transferts de données à caractère personnel hors de l’Union européenne : Guide pratique », 2012, p. 37.
154 | B anque
et
a ssurance
digitales
« 1. Les États membres assurent, conformément à la présente directive, la protection des libertés et droits fondamentaux des personnes physiques, notamment de leur vie privée, à l’égard du traitement des données à caractère personnel. 2. Les États membres ne peuvent restreindre ni interdire la libre circulation des données à caractère personnel entre États membres pour des raisons relatives à la protection assurée en vertu du paragraphe 1 ». b.
Les pays bénéficiant d’un niveau de protection adéquat
i.
Les fondements
331. En vertu de l’article 26-1 de la directive, les transferts de données vers les pays qui présentent un niveau de protection reconnu comme étant adéquat par la Commission européenne ne requièrent pas d’encadrement spécifique. Les décisions de la Commission européenne constatant qu’un pays tiers assure un niveau de protection suffisant ont pour effet de permettre la libre circulation des données entre le pays visé et les États membres de l’Union européenne ainsi qu’avec les trois États membres de l’Espace économique européen. Dans le cadre de la mise en œuvre des décisions de la Commission européenne, il ne sera requis aucune garantie supplémentaire, par exemple pour les États suivants : Suisse392, Canada393, Argentine394, les territoires britanniques de Guernesey395 et l’île de Man396. ii.
Le Safe Harbor
332. Pour les États-Unis d’Amérique, le transfert de données en provenance de l’Union européenne était autorisé à l’égard des entreprises américaines ayant adhéré aux principes de la « sphère de sécurité » (« Safe Harbor »)397, mécanisme par lequel la Commission européenne reconnaît que ces principes assurent une protection adéquate398. Toutefois, le « Safe Harbor » ne concernait que les 392. Décision de la Commission européenne n° 2000/518/CE du 26 juillet 2000, JOUE n° L. 218, 25 août 2000. 393. Décision de la Commission européenne n° 2002/2/CE du 20 décembre 2001, JOUE n° L. 2, 4 janv. 2002. 394. Décision de la Commission européenne n° 2003/490/CE du 30 juin 2003, JOUE n° L. 168, 5 juill. 2003. 395. Décision de la Commission européenne n° 2003/821/CE du 21 novembre 2003, JOUE n° L. 308, 25 nov. 2003. 396. Décision de la Commission européenne n° 2004/411/CE du 28 avril 2004, JOUE n° L. 151, 30 avr. 2004. 397. Les listes des entreprises ayant adhéré au principe du « Safe Harbor » établies par le Gouvernement américain sont disponibles à l’adresse : www.export.gov/safeharbor 398. Décision de la Commission européenne n° 2000/520/CE du 26 juillet 2000, JOUE n° L. 218, 25 août 2000, p. 7. J. Frayssinet, « Le transfert et la protection. Des données personnelles en provenance de l’Union européenne vers les États-Unis : l’accord dit sphère de sécurité (ou safe harbor) » : Com. com. électr. 2001, chron. 7, p. 10.
la
protection des données à caractère personnel
| 155
entreprises relevant de la compétence de la « Federal Trade Commission » ou du « Department of Transportation ». Cette sphère de sécurité repose sur une démarche volontaire des entreprises qui déclarent s’engager à respecter une série de principes de protections des données à caractère personnel, de l’autocertification. Les détails des engagements pris par la société figurant sur une liste publiée (« Safe Harbor List »)399. De facto, les banques, les établissements financiers, d’épargne et de prêt et les coopératives de crédit ainsi que les sociétés de télécommunications en sont exclus. La réglementation dans le domaine de l’assurance est laissée aux différents États ; toutefois les dispositions du « Federal Trade Commission Act » s’appliquent dans la mesure où cette activité n’est pas réglementée par la loi d’un État. Considérant que le droit aux États-Unis n’offrait pas un niveau de protection adéquate, la Suisse a également conclu un accord avec les États-Unis, le « US Swiss Safe Harbor Framework », en 2009. Cependant, après les critiques formulées par la Commission européenne en 2013 dans deux communications400, le « Safe Harbor » a été invalidé par la CJUE dans l’affaire Schrems401. Il y avait entre 4 000 et 5 000 entreprises américaines adhérentes au « Safe Harbor ». C’est dire l’impact juridique et économique de cette décision, spécialement sur les services de « Cloud computing » offerts par des entreprises américaines à des sociétés européennes. Le dispositif de l’arrêt Schrems est le suivant : « L’article 25, paragraphe 6, de la directive n° 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, telle que modifiée par le règlement n° 1882/2003/CE du Parlement européen et du Conseil, du 29 septembre 2003, lu à la lumière des articles 7, 8 et 47 de la charte des droits fondamentaux de l’Union européenne, doit être interprété en ce sens qu’une décision adoptée au titre de cette disposition, telle que la décision n° 2000/520/ CE de la Commission, du 26 juillet 2000, conformément à la directive n° 95/46/CE relative à la pertinence de la protection assurée par les principes de la « sphère de sécurité » et par les questions souvent posées y afférentes, publiés par le ministère du Commerce des États-Unis d’Amérique, par laquelle la Commission européenne constate qu’un pays tiers assure un niveau de protection adéquat, ne fait pas obstacle à ce qu’une autorité de contrôle d’un État membre, au sens de l’article 28 de cette directive, telle que modifiée, examine la demande d’une 399. E. Derieux, « Encadrement du transfert de données personnelles de l’Union européenne vers les États-Unis », RLDI, nov. 2015, p. 25 et s. 400. Communication de la Commission au Parlement européen et au Conseil, intitulée « Rétablir la confiance dans les flux des données entre l’Union européenne et les États-Unis d’Amérique » (COM (2013) 846 final, 27 novembre 2013) et communication de la Commission au Parlement et au Conseil relative au fonctionnement de la sphère de sécurité du point de vue des citoyens de l’Union et des entreprises établies sur son territoire (COM (2013) 847 final, 27 novembre 2013). 401. CJUE, 6 oct. 2015, aff. C-362/14, Schrems c./ Data Protection Commissionner, disponible sous le lien : http://curia.europa.eu/juris/document/document.jsf?docid=169195&mode=req&pageI ndex=1&dir=&occ=first&part=1&text=&doclang=FR&cid=552803. V. A. Debet, « L’invalidation du Safe Harbor par la CJUE : tempête sur les transferts de données vers les États-Unis », JCP éd. G 2015, n° 46-47, 1258 ; D. 2016, p. 88 note C. Castets-Renard ; AJ Pénal 2015, p. 601, obs. E. Daoud ; RTD eur. 2015, p. 786, obs. M. Benlolo Carabot.
156 | B anque
et
a ssurance
digitales
personne relative à la protection de ses droits et libertés à l’égard du traitement de données à caractère personnel la concernant qui ont été transférées depuis un État membre vers ce pays tiers, lorsque cette personne fait valoir que le droit et les pratiques en vigueur dans celui-ci n’assurent pas un niveau de protection adéquat. La décision n° 2000/520 est invalide ». Depuis lors, la Commission a adopté quelques neuf mois plus tard une nouvelle décision d’adéquation, baptisée bouclier de protection des données ou « Privacy Shield ». iii.
Le bouclier de protection des données ou « Privacy Shield »
333. Le 8 juillet 2016402 et le 12 juillet 2016, la Commission européenne a rendu deux décisions d’adéquation relatives au « Privacy Shield »403. Ce nouvel accord remplace le « Safe Harbor » qui présentait d’importantes failles et qui n’avait en rien gêné la collecte massive de données personnelles de citoyens européens par la « National Security Agency » (NSA), dénoncée par Edward Snowden en 2013. Ainsi est né le cadre juridique de sécurité destiné à protéger les données personnelles des citoyens européens exportées vers les États-Unis, spécialement l’obligation d’information des individus, les finalités, l’existence d’un droit d’accès et d’un organisme indépendant pour résoudre les litiges en la matière. Plus concrètement, les entreprises européennes vont pouvoir recourir aux services des entreprises américaines (ex. : fournisseurs de prestation de Cloud computing) sans avoir besoin de recourir à des garanties appropriées (« Binding Corporate Rules » ou à des « Clauses contractuelles types ») et ce qui en découle sans autorisation préalable de l’autorité de contrôle (CNIL). Mais la décision d’adéquation ne s’applique pas aux transferts entre les maisons mères des banques et des assurances avec leurs filiales et succursales. Le texte de la décision d’adéquation est dense et complexe ; il est constitué de la décision d’adéquation permettant de reconnaître un niveau de protection « essentiellement équivalent » aux exigences européennes (36 pages) et ses 7 annexes (76 pages)404. Son adoption finale n’a pas tenu compte de la recommandation et de la position 405 du Commissaire européen à la protection des données406. Ces réserves portent notamment sur le manque de clarté de 402. Sur les conceptions différentes en matière de données à caractère personnel entre l’Union européenne et les États-Unis, v. W. Gregory Voss, « Le concept de données à caractère personnel : divergences transatlantiques Safe Harbor et Privacy Shield », D. IP/IT 2016. p. 119 et s. 403. Décision d’exécution n° 2016/1250/UE de la Commission du 12 juillet 2016, JOUE n° L. 20, 1er août 2016. V. http://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:32016D125 0&from=EN 404. European Commission, « Guide to the EU-US privacy shield », disponible à l’adresse : http:// ec.europa.eu/justice/data-protection/files/eu-us_privacy_shield_guide_en.pdf 405. Avis du G29, WP 238 du 13 avril 2016. Le G29 a émis de nouvelles réserves le 25 juillet 2016. 406. Opinion n° 4/2016 du 30 mai 2016.
la
protection des données à caractère personnel
| 157
l’ensemble, voire les incohérences terminologiques (ex. : absence de glossaire) ou encore l’absence de définition des « personal data » et de leurs traitements, voire la non prise en compte de l’effacement des données à la fin de la prestation, comme le prescrit le règlement européen. Il est vrai que le « privacy shield » « impose des obligations plus strictes aux entreprises qui traitent des données et fait en sorte que ces règles soient appliquées et que leur respect soit assuré dans la pratique ». Or, si des obligations sont prescrites afin d’apporter différentes garanties, le bouclier de protection repose toujours, à l’instar du « Safe Harbor », sur les principes d’adhésion volontaire et d’auto-certification des entreprises américaines depuis le 1er août 2016. Elles gèrent elles-mêmes la conformité à l’accord et elles sont placées sous le contrôle (quasi exclusif) du Département du commerce américain et de la « Federal Trade Commission » (en charge de la protection des consommateurs et de la libre concurrence). Concernant les voies de recours, il est prévu l’instauration d’un médiateur (« Ombudsperson »), chargé de traiter les plaintes des citoyens européens, dont l’indépendance et les moyens sont intégralement garantis par les États-Unis407. D’après la Commission européenne, « pour la première fois, les États-Unis ont donné par écrit à l’UE l’assurance que l’accès des pouvoirs publics aux données à des fins répressives et de sécurité nationale serait subordonné à des limitations, des conditions et des mécanismes de surveillance bien définis et ont exclu toute surveillance de masse non ciblée des données des citoyens européens ». Il est fait ici référence aux lettres d’engagement de responsables de l’administration de Barack Obama en fin de mandat. On retrouve ces lettres en annexe de la décision ; elles auraient la valeur d’un engagement ferme à l’instar d’une loi ou d’une convention internationale. Pourtant, en dépit des mesures de protection envisagées par le texte, il reste une question de fond essentielle : celle des conceptions antagonistes qui existent sur la notion de données à caractère personnel de part et d’autre de l’Atlantique ; c’est-à-dire un droit fondamental attaché à la personne pour les Européens (imprescriptible, inaliénable et incessible) alors que pour les Américains, la donnée personnelle est potentiellement un bien comme un autre…, une marchandise pouvant faire l’objet de transactions commerciales. Lorsque l’on se situe en dehors de ces hypothèses de décisions d’adéquation, les transferts doivent être encadrés par des clauses contractuelles.
407. S’il est indépendant des services de sécurité nationale, le médiateur rend compte au Secrétaire d’État. C. Castets-Renard, « L’adoption du Privacy Shield sur le transfert de données personnelles », D. 2016, p. 1696, et du même auteur « Adoption du Privacy Shield : des raisons de douter de la solidité de cet accord », D. IP/IT 2016, p. 444.
158 | B anque c.
et
a ssurance
digitales
Les clauses contractuelles
334. Selon l’article 26 de la directive n° 95/46/CE : « 2. Sans préjudice du paragraphe 1, un État membre peut autoriser un transfert, ou un ensemble de transferts, de données à caractère personnel vers un pays tiers n’assurant pas un niveau de protection adéquat au sens de l’article 25, paragraphe 2, lorsque le responsable du traitement offre des garanties suffisantes au regard de la protection de la vie privée et des libertés et droits fondamentaux des personnes, ainsi qu’à l’égard de l’exercice des droits correspondants ; ces garanties peuvent notamment résulter de clauses contractuelles appropriées. « 3. L’État membre informe la Commission et les autres États membres des autorisations qu’il accorde en application du paragraphe 2. « (…) « Les États membres prennent les mesures nécessaires pour se conformer à la décision de la Commission. « Lorsque la Commission décide, conformément à la procédure prévue à l’article 31, paragraphe 2, que certaines clauses contractuelles types présentent les garanties suffisantes visées au paragraphe 2, les États membres prennent les mesures nécessaires pour se conformer à la décision de la Commission ». Ces clauses contractuelles peuvent émaner de la Commission européenne (les clauses contractuelles types) (i) et des entreprises elles-mêmes (les règles internes contraignantes) (ii). i.
Les clauses contractuelles types 408
La Commission européenne a adopté plusieurs décisions en dates des 15 juin 2001409, du 27 décembre 2004410 et du 5 février 2010411. Les deux premières concernent des conventions types sur les transferts de données entre
408. Sur les clauses contractuelles issues du Conseil de l’Europe et de la Chambre de commerce internationale de 1992 (doc. T-PD (92) 7 révisé), v. J. Huet, « Les contrats encadrant le transfert des données personnelles », Com. com. électr. mai 2001, p. 8 et s. 409. Décision n° 2001/1539/CE du 15 juin 2001 relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers en vertu de la directive n° 95/46/ CE, JOCE n° L. 181, 4 juill. 2001, p. 19 : http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2001:181:0019:0031:FR:PDF 410. Décision de la Commission n° 2004/5271/CE du 27 décembre 2004 modifiant la décision n° 2001/497/CE en ce qui concerne l’introduction d’un ensemble alternatif de clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers, JOUE n° L. 385, 29 déc. 2004, p. 74 : https://www.cnil.fr/sites/default/files/typo/document/ CCT-2004FR.pdf 411. Décision de la Commission n° 2010/593/CE du 5 février 2010 relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers en vertu de la directive n° 95/46/CE du Parlement européen et du Conseil, JOUE n° L. 39, 12 févr. 2010, p. 5.
la
protection des données à caractère personnel
| 159
responsables de traitements, et la troisième est une convention type relative aux transferts entre le responsable de traitement et un sous-traitant. Mais les clauses contractuelles types ne peuvent pas être modifiées. Elles doivent être adoptées en l’état par le groupe. 335. Dans certains groupes bancaires ou d’assurances, des applications informatiques sont mises à la disposition des filiales ; cela permet, par exemple, de mettre en œuvre des traitements de données à caractère personnel de la base RH ou de donner l’accès à un annuaire des personnels du groupe. Dès lors que les filiales (ou les succursales) sont autonomes quant à la gestion et la mise en place des traitements de données, elles ont la qualité de responsable de traitement au sens de l’article 2 de la loi « Informatique et Libertés »412. Dans ce contexte, l’établissement bancaire ou l’assurance peut utiliser, au choix, les deux modèles de clauses contractuelles, de manière alternative. Toutefois, en application de l’article premier paragraphe 1 de la décision de la Commission du 27 décembre 2004 : « Les responsables du traitement des données peuvent choisir entre les ensembles I et II de l’annexe. Ils ne peuvent toutefois pas modifier les clauses ni combiner des clauses individuelles ou les ensembles ». Il convient de préciser que le paragraphe 4, alinéa 1er, du même article énonce que l’Annexe de la Décision de la Commission du 15 juin 2001 constitue l’ensemble I et l’annexe de la décision de la Commission du 27 décembre 2004 constitue l’ensemble II. 336. Concrètement, lorsqu’une banque ou une société d’assurance a recours à ces clauses contractuelles types, cela lui permet de limiter les risques de blocage d’une des autorités nationales de contrôle qui dispose de la possibilité de refuser le transfert. En effet, les autorités de contrôle doivent accepter le transfert des données qui est encadré par des clauses contractuelles types, dans la mesure où les garanties qui y sont consignées sont considérées comme adéquates (« suffisantes » dans la loi française) par la Commission européenne conformément à la directive. ii.
Les règles internes contraignantes
337. La CNIL définit les règles internes contraignantes ou « Binding Rules » (BR) – ou encore « Binding Corporate Rules » (BCR) comme « un ensemble de règles relatives à la protection des données personnelles élaborées par l’organisme du responsable de traitement, le plus souvent une société multinationale, dont le
412. L’article 2, d) de la directive n° 95/46/CE définit le « responsable du traitement » comme « la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement de données à caractère personnel ; lorsque les finalités et les moyens du traitement sont déterminés par des dispositions législatives ou réglementaires nationales ou communautaires, le responsable du traitement ou les critères spécifiques pour le désigner peuvent être fixés par le droit national ou communautaire (…) ».
160 | B anque
et
a ssurance
digitales
respect est obligatoire pour chacune des entités membres du groupe »413. Ces règles ont pour but d’encadrer juridiquement les transferts internationaux de données personnelles au sein des entités d’un même groupe international. Pour que les BCR soient applicables, il est essentiel que les entreprises appartiennent à un groupe d’entreprises. En vertu de la directive européenne, les transferts de données entre entreprises au sein d’un groupe doivent être encadrés par des clauses contractuelles de type BCR. Pour être conformes aux exigences de l’article 26, les modalités concrètes de mise en œuvre des principes applicables à la protection des données à caractère personnel doivent figurer dans les BCR. D’ailleurs, il convient de préciser que les BCR doivent être jointes aux demandes d’autorisation de transfert adressée à l’autorité de contrôle. Néanmoins, il appartient à la Commission européenne et aux autorités européennes de contrôle de valider tous les documents transmis au titre de la demande. Concernant le caractère contraignant des BCR, il convient de différencier deux niveaux : interne et externe. Sur le plan interne au groupe : 338. Il est très important que toutes les entités du groupe s’engagent à respecter les BCR et à en imposer leur application à leurs salariés. La maison mère dispose du choix des modalités et instruments, ou mécanismes pour les imposer. Tout va dépendre de la culture et des pratiques du groupe d’entreprises concerné414. Toutefois, dans la demande d’autorisation, l’entreprise devra détailler le mécanisme qui garantit le respect des BCR par les entités du groupe et leurs employés. En outre, un programme de formation adéquat doit être dispensé à tous les personnels qui ont accès de manière permanente ou régulière aux données à caractère personnel ou au développement d’outils de traitement de ces données. Sur le plan des personnes concernées : 339. Les BCR doivent garantir à ces personnes concernées par le transfert l’existence de droits qui garantissent l’application des BCR et en disposant d’un droit de recours en cas de violation des droits à la protection des données personnelles reconnus par les BCR, ainsi que d’un droit à réparation. Les BCR 413. Définition de la CNIL – « Guide transfert de données à caractère personnel vers des pays nonmembres de l’Union européenne », juin 2008, p. 13. Le Guide est disponible sur le site de la CNIL, à l’adresse : www.cnil.fr 414. Par rapport aux filiales, il peut s’agir par exemple : d’accord intragroupe, d’engagements unilatéraux, de mesures réglementaires internes, de politiques du groupe. Vis-à-vis des employés, il peut s’agir : de conventions ou d’engagements individuels qui prévoient des sanctions disciplinaires ; mais cela peut se traduire aussi par des clauses du contrat de travail, des politiques internes, de conventions collectives prévoyant des sanctions en cas de manquement.
la
protection des données à caractère personnel
| 161
doivent décrire la procédure introductive de la plainte. De plus, la gestion des plaintes individualisées doit être assurée au sein d’un service clairement identifié où les personnes en charge de cette mission bénéficient d’un degré approprié d’indépendance. Ces droits relatifs aux droits des personnes supposent qu’en pratique les filiales s’engagent à favoriser l’accès facile aux BCR en les publiant, par exemple, sur leur site Internet ou sur l’intranet de l’entreprise. Les BCR doivent faire l’objet d’un programme d’audit étant donné que la CNIL (l’autorité de contrôle) peut, le cas échéant, les contrôler. Comme pour les Délégués à la protection des données, dans le cadre des BCR, il est indispensable de créer un réseau de responsables de la protection des données personnelles. Ces personnes seront notamment chargées de gérer les plaintes, d’assurer la surveillance et le contrôler du respect des BCR avec l’appui de la direction. Finalement, il s’agira d’instaurer la gouvernance de la protection des données à caractère personnel et de la vie privée, ce qui suppose l’organisation et l’encadrement juridique des pratiques par le biais d’une politique du groupe en matière de protection de la vie privée et des données personnelles. Cette gouvernance imposera de définir des rôles et les obligations des responsables des données dans les pays et d’établir les relations qu’ils entretiennent avec les autres acteurs internes et externes. Envisagés sous cet angle, les BCR s’inscrivent dans le cadre d’une politique globale du groupe en matière de protection de la vie privée. Ainsi, lorsque le groupe adopte une norme de référence unique et qu’il l’impose dans le cadre des BCR et de sa politique, il uniformise ses pratiques et assure une protection identique dans chaque entité du groupe quel que soit le pays en cause. Cela permet de garantir une meilleure prévention des risques liés aux traitements des données à caractère personnel. Dans la pratique, on constate que les demandes d’autorisation de transfert sur la base de BCR sont plus complexes et la procédure d’agrément plus longue que lorsqu’elles le sont sur la base de clauses contractuelles type415. B.
Transfert et loi « Informatique, Fichiers et Libertés »
340. Lorsqu’une banque ou une société d’assurance réalise des opérations d’externalisation (hébergement, gestion des données), telle que les contrats de l’informatique dans les nuages (« Cloud computing »)416, elle se trouve dans 415. 11e rapport annuel sur l’état de la protection des personnes à l’égard du traitement des données à caractère personnel dans l’Union européenne et les pays tiers, portant sur l’année 2007. http://ec.europa.eu/justice_home/fsj/privacy/docs/wpdocs/2008/11th_annual_report_ fr.pdf 416. Pour des cas d’application dans la banque, v. É. A. Caprioli, « Les flux transfrontières des données à caractère personnel en matière bancaire », RDBF 2010, p. 78-79.
162 | B anque
et
a ssurance
digitales
le cas d’un transfert de données régi par les articles 68 et 69 de la loi. Or, la notion de transfert n’est définie ni dans la directive n° 95/46/CE du 24 octobre 1995, ni dans la loi de 1978 modifiée. Ceci a conduit la CNIL à préciser la notion de « transfert » : « On parle de transfert de données personnelles lorsque les données personnelles sont transférées depuis le territoire européen vers un ou des pays situés hors de l’Union européenne. Le transfert peut s’effectuer, par copie, par déplacement de données, par l’intermédiaire d’un réseau ou d’un support à un autre (ex. disque dur d’ordinateur à un serveur) »417. Dans les groupes internationaux, pour les relations entre la maison mère et ses filiales ou succursales implantées en dehors du territoire de l’Union européenne, ces diverses entités sont considérées, du point de vue du régulateur, comme des personnes distinctes (même si les succursales n’ont pas la personne morale). Dans un tel contexte, les transferts feront l’objet d’un encadrement par le biais des clauses contractuelles types de la Commission, voire par le biais de « Règles contractuelles contraignantes » (« Binding Corporate Rules »). 1.
Le principe
341. En droit français, le transfert des données à caractère personnel en dehors de l’Union européenne est établi à l’article 68 de la loi de 1978. Comme dans la directive, cet article pose le principe d’interdiction du transfert sauf si l’État destinataire des données « assure un niveau de protection suffisant » de la vie privée. Il appartient à la Commission européenne d’apprécier ce niveau en se fondant sur plusieurs critères : dispositions en vigueur dans le pays, mesures de sécurité qui y sont appliquées, caractéristiques propres au traitement « telles que ses fins et sa durée, ainsi que de la nature, de l’origine et de la destination des données traitées ». La liste des États ayant un tel niveau de protection suffisant est publiée sur le site de la CNIL et sur celui de la Commission européenne (v. partie I, chapitre II, section I). 342. Si le traitement principal a fait l’objet d’une dispense de déclaration, cette dispense ne vaut pas en cas de transfert des données hors Union européenne : il conviendra de procéder à une demande d’autorisation du transfert des données en cause auprès de la CNIL. À ce titre, la désignation d’un Correspondant à la protection des données à caractère personnel (« CPDCP » ou « CIL ») n’exonère pas le responsable de traitement à accomplir des formalités en cas de transfert des données418. 2.
Les dérogations
343. S’agissant des dérogations, l’article 69 de la loi reprend les mêmes que dans la directive n° 95/46/CE. Toutefois, il faut rappeler que toutes les règles prescrites 417. Document de juillet 2010 sur les « transferts de données à caractère personnel vers des pays tiers à l’Union européenne ». 418. É. A. Caprioli et I. Cantero, « Le choix d’un Correspondant à la protection des données à caractère personnel (CPDCP) », JCP éd. E 2006, 1976.
la
protection des données à caractère personnel
| 163
par la loi n° 78-17 du 6 janvier 1978 modifiée sont applicables aux transferts de données. Le transfert de données est constitutif d’un traitement de données et à ce titre est soumis aux prescriptions de la loi de 1978. En conséquence, l’ensemble des règles de la loi sont applicables nonobstant celles prescrites au titre du transfert de données lui-même. Les obligations prescrites peuvent se résumer à six grands principes que sont : la collecte loyale et licite des données, le respect de la finalité du traitement, les formalités déclaratives préalables à la mise en œuvre d’un traitement, les limitations de la durée de conservation des données, la sécurité et confidentialité des données protégées et enfin le respect des droits des personnes (accès, rectification, opposition). 344. Un transfert qui ne fournit pas les garanties requises est toutefois possible à condition que la personne concernée par le transfert ait expressément consenti au transfert ou si le transfert est nécessaire à l’une des six conditions définies à cet article 69 (sauvegarde de la vie de la personne, sauvegarde de l’intérêt public, respect d’obligations permettant d’assurer la constatation, l’exercice ou la défense d’un droit en justice, conclusion ou exécution d’un contrat ou à conclure dans l’intérêt de la personne concernée, entre le responsable du traitement et un tiers). En outre, une autre exception à l’interdiction de l’article 68 peut exister sur décision de la CNIL à condition que le transfert soit encadré par des clauses contractuelles types émanant de la Commission européenne ou des règles internes qui garantissent un niveau de protection suffisant de la vie privée et des libertés et droits fondamentaux. 3.
Les sanctions
345. Le non-respect de ces exigences est sanctionné pénalement aux articles 226-16 à 226-21 du Code pénal419, étant précisé que des sanctions pénales sont encourues en cas de manquement aux obligations prescrites et spécifiquement celles prévues pour les transferts illicites, par l’article 226-22-1 du Code pénal (ou pour ordonner l’effacement des données dans les cas prévus aux articles 226-16 et 226-22-1 du Code pénal en vertu de l’article 226-22-2 du Code pénal). Mais conformément à l’article 70, la CNIL peut interdire un transfert vers un pays tiers dès lors qu’elle a constaté un niveau de protection insuffisant. De même, elle peut également suspendre un transfert. Aux termes de l’article 65-I de la loi n° 2016-1321 du 7 octobre 2016 pour une République numérique420, la formation restreinte de la CNIL peut prononcer une sanction pécuniaire qui ne peut excéder 3 millions d’euros. Cette disposition devra également être revue pour appliquer les sanctions qui sont prévues par le RGPD lorsque celui-ci entrera en application. 419. Article 50 de la loi du 6 janvier 1978, modifiée. Ces délits sont punis de 5 ans d’emprisonnement et 300 000 euros d’amende. 420. JO 8 oct. 2016. Cet article modifie l’article 47 de la loi du 6 janvier 1978.
164 | B anque
et
a ssurance
digitales
§ 2 – Transfert des données et règlement général de protection des données
346. Il n’y a pas de commerce international sans flux transfrontières de données à caractère personnel. Et ces flux numériques ne font qu’augmenter de et vers tous les territoires de la planète. Nécessité fait loi ! Mais la nécessité ne doit pas s’opérer au détriment de la protection des données des personnes physiques. Les enjeux économiques ne doivent pas gommer les libertés et droits fondamentaux. Le RGPD contient un chapitre relatif aux « Transferts de données vers des pays tiers ou à des organisations internationales »421. L’objectif est d’assurer une meilleure prise en compte des transferts internationaux422. L’analyse des règles portera principalement sur celles qui s’appliquent au secteur privé, qui a trait directement aux activités de banque et d’assurance digitales. Ne seront par conséquent pas traitées celles relatives aux autorités et aux organismes publics. 347. Les transferts internationaux de données à caractère personnel sont régis par les articles 44 à 50 qui en constituent le cadre juridique423. Ceci nous conduira à examiner : – le principe général applicable aux transferts (A) ; – les fondements juridiques admis pour les transferts (B) ; – les dérogations prévues (C) ; – les aspects internationaux (D). Au préalable, il est important de souligner que les notions de transfert et de pays tiers ne sont toujours pas définies de façon explicite. Cependant, il ne semble pas que qu’il faille remettre en cause les acceptions antérieures que l’on trouve dans le nouveau règlement. Dès lors, la prise en compte du cadre légal applicable à la protection des données est toujours déterminante ; le principe de libre circulation des données est maintenu au sein de l’Union européenne (entre les 28 États membres) et dans l’Espace économique européen (Islande, Liechtenstein et Norvège).
421. L’article 4-23 définit « traitement transfrontalier », comme : « a) un traitement de données à caractère personnel qui a lieu dans l’Union dans le cadre des activités d’établissements dans plusieurs États membres d’un responsable du traitement ou d’un sous-traitant lorsque le responsable de traitement ou le sous-traitant est établi dans plusieurs États membres, ou b) un traitement de données à caractère personnel qui a lieu dans l’Union dans le cadre des activités d’un établissement unique d’un responsable du traitement ou d’un sous-traitant mais qui affecte sensiblement ou est susceptible d’affecter sensiblement des personnes concernées dans plusieurs États membres ». 422. B. Haftel, « Transferts transatlantiques de données à caractère personnel : la Cour de Justice invalide le Safe Harbour et consacre un principe de défiance mutuelle », D. 2016, p. 111. 423. C. Maubernard, « La protection des données à caractère personnel en droit européen », Rev. UE 2016, p. 406 et s. ; I. Gheorghe-Badescu, « Le nouveau règlement général sur la protection des données », Rev. UE 2016, p. 466 et s.
la A.
protection des données à caractère personnel
| 165
Le principe général applicable aux transferts
348. Le principe général applicable aux transferts est posé à l’article 44. Ce principe n’est pas celui de l’interdiction telle que posée par la directive n° 95/46/ CE mais plutôt la définition d’un ensemble de règles pour le transfert de données personnelles qui visent : – les flux de données sortant de l’Union européenne vers un pays tiers ou une organisation internationale424 ; – les responsables de traitement et les sous-traitants425, tenus de respecter l’ensemble des dispositions du RGPD ainsi que les règles spécifiquement prévues par le Chapitre V entièrement consacré aux transferts de données (articles 44 à 50) ; – les transferts de données personnelles opérés dans le cadre d’un traitement en cours, d’un traitement prévu chez le destinataire ; – les transferts ultérieurs de données personnelles depuis le pays tiers destinataire des données transférées (ou de l’organisation internationale) vers un autre pays tiers (ou à une autre organisation internationale). 349. En ce qui concerne, les transferts ultérieurs de données à caractère personnel, le RGPD prévoit une innovation très importante en étendant le champ d’application territorial des règles de protection aux destinataires des données transférées qui sont situés en dehors de l’UE. Toutefois, si sur le principe, cette disposition présente un intérêt sur le plan du suivi des données protégées, une telle disposition interroge quant à l’effectivité de son application dans les pratiques. De fait, si une meilleure maîtrise du suivi des données peut être attendue dans le cadre des relations de sous-traitance, ce « droit de suite » risque d’être compliqué à mettre en œuvre pour le destinataire ayant qualité de responsable de traitement. Seules des mesures de marquage des données ou de traçabilité seraient susceptibles de permettre la mise en œuvre concrète de cette disposition. 350. Dans toutes ces hypothèses de transferts visées, les transferts ne sont possibles que sous réserve du respect des autres dispositions du RGPD, d’une part, et des conditions fixées dans le cadre de ce chapitre V, d’autre part. Les droits garantis par le règlement ne peuvent pas être compromis. C’est sur les responsables de traitement, ainsi que les sous-traitants, que pèsent ces obligations de conformité au nouveau règlement. 424. Art. 4-26) : « Organisation internationale : une organisation internationale et les organismes de droit public international qui en relèvent, ou tout autre organisme qui est créé par un accord entre deux pays ou plus, ou en vertu d’un tel accord ». 425. Tels que visés par l’article 3 du RGPD « Champ d’application territorial », c’est-à-dire : les responsables de traitement et les sous-traitants établis sur le territoire de l’UE, ou les responsables de traitement et les sous-traitants situés hors de l’UE mais qui réalisent des traitements de données personnelles relatives à des citoyens de l’UE (pour les activités concernant l’offre de biens et de services dans l’UE ou le suivi du comportement de ces personnes).
166 | B anque
et
a ssurance
digitales
Conformément à l’article 83-5, c), en cas de violation des dispositions des articles 44 à 49, il est prévu des amendes administratives, prononcées par l’autorité de contrôle (en l’occurrence, la CNIL), pouvant s’élever jusqu’à un montant de 20 000 000 euros ou dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent, étant précisé que ce sera le montant le plus élevé qui sera retenu. B.
Les fondements juridiques admis pour les transferts
351. Le RGPD établit, aux articles 45 à 47, différents fondements juridiques pour l’admission des transferts426. 1.
Transferts fondés sur une décision d’adéquation
352. En vertu de l’article 45 § 1, la Commission peut, par voie de décision, constater qu’un pays tiers, un territoire ou un ou plusieurs secteurs déterminés dans ce pays tiers, ou une organisation internationale assure un niveau de protection adéquat. Ce transfert ne requiert pas d’autorisation spécifique. a.
Décisions d’adéquation
353. Selon l’article 45 § 3, il appartient à la Commission européenne et à elle seule de décider, au moyen d’un acte d’exécution, d’une décision d’adéquation. Au préalable, elle doit avoir constaté l’existence d’un niveau de protection adéquat ou non pour un pays tiers, un territoire ou un ou plusieurs secteurs déterminés dans ce pays tiers, ou une organisation internationale. La Commission publie au Journal officiel de l’Union européenne et sur son site Internet la liste de ses décisions d’adéquation ou d’inadéquation ; « le caractère adéquat fait l’objet d’un mécanisme d’examen périodique au moins tous les quatre ans »427. 354. Lors de l’évaluation du caractère adéquat du niveau de protection, l’article 45 § 2 précise une série de critères dont la Commission doit tenir compte. Si cette liste de critères n’est qu’indicative, elle vise en particulier certains éléments : • l’État de droit, le respect des droits et libertés fondamentaux, dont les droits
de l’homme (législation générale et sectorielle, règles professionnelles, jurisprudence…) ;
• l’existence et le fonctionnement effectif d’une autorité de contrôle disposant
des pouvoirs de faire appliquer les règles (exemple : pouvoirs de sanctions) ;
426. M. Abadie, « Les soubresauts législatifs et jurisprudentiels liés au transfert des données personnelles hors de l’Union européenne », hors-série Banque & Droit, mars-avr. 2017, p. 30 et s. 427. J.-L. Sauron, « Le règlement général sur la protection des données, règlement n° 2016/679/UE du 27 avril 2016 : de quoi est-il le signe ? », Com. com. élect. sept. 2016, p. 14.
la
protection des données à caractère personnel
| 167
• les engagements internationaux pris par le pays tiers destinataire des
données transférées, mais aussi la participation à des systèmes de protection des données personnelles.
355. La décision d’adéquation de la Commission doit indiquer son champ d’application (territorial et sectoriel), fixer une procédure de révision, incluant une périodicité tenant compte des « évolutions pertinentes » dans le pays tiers, le territoire ou le secteur concerné ou l’organisation internationale. Elle peut également nommer l’autorité de contrôle visée dans les critères d’évaluation (art. 45 § 2, b). « La Commission peut décider, avec effet dans l’ensemble de l’Union, qu’un pays tiers, un territoire ou un secteur déterminé dans un pays tiers, ou une organisation internationale offre un niveau adéquat de protection des données, assurant ainsi une sécurité juridique et une uniformité dans l’ensemble de l’Union en ce qui concerne le pays tiers ou l’organisation internationale qui est réputé offrir un tel niveau de protection. Dans ce cas, les transferts de données à caractère personnel vers ce pays tiers ou cette organisation internationale peuvent avoir lieu sans qu’il soit nécessaire d’obtenir une autre autorisation »428. 356. Les décisions d’adéquation qui ont été prises par la Commission dans le cadre de la directive n° 95/46/CE sur le fondement de l’article 25 § 6, demeurent en vigueur tant qu’aucune décision de la Commission ne vient les modifier, les remplacer ou les abroger. Tel serait par exemple le cas de la décision d’adéquation dite « Privacy Shield » avec les États-Unis d’Amérique429. b.
Décision d’inadéquation
357. Comme le prévoit l’article 45 § 5, la Commission peut également abroger, modifier ou suspendre une décision d’adéquation antérieure (en particulier à l’issue de la procédure de révision) quand le pays tiers, le territoire ou secteur concernés ou l’organisation internationale ne garantissent plus un niveau de protection adéquat, une procédure accélérée étant même prévue en cas d’urgence impérieuse dûment justifiée. La décision d’inadéquation n’a pas d’effet rétroactif. En cas de décision d’inadéquation, le transfert de données vers le pays tiers, le territoire ou le secteur concerné ou l’organisation internationale peut être réalisé
428. V. le Considérant n° 103. 429. C. Castets-Renard, « L’adoption du Privacy Shield sur le transfert de données personnelles », D. 2016, p. 1696, « Adoption du Privacy Shield : des raisons de douter de la solidité de cet accord », D. IP/IT 2016, p. 444. É. A. Caprioli et I. Cantero, « Safe Harbor : hier, aujourd’hui et demain ou chronique d’une chute annoncée », disponible p. 49 et s. de Défis, Revue numérique du département Intelligence et sécurité économiques de l’INHESJ, n° 6, 2016, disponible à l’adresse : http://www.inhesj.fr/mailling/defis/defis6.pdf
168 | B anque
et
a ssurance
digitales
exclusivement si le responsable de traitement ou le sous-traitant a adopté des garanties appropriées telles que prévues par les articles (art. 46 et 47). Les sanctions administratives sont celles prévues à l’article 83-5, c), vues supra. 2.
Transferts fondés sur des garanties appropriées
358. Conformément à l’article 46, en l’absence de décisions d’adéquation, le RGPD impose que les transferts de données vers un pays tiers ou une organisation internationale respectent les conditions suivantes : le responsable de traitement ou le sous-traitant a prévu des garanties appropriées et les personnes concernées disposent de droits opposables et de voies de droit effectives. 359. Les garanties appropriées peuvent être fournies sans qu’il soit nécessaire de bénéficier d’une autorisation préalable de l’autorité de contrôle de plusieurs façons, dont certaines étaient déjà prévues antérieurement dans le cadre de la directive n° 95/46/CE (règles d’entreprise contraignantes, clauses contractuelles types adoptées par la Commission) alors que d’autres sont des nouveautés (clauses contractuelles types adoptées conjointement par une autorité de contrôle et par la Commission, code de bonne conduite conforme à l’article 40 du RGPD430, mécanisme de certification approuvé conformément à l’article 42 du RGPD). 360. En revanche, l’autorité de contrôle doit donner son autorisation dès lors que l’entreprise utilise des clauses contractuelles élaborées par le responsable de traitement ou le sous-traitant et le destinataire des DCP dans le pays tiers ou l’organisme international. En ce cas, le mécanisme de cohérence défini à l’article 63 du RGPD s’applique, ce qui implique l’avis du Comité européen à la protection des données431. 361. Les autorisations accordées en application de l’article 26 de la directive n° 95/46/CE (sur le fondement de clauses contractuelles appropriées ou de clauses contractuelles types) sont valables tant qu’aucune décision de la Commission ne vient les modifier, les remplacer ou les abroger. Les sanctions administratives sont celles prévues à l’article 83-5, c), vues supra.
430. Le Code de bonne conduite doit inclure l’engagement contraignant et exécutoire du responsable de traitement ou du sous-traitant d’appliquer dans le pays tiers les garanties appropriées, y compris pour les droits de la personne concernée. 431. Art. 46-3.
la 3.
protection des données à caractère personnel
| 169
Transferts fondés sur des règles d’entreprise contraignantes
362. L’article 47 du RGPD traite des fameuses BCR (« Binding Corporate Rules »)432, utilisées dans les grands groupes internationaux dont les banques et les assurances pour leurs transferts de données. Il consacre ce système de règles dédié aux transferts de données personnelles réalisés intra-groupe en dehors de l’UE. Parmi les innovations apportées, on observera que le RGPD définit désormais les « règles d’entreprise contraignantes »433 et la notion de « groupe d’entreprise »434. 363. Les règles d’entreprise contraignantes doivent être approuvées par l’autorité de contrôle préalablement à leur mise en œuvre. De plus, il est à souligner que l’avis du Comité européen des données est requis pour le contrôle de cohérence (article 63). Ces règles d’entreprises contraignantes sont soumises à différentes conditions de validité : – elles doivent être juridiquement contraignantes et mises en application par toutes les entités concernées du groupe, y compris leurs employés ; – elles confèrent expressément des droits opposables aux personnes concernées, eu égard au traitement de leurs données personnelles ; – elles doivent répondre à d’autres exigences qui sont détaillées au § 2 de l’article 47. Ces exigences, au nombre de quatorze, s’avèrent plus complètes que les orientations fournies dans les documents de référence du Groupe de l’Article 29435 pour y inclure par exemple les missions du délégué à la protection des données. 364. On observera que le RGPD ne dit mot quant aux BCR qui ont déjà été validées. On peut supposer qu’elles devront faire l’objet de modifications dans la mesure où de nouvelles exigences ont été prescrites, par exemple en ce qui concerne les informations à fournir aux personnes concernées par le traitement et le transfert. Les sanctions administratives sont celles prévues à l’article 83-5, c), vues supra.
432. G. Desgens-Pasanau, La protection des données à caractère personnel, LexisNexis, 2012, p. 87 et s. ; A. Debet, J. Massot, N. Metallinos, Informatique et Libertés, Lextenso, 2015, p. 1810 et s. 433. L’article 4-20) donne la définition suivante : « les règles internes relatives à la protection des données à caractère personnel qu’applique un responsable du traitement ou un sous-traitant établi sur le territoire d’un État membre pour des transferts ou pour un ensemble de transferts de données à caractère personnel à un responsable du traitement ou à un sous-traitant établi dans un ou plusieurs pays tiers au sein d’un groupe d’entreprises, ou d’un groupe d’entreprises engagées dans une activité économique conjointe ». 434. Art. 4-19) : « une entreprise qui exerce le contrôle et les entreprises qu’elle contrôle ». 435. WP 154 – Document de travail établissant un cadre pour la structure des règles d’entreprise contraignantes du 24 juin 2008.
170 | B anque
C.
et
a ssurance
digitales
Les dérogations prévues pour des situations particulières
365. Lorsqu’il n’y a pas de décision d’adéquation, de garanties appropriées ou de règles d’entreprises contraignantes436, l’article 49 prévoit des dérogations pour des situations particulières. Cet article reprend des dérogations existant dans la directive n° 95/46/CE dont notamment le consentement explicite de la personne concernée, le transfert nécessaire à la conclusion d’un contrat ou pour des motifs importants d’intérêt public ou à la constatation, à l’exercice ou à la défense de droits en justice. 366. Le RGPD introduit une nouvelle dérogation avec un encadrement très strict. Dans le cas où aucun autre motif de transfert ne serait applicable, un transfert de données vers un pays tiers ou une organisation internationale ne peut avoir lieu que si « le transfert ne revêt pas de caractère répétitif, ne touche qu’un nombre limité de personnes concernées, est nécessaire aux fins des intérêts légitimes impérieux poursuivis par le responsable du traitement (…) et si le responsable de traitement a évalué toutes les circonstances entourant le transfert de données et a offert sur la base de cette évaluation, des garanties appropriées en ce qui concerne la protection des données ». De tels transferts ne peuvent avoir lieu que si le responsable de traitement informe l’autorité de contrôle du transfert et fournit les très nombreuses informations aux personnes concernées (ex-article 14), et plus spécifiquement que leurs données font l’objet d’un transfert et les intérêts légitimes impérieux qu’on poursuit. Les garanties appropriées devront être consignées dans le registre. D.
Les aspects internationaux des transferts
367. L’article 48 du RGPD introduit une nouvelle disposition qui impose que toute décision d’une juridiction ou d’une autorité étrangère requérant un transfert de données personnelles hors de l’UE soit fondée sur une convention internationale en vigueur entre l’État tiers et l’UE ou l’État membre de l’UE concerné. 368. On pense à ce sujet aux procédures judiciaires de certains pays anglosaxons comme les USA en matière de discovery, règles de procédure étendues aux documents sous forme électronique (« e-discovery »)437. Cela vise, entre autres, les échanges de courriers électroniques et les logs de connexions438. Devant les juridictions américaines, ces procédures peuvent concerner des filiales européennes. Mais elles sont également susceptibles d’intervenir dans le cadre d’une enquête diligentée par une autorité administrative [par exemple : « Securities and Exchange Commission » (SEC) ou la « Federal Trade Commission » (FTC)] que l’on peut avoir pour des banques ou des assurances. 436. V. supra art. 45, 46 et 47. 437. US Federal Rules of Civil Procedure, v. spéc. art. 16 et 26. 438. O. Proust et C. Burton, « Le conflit de droits entre les règles américaines de e-discovery et le droit européen de la protection des données à caractère personnel… entre le marteau et l’enclume », RLDI 2009, p. 79 et s.
la
protection des données à caractère personnel
| 171
Selon sa Recommandation n° 2009-474 en date du 23 juillet 2009, la CNIL estime que : « la loi du 6 janvier 1978 modifiée s’applique aux procédures de “Discovery” dès lors qu’elles impliquent des transferts de données personnelles ; cependant, il ne convient pas de procéder à des déclarations spécifiques “Discovery” dans la mesure où ces données ont dû précédemment faire l’objet de déclarations pour leurs finalités principales dans laquelle il est fait état d’une durée de conservation par types de données collectées et traitées. Enfin, les applications techniques visant à sélectionner les données dans le cadre des procédures de “Discovery” n’ont pas vocation à faire l’objet de déclarations. Néanmoins, les flux internationaux de données doivent, quant à eux, faire l’objet de déclarations à la CNIL, qui pourra les requalifier en demandes d’autorisation en fonction de l’encadrement juridique entourant ces transferts »439. 369. Cette interdiction risque également de poser de sérieux problèmes aux banques ou aux assurances dans des cas de figure comme l’application du « Sarbanes-Oxley Act ». 370. L’article 50 du RGPD traite de la coopération dans le domaine des données personnelles. Il impose à la Commission et aux autorités de contrôle de prendre les mesures appropriées en vue de faciliter l’application effective de la réglementation applicable à la protection des données personnelles, en matière de coopération, d’assistance mutuelle et d’échanges d’informations sur la législation et les pratiques.
439. Délibération n° 2009-474 du 23 juillet 2009 portant recommandation en matière de transfert de données à caractère personnel dans le cadre de procédures judiciaires américaines dite de « Discovery », JO 19 août 2009.
CHAPITRE III Conformité légale 371. La conformité est devenue une matière à part entière et sa gouvernance est assurée souvent au plus haut niveau dans des directions dédiées aussi bien dans la banque que dans l’assurance440. À la suite d’une grande banque internationale française, la conformité peut se définir de la façon suivante : « Agir en conformité consiste à inscrire son action dans le respect des dispositions propres aux activités bancaires et financières, qu’elles soient de nature législative ou réglementaire, ou qu’il s’agisse de normes professionnelles, déontologiques ou internes »441. Selon un éminent auteur, dans la « compliance », en revanche, « on peut y voir aussi bien un programme volontaire de comportement proposé par une entreprise qu’une réglementation à portée mondiale imposée par des sanctions sans précédent »442. Il reste que la conformité est une activité support, transversale à toutes les directions, dont les dispositifs sont souvent obligatoires et dont les conséquences sont économiquement très coûteuses en cas de carence443. Les sanctions atteignent des montants records lorsque le régulateur américain entre en jeu (ex. : les affaires BNP Paribas et Crédit Agricole CIB). 372. La politique de conformité des groupes bancaires ou d’assurances se fonde non seulement sur des principes éthiques (loyauté et intégrité) des pratiques suivies, mais aussi sur les obligations qu’ils doivent respecter. La politique traduit les engagements de l’entreprise dans une documentation qui prend la forme de codes de conduite, de chartes dans tous les domaines de la conformité : lutte contre le blanchiment des capitaux et financement du terrorisme, abus de marché, corruption, conflits d’intérêts ou fiscalité et rémunération des commerciaux. Dans le domaine de l’assurance, la conformité est également devenue incontournable avec l’entrée en vigueur de la Directive Solvabilité II444. Dans le cadre du pilier 2 de « Solvabilité II » relatif aux exigences qualitatives pour la Gouvernance et le contrôle des autorités de tutelle, les sociétés d’assurances doivent formaliser par
440. M. Leimbach, J.-M. Daunizeau (préf. J.-P. Mattout), Contrôle des risques : mieux comprendre les fonctions juridiques et de conformité, RB Édition, 2011 ; C. Collard, C. Delhaye, H.-B. Loosdregt, C. Roquilly, Risque juridique et conformité : Manager la compliance, Lamy, 2011 ; O. Audouin, « La fonction conformité dans l’assurance », L’Argus de l’assurance, 2013. 441. https://www.societegenerale.com/fr/connaitre-notre-entreprise/responsabilite/conformite 442. M.-A. Frison-Roche, « Le droit de la compliance », D. 2016, 1871. Cet auteur qualifie d’« étrange » la notion de « compliance ». 443. D. Pilczer, « La conformité dans les banques : une nécessité coûteuse », Rev. Banque, 26 mars 2016. 444. M.-L. Dreyfuss, Les grands principes de Solvabilité 2, L’Argus de l’assurance, 2012.
174 | B anque
et
a ssurance
digitales
écrit leurs politiques de conformité et de contrôle interne445. Cette directive a été transposée par l’ordonnance du 2 avril 2015 qui a entièrement refondu le livre III du Code des assurances en introduisant des règles prudentielles issues de la directive446. 373. Selon l’ACPR, la cyber-criminalité constitue un risque systémique pour l’ensemble du secteur financier447. 374. Que ce soit dans la banque ou dans l’assurance, l’importance des systèmes d’information et du digital permettent une automatisation des contrôles de conformité sur des données de plus en plus fiables, de mieux en mieux classifiées et avec des volumétries sans précédent. L’idée sous-jacente est de limiter au maximum les opérations non conformes, car le régulateur veille ! 375. Nous nous concentrerons uniquement dans le présent chapitre sur trois questions : la lutte anti-blanchiment (LAB-FT) (section I), le contrôle interne (section II) et le secret professionnel (section III) qui touche à la confidentialité de l’information – le thème de la protection des données à caractère personnel est abordé à la partie I (chapitre II).
SECTION I LUTTE CONTRE LE BLANCHIMENT DES CAPITAUX ET LE FINANCEMENT DU TERRORISME 376. La lutte contre le blanchiment des capitaux et le financement du terrorisme constitue l’une des préoccupations majeures dans le secteur de la banque et de l’assurance448. Ces secteurs économiques sont particulièrement exposés aux risques de blanchiment des capitaux et de financement du terrorisme (LABFT) et, à ce titre, ils sont assujettis à des obligations légales et réglementaires liées à ce type de problématique. Dans une décision de la Cour d’appel d’Aixen-Provence du 5 novembre 2015, rappelle « que le premier texte (art. L. 310-1 du Code des assurances) ne fait qu’indiquer que l’État exerce un contrôle sur les entreprises d’assurance “dans l’intérêt des assurés”, que s’il est exact que les articles L. 561-2 2° et L. 651-5 du Code monétaire et financier font peser sur les entreprises d’assurance des obligations déclaratives dans le cadre de la lutte contre le blanchiment des capitaux et le financement du terrorisme lorsqu’elles
445. ACPR, « Notice Solvabilité II », Système de gouvernance, 17 déc. 2015, https://acpr.banquefrance.fr/fileadmin/user_upload/acp/publications/registre-officiel/20151218-Noticesolvabilite2-systeme-gouvernance.pdf. V. égal. J. Speroni, « La fonction conformité sort de l’ombre », L’Argus de l’assurance, n° 7351, 7 mars 2014. 446. JO 3 avr. 2015. L’ordonnance est entrée en vigueur le 1er janvier 2016. 447. E. Fernandez-Bollo, « La cybercriminalité, risque systémique pour le secteur financier », Rev. Banque, n° 793, févr. 2016, p. 22-23. 448. CA Aix-en-Provence, 3e ch. B, 5 nov. 2015, RG n° 14/06123, disponible sur la base Lamyline.
c onformité
légale
| 175
savent, soupçonnent ou ont de bonnes raisons de soupçonner que des sommes inscrites dans leurs livres ou concernant des opérations portant sur des sommes, proviennent d’une infraction passible d’une peine privative de liberté supérieure à un an ou participent au financement du terrorisme, l’assureur n’invoque pas de tels soupçons à l’encontre des époux X… et ne saurait invoquer utilement ces textes pour échapper à ses obligations contractuelles »449. 377. Avec l’émergence, puis le développement et enfin la mutation digitale des organismes bancaires450, financiers et assurantiels, les relations à distance avec leurs clients génèrent un accroissement des risques numériques de toute sorte. Au gré des évolutions, ces règles s’adaptent et elles se sont peu à peu renforcées, étant donné que ces transformations augmentent considérablement les risques d’une dilution du rapport de la banque ou de l’assurance au client, favorisant ainsi, de facto, le risque de blanchiment et de financement du terrorisme. Pour lutter contre ces phénomènes, il était essentiel d’organiser la réglementation afin d’imposer des obligations à toutes les entreprises de ces secteurs d’activité. 378. L’organisation intergouvernementale, le Groupe d’action financière internationale (GAFI), est l’un des acteurs majeurs dans la lutte contre le blanchiment de capitaux « même si ses actes n’ont pas le caractère d’une convention internationale et sont dépourvus d’effets juridiques dans l’ordre juridique interne »451. Nonobstant la LAB-FT, son objectif est de lutter contre les autres menaces liées à l’intégrité du système financier international452. Il établit des recommandations, cadres de mesures que les pays ont la possibilité de transposer à leur convenance afin d’être adaptées à leurs contextes propres. Ses dernières recommandations, publiées en 2012, définissent les mesures essentielles pour notamment identifier les risques, mettre en œuvre des mesures préventives, renforcer la transparence et faciliter la coopération internationale. 379. La troisième directive anti-blanchiment n° 2005/60/CE du 26 octobre 2005453 œuvre à une harmonisation en suivant les recommandations du GAFI de
449. Sur ce point : https://acpr.banque-france.fr/controle-prudentiel/lutte-contre-le-blanchimentdes-capitaux-et-le-financement-du-terrorisme/lcb-ft-presentation.html 450. J.-P. Kovar et J. Lasserre-Capdeville, Droit de la régulation bancaire, RB Édition, préf. C. Noyer, 2012, v. n° 664 et s. 451. CE, 6e et 1re sous-sections réunies, 23 juill. 2010, n° 309993, disponible sur le site : www. legifrance.gouv.fr 452. Son champ d’action est régulièrement augmenté. Par exemple, on mentionnera la lutte contre le financement de la prolifération des armes de destruction massive qui a été ajoutée en 2008 : v. « Normes internationales sur la lutte contre le blanchiment de capitaux et le financement du terrorisme et de la prolifération – Les recommandations du GAFI », févr. 2012 p. 8, disponible à l’adresse : http://www.fatf-gafi.org/media/fatf/documents/recommendations/ Recommandations_GAFI.pdf 453. Directive n° 2005/60/CE du Parlement européen et du Conseil du 26 octobre 2005 relative à la prévention de l’utilisation du système financier aux fins du blanchiment de capitaux et du financement du terrorisme, JOUE n° L. 309, 25 nov. 2005, p. 15, disponible à l’adresse : http:// eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A32005L0060
176 | B anque
et
a ssurance
digitales
2003454. Elle a permis de privilégier une approche par les risques. Cette approche définissait alors trois niveaux de vigilance distincts entraînant des mesures spécifiques : simplifiée, normale et renforcée. Elle a, depuis lors, fait l’objet d’un processus de révision455 ayant abouti à la promulgation de la directive n° 2015/849/UE456. Ainsi « (…) l’action de l’Union devrait continuer à tenir tout particulièrement compte des recommandations du GAFI et des instruments d’autres organismes internationaux actifs dans la lutte contre le blanchiment de capitaux et le financement du terrorisme. En vue de renforcer l’efficacité de la lutte contre le blanchiment de capitaux et le financement du terrorisme, les actes juridiques pertinents de l’Union devraient, le cas échéant, être alignés sur les normes internationales sur la lutte contre le blanchiment de capitaux et le financement du terrorisme et de la prolifération adoptés par le GAFI en février 2012 (ci-après dénommées “recommandations révisées du GAFI”) »457. 380. Parmi les principales innovations de la 4e directive Tracfin458, on peut souligner les précisions sur l’identification du bénéficiaire effectif des personnes morales et des trusts et un accès élargi à l’information sur ces bénéficiaires effectifs mais également que l’approche par le risque a été renforcée. 381. Dès lors, ces normes européennes, compatibles avec celles d’origine internationales, imposent aux établissements de crédit et aux établissements de monnaie électronique, une adaptation permanente de leur niveau de vigilance.
454. Dir. n° 2005/60/CE, cons. n° 5 : « Le blanchiment de capitaux et le financement du terrorisme s’inscrivent souvent dans un contexte international. Des mesures adoptées au seul niveau national ou même communautaire, sans coordination ni coopération internationales, auraient donc des effets très limités. Par conséquent, les mesures arrêtées par la Communauté en la matière devraient être compatibles avec toute autre action engagée dans d’autres enceintes internationales. En particulier, la Communauté devrait continuer à tenir compte des recommandations du Groupe d’action financière internationale (dénommé ci-après “GAFI”), qui est le principal organisme international de lutte contre le blanchiment de capitaux et contre le financement du terrorisme. Les recommandations du GAFI ayant été largement modifiées et développées en 2003, la présente directive devrait être en harmonie avec les nouvelles normes internationales ». 455. Communication de la Commission au Parlement européen conformément à l’article 294, paragraphe 6, du Traité sur le fonctionnement de l’Union européenne concernant la position du Conseil sur l’adoption d’une directive du Parlement européen et du Conseil relative à la prévention de l’utilisation du système financier aux fins du blanchiment de capitaux et du financement du terrorisme disponible à l’adresse : http://eur-lex.europa.eu/legal-content/FR/ TXT/?uri=CELEX:52015DC0188 456. Directive n° 2015/849 du Parlement européen et du Conseil du 20 mai 2015 relative à la prévention de l’utilisation du système financier aux fins du blanchiment de capitaux ou du financement du terrorisme, modifiant le règlement n° 648/2012 du Parlement européen et du Conseil et abrogeant la directive n° 2005/60/CE du Parlement européen et du Conseil et la directive n° 2006/70/CE de la Commission (texte présentant de l’intérêt pour l’EEE), JOUE n° L. 141, 5 juin 2015, p. 73. 457. Dir. n° 2015/849, cons. n° 4. 458. Tracfin, Les principales innovations de la 4e directive anti-blanchiment et financement du terrorisme en 12 points, La lettre d’information de Tracfin, Numéro spécial, oct. 2015, disponible à l’adresse : http://www.economie.gouv.fr/files/nspecial_4edirective.pdf
c onformité
légale
| 177
382. Si la directive n° 2005/60/CE a été transposée en France par l’ordonnance n° 2009-104 du 30 janvier 2009459, la directive n° 2015/849460 devrait également rapidement faire l’objet d’une prochaine transposition (avant le 26 juin 2017, article 67). En effet, la loi n° 2016-731 du 3 juin 2016 renforçant la lutte contre le crime organisé, le terrorisme et leur financement, et améliorant l’efficacité et les garanties de la procédure pénale461 a autorisé le Gouvernement à prendre par ordonnance les mesures permettant de transposer la directive, cette ordonnance étant intervenue le 1er décembre 2016462. De fait, comme le soulignent certains auteurs, l’obligation de vigilance et l’obligation de déclaration, qui constituent le fer de lance de ces mesures « n’ont plus en 2016 le contenu qu’elles avaient il y a à peine dix ans. Leur renforcement a été considérable. L’obligation de vigilance est devenue modulable alors que l’obligation de déclaration tend petit à petit à se systématiser. Les banquiers sont indiscutablement devenus aujourd’hui des acteurs majeurs de la LCB/FT »463. 383. Il est loisible d’observer que la réglementation en vigueur s’affine par le biais de décrets, arrêtés, lignes directives de l’ACPR464 ou de l’AMF. La portée de ces apports varie considérablement, certains textes ayant vocation à s’appliquer à une seule activité ou à un seul secteur. À propos des principes d’application sectoriels de l’ACPR, la distinction entre les secteurs de la banque et de l’assurance en constitue l’illustration la plus emblématique465.
459. Ordonnance n° 2009-104 du 30 janvier 2009 relative à la prévention de l’utilisation du système financier aux fins de blanchiment de capitaux et de financement du terrorisme, JO 31 janv. 2009, p. 1819. V. Florent Bonnard, « Lutte contre le blanchiment de capitaux et le financement du terrorisme : ce qui change pour le secteur bancaire et financier », JCP éd. E & A, 19 mars 2009, 1273 : Hervé Robert, « Les établissements de crédit et le nouveau cadre de la lutte contre le blanchiment de capitaux et le financement du terrorisme », RDBF 2010, étude 6. 460. Elle devrait toutefois évoluer rapidement (cf. partie « Dématérialisation »). 461. JO 4 juin 2016. 462. Ordonnance n° 2016-1635 du 1er décembre 2016 renforçant le dispositif français de lutte contre le blanchiment et le financement du terrorisme, JO 2 déc. 2016. 463. J. Lasserre-Capdeville, « Le banquier et la lutte contre le blanchiment d’argent », AJ pénal 2016, p. 179. 464. Pour les plus récentes, nous citerons : – 19 novembre 2015 : Lignes directrices conjointes de l’Autorité de contrôle prudentiel et de résolution et de Tracfin sur les obligations de déclaration et d’information à Tracfin disponibles à l’adresse : https://acpr.banque-france.fr/fileadmin/user_upload/acp/publications/registreofficiel/201511-LD-obligation-declaration-information-Tracfin.pdf – 14 juin 2016 : Lignes directrices conjointes de la Direction générale du trésor et de l’Autorité de contrôle prudentiel et de résolution sur la mise en œuvre des mesures de gel des avoirs disponible à l’adresse : https://acpr.banque-france.fr/fileadmin/user_upload/acp/ publications/registre-officiel/2016-LD-ACPR-gel-des-avoirs.pdf – 3 octobre 2016 : Instruction n° 2016-I-22 du 3 octobre 2016 modifiant l’instruction n° 2012I-04 du 28 juin 2012 relative aux informations sur le dispositif de prévention du blanchiment de capitaux et du financement des activités terroristes, disponible à l’adresse : https://acpr. banque-france.fr/fileadmin/user_upload/acp/publications/registre-officiel/Instruction2016-I-22-de-l-acpr.pdf 465. Par ex. : Principes d’application sectoriels de l’Autorité de contrôle prudentiel et de résolution relatifs à la lutte contre le blanchiment de capitaux et le financement du terrorisme pour le secteur des assurances édités en février 2015 et disponibles à l’adresse : https://acpr.banque-
178 | B anque
et
a ssurance
digitales
384. Cela étant, ces apports permettent de fixer l’ensemble de la relation liant un établissement à sa clientèle. Au sein de cette relation, la notion de connaissance du client (KYC pour « Know Your Customer ») concentre toutes les attentions, de manière particulièrement aiguë en cas de relation à distance (téléphone, courrier) ou en ligne, mais également dans le cadre de relations plus génériques avec présence physique du client. Après avoir analysé les différents niveaux de vigilance imposés par les textes (§ 1), nous nous pencherons sur l’identification et la connaissance client qui sont au cœur du dispositif, avant de terminer par la présentation de quelques jurisprudences ayant appliqué les principes de LAB-FT (§ 3). § 1 – Les différents niveaux de vigilance
385. Présentement, la réglementation fixe trois niveaux de vigilance. La directive n° 2015/849 n’a pas modifié l’approche antérieure qui ne devrait pas être changée. 386. Ces trois niveaux de vigilance se répartissent autour d’un niveau standard, dit « normal », à partir duquel se déclinent : – d’une part, un niveau de vigilance « simplifiée » quand les circonstances font apparaître des risques faibles et permettent de réduire l’intensité des mesures ; – d’autre part, un niveau de vigilance « renforcée » imposant des mesures complémentaires lorsque certaines circonstances tendent à accroître les risques466. A.
Vigilance simplifiée
387. Aux termes de l’article L. 561-9 et des articles R. 561-15 à R. 561-17 du Code monétaire et financier, un niveau de vigilance simplifiée peut être appliqué en cas de faible risque de blanchiment de capitaux ou de financement du terrorisme. Ces articles, dont l’objet est essentiellement d’évoquer les hypothèses permettant de mettre en œuvre ce niveau de vigilance, mettent en évidence le fait que l’application de ce dernier est influencée par : – le client en lui-même467 ;
france.fr/fileadmin/user_upload/acp/publications/registre-officiel/20150218-Principes-dapplication-sectoriels-ACPR-LCB-FT.pdf 466. C. Cutajar, « La banque en ligne et la réalisation en ligne des obligations imposées en matière de lutte contre le blanchiment », Banque & Droit, hors-série, juin 2013, v. p. 60-61. 467. V. l’article R. 561-15 du Code monétaire et financier évoquant les personnes pouvant faire l’objet d’une vigilance simplifiée.
c onformité
légale
| 179
– le produit468 ; – ou encore son mode de distribution469. 388. De plus, le nouvel article R. 561-16-1 du Code monétaire et financier, introduit par le décret n° 2013-183 du 28 février 2013470 permet aux établissements de ne pas procéder à la vérification de l’identité du client, et le cas échéant du bénéficiaire, lors de la fourniture de certains services de paiement en ligne s’ils satisfont à plusieurs conditions cumulatives que sont : – la fourniture d’opérations de paiement (v. partie II, chapitre II, section I) par l’Internet de services spécifiques ; – les fonds reçus du client proviennent d’un compte à son nom au sein d’un établissement soumis aux obligations relatives à la LAB-FT ; – les fonds sont à destination d’un compte ouvert au nom du bénéficiaire au sein d’un établissement soumis aux obligations relatives à la LAB-FT ; – l’opération ne dépasse pas 250 euros ; – le montant total des opérations sur douze mois ne dépasse pas 2 500 euros. 389. À noter que, si la directive n° 2005/60/CE détaillait précisément dans le corps de son texte de nombreuses hypothèses de dérogations471 permettant de mettre en œuvre une démarche de vigilance simplifiée, la directive n° 2015/849/ CE s’en tient en apparence à des propos liminaires laissant aux États membres la capacité d’autoriser les entités assujetties à appliquer des mesures simplifiées de vigilance472. Cependant, en leur imposant dans le cadre de leur évaluation de tenir compte des facteurs évoqués au sein de l’annexe II, la directive maintient des lignes permettant de guider l’évaluation473. B.
Vigilance normale
390. En pratique, l’hypothèse que l’on rencontre le plus fréquemment est celle de la vigilance normale. Les obligations de vigilance normale sont précisées aux articles L. 561-5 et L. 561-6 du Code monétaire et financier. Ces obligations débutent par une identification initiale du client, identification qui devra être mise 468. V. l’article R. 561-16 du Code monétaire et financier évoquant les produits pouvant faire l’objet d’une vigilance simplifiée tel, par exemple, les contrats d’assurance-vie dont la prime annuelle ne dépasse pas 1 000 euros ou dont la prime unique ne dépasse pas 2 500 euros. 469. V. l’article R. 561-16-1 du Code monétaire et financier évoquant les opérations pouvant faire l’objet d’une vigilance simplifiée. 470. Décret n° 2013-183 du 28 février 2013 relatif aux obligations de vigilance en matière de services de paiement en ligne pour la prévention de l’utilisation du système financier aux fins de blanchiment de capitaux et de financement du terrorisme, JO 2 mars 2013, p. 3898. 471. Dir. n° 2005/60/CE, art. 11. 472. Dir. n° 2015/849/UE, art. 15. 473. Dir. n° 2015/849/UE, art. 16.
180 | B anque
et
a ssurance
digitales
à jour autant que de besoin spécialement si le professionnel a de bonnes raisons de penser que les informations enregistrées ne sont plus exactes ou pertinentes. Ainsi, « pendant toute la durée de la relation d’affaires et dans les conditions fixées par décret en Conseil d’État, ces personnes exercent, dans la limite de leurs droits et obligations, une vigilance constante et pratiquent un examen attentif des opérations effectuées en veillant à ce qu’elles soient cohérentes avec la connaissance actualisée qu’elles ont de leur relation d’affaires » (CMF, art. L. 561-6). 391. Cette obligation d’identification du client n’est pas réservée aux clients habituels, une obligation d’identification des clients occasionnels474 étant également mise en œuvre par le biais des articles R. 561-10 et suivants du Code monétaire et financier. Cette obligation d’identification du client est complétée par une obligation d’identification du bénéficiaire effectif. 392. De fait, cette obligation de vigilance est une obligation constante, l’article R. 561-12 du Code monétaire et financier édictant plusieurs tâches distinctes avant et pendant toute la durée de la relation d’affaires (recueil, analyse, mise à jour) et imposant d’être en mesure d’en justifier auprès des autorités de contrôle. La conservation des justificatifs est fixée à une durée de cinq ans (CMF, art. L. 561-12475). Ces mesures ont été complétées par l’arrêté du 2 septembre 2009476 édictant les éléments d’information susceptibles d’être ainsi recueillis en distinguant notamment connaissance de la relation d’affaires (montant et nature des opérations, provenance des fonds, destination des fonds…) et connaissance de la situation personnelle des bénéficiaires personnes physiques (justification de l’adresse du domicile, activités professionnelles, revenus…) et personnes morales (justification de l’adresse du siège social, statuts, mandats, pouvoirs…). 393. S’agissant de la mise en place des mesures de vigilance normale, la directive n° 2015/849 reprend pour l’essentiel les éléments mentionnés dans la directive n° 2005/60 en y ajoutant des facteurs dont il faut tenir compte dans le cadre 474. L’article R. 561-10 du Code monétaire et financier définit le client occasionnel comme étant « toute personne qui s’adresse à l’une des personnes mentionnées à l’article L. 561-2 dans le but exclusif de préparer ou de réaliser une opération ponctuelle ou d’être assisté dans la préparation ou la réalisation d’une telle opération, que celle-ci soit réalisée en une seule opération ou en plusieurs opérations apparaissant comme liées entre elles ». 475. « (…) les personnes mentionnées à l’article L. 561-2 conservent pendant cinq ans à compter de la clôture de leurs comptes ou de la cessation de leurs relations avec eux les documents et informations, quel qu’en soit le support, relatifs à l’identité de leurs clients habituels ou occasionnels. Elles conservent également, dans la limite de leurs attributions, pendant cinq ans à compter de leur exécution, quel qu’en soit le support, les documents et informations relatifs aux opérations faites par ceux-ci, ainsi que les documents consignant les caractéristiques des opérations mentionnées au II de l’article L. 561-10-2 ». 476. Arrêté du 2 septembre 2009 pris en application de l’article R. 561-12 du Code monétaire et financier et définissant des éléments d’information liés à la connaissance du client et de la relation d’affaires aux fins d’évaluation des risques de blanchiment de capitaux et de financement du terrorisme, JO 4 sept. 2009, p. 14667.
c onformité
légale
| 181
de l’évaluation des risques, de l’obligation d’être en mesure de démontrer le caractère approprié des mesures et des mesures spécifiques aux assurances vie477. C.
Vigilance renforcée
394. Des mesures de vigilance complémentaires sont imposées par l’article L. 561-10 du Code monétaire et financier. On se trouve dans ce cas lorsque « le client ou son représentant légal n’est pas physiquement présent aux fins de l’identification au moment de l’établissement de la relation d’affaires ». Dans cette perspective, sont visés par l’application de mesures de vigilance renforcée tous les dispositifs de contractualisation en ligne et donc, par définition, sans la présence physique des personnes. 395. Dès lors, cela rend l’entrée en relation à distance plus délicate qu’une entrée en relation avec un contact physique en face-à-face au sein d’une agence, étant donné que l’article R. 521-20 du Code monétaire et financier ajoute une mesure de vigilance complémentaire (deux dans l’hypothèse où l’opération est une ouverture de compte) à choisir au sein d’une liste de quatre (ex. : l’obtention d’une pièce justificative supplémentaire d’identification officielle, premier paiement en provenance ou à destination d’un compte ouvert au nom du client répondant aux exigences relatives à la lutte contre le blanchiment, ou encore par la mise en œuvre de mesure de vérification et certification de la copie du document officiel par un tiers indépendant de la personne à identifier…). 396. Mais il ne s’agit pas des seules mesures pouvant venir se surajouter. En effet, si la personne visée est une personne résidant dans un autre État membre de l’Union européenne ou un pays tiers et qui est exposée à des risques particuliers en raison de ses fonctions politiques, juridictionnelles ou administratives ou si l’opération envisagée est effectuée avec des personnes domiciliées, enregistrées ou établies dans un État ou un territoire figurant sur les listes publiées par le GAFI parmi ceux dont la législation ou les pratiques font obstacle à la LAB-FT, alors chacune de ses hypothèses sera complétée par son cortège respectif d’obligations. 397. C’est le décret du 3 octobre 2012 relatif aux obligations de vigilance et de déclaration pour la prévention de l’utilisation du système financier aux fins de blanchiment de capitaux et du financement du terrorisme qui a introduit des nouvelles obligations478 ; il a assoupli les mesures initialement prévues pour l’ouverture d’un compte en ligne par le décret n° 2009-1087479. En effet, 477. Dir. n° 2015/849/UE, art. 13. 478. Décret n° 2012-1125 du 3 octobre 2012 relatif aux obligations de vigilance et de déclaration pour la prévention de l’utilisation du système financier aux fins de blanchiment de capitaux et du financement du terrorisme, JO 5 oct. 2012, p. 15580. 479. Décret n° 2009-1087 du 2 septembre 2009 relatif aux obligations de vigilance et de déclaration pour la prévention de l’utilisation du système financier aux fins de blanchiment de capitaux et de financement du terrorisme, JO 4 sept. 2009, p. 14660.
182 | B anque
et
a ssurance
digitales
à l’origine, il avait été imposé un virement du compte du client au sein d’un établissement assujetti. 398. Ce faisant, ce léger assouplissement des exigences relatives à l’ouverture d’un compte poursuit une démarche tendant progressivement à alléger le formalisme des applications en ligne tout en préservant l’impératif de sécurisation nécessaire à la fiabilité de l’ensemble. En effet, ces évolutions ne tendent pas à alléger l’exigence de surveillance qui reste un impératif pendant toute la relation d’affaires, la traçabilité des opérations réalisées devant être particulièrement observée. Cependant, ces inflexions pourraient théoriquement permettre de favoriser une ouverture de compte dématérialisée qui utiliserait une version électronique officielle et certifiée de l’identité du prospect. 399. S’agissant de l’obligation de vigilance renforcée au regard de la directive n° 2015/849, il s’agira de se mettre dans le cadre de la mise en œuvre d’une vigilance simplifiée en étant guidé par l’appréciation des risques conformément à l’annexe III qui fixe une liste de facteurs et des types d’éléments indicatifs d’un risque potentiellement plus élevé480. 400. Dans une décision de la commission des sanctions de l’ACPR à l’égard de la banque UBS France, une amende de 10 millions d’euros a été prononcée pour non-conformité à la réglementation applicable à la lutte contre le blanchiment dans les activités transfrontalières de la banque et pour insuffisance des moyens mis à la disposition du responsable conformité481. Mais parmi les griefs relevés dans la décision, il était également établi : « Inachèvement, lors du contrôle, de la revue de 206 dossiers clients (“KYC”) dont la dernière actualisation remontait à décembre 2009 ». § 2 – Identification et « connaissance client »
401. Deux mouvements de nature légale se confrontent dans le cadre de la connaissance du client. D’un côté, la connaissance client est soumise à des exigences de plus en plus importantes en vertu des textes sur la lutte anti-blanchiment qui s’étendent aux activités du client (A) ; de l’autre, la loi « Informatiques, fichiers et libertés » tend à ce que la collecte des informations n’excède pas ce qui est strictement nécessaire aux besoins de ladite connaissance (B).
480. Directive n° 2015/849/UE, art. 18. 481. ACPR, Décision de la commission des sanctions n° 2012-03 du 25 juin 2013 à l’égard d’UBS (France) SA, http://www.acp.banque-france.fr/fileadmin/user_upload/acp/publications/ registre-officiel/20130626-Decision-de-la-commission-des-sanctions.pdf. Le Conseil d’État a rejeté le recours formé contre cette décision, le 5 novembre 2014.
c onformité A.
légale
| 183
Extension du domaine de la connaissance client
402. Les banques et les assurances sont soumises à une obligation de connaissance du client renforcée. 403. Afin d’assurer la régulation de la mise en œuvre des dispositions applicables en la matière, un contrôle est exercé par l’Autorité de contrôle prudentiel et de résolution (ACPR). Et c’est la Commission des sanctions de cette autorité qui prononce les sanctions. Toutefois, il convient de noter que l’activité de cette Commission en matière de LAB-FT « prend une importance croissante dans le paysage de la supervision bancaire et assurantielle »482. En effet, on peut répertorier quatorze décisions concernant la LAB-FT sur les trente-cinq qui ont été rendues entre 2010 et 2015. 404. Les manquements aux exigences relatives à la connaissance des clients peuvent donner lieu à des sanctions. Dans la décision n° 2011-02 du 24 octobre 2012483, de nombreux griefs ont été retenus à l’encontre de la banque (non identifiée dans la décision) quant au respect du dispositif de contrôle de la conformité et à la LAB-FT. Ont été spécifiquement visés plusieurs griefs sur l’identification de la clientèle : des dossiers sans les éléments relatifs à l’identité du client ou du bénéficiaire effectif et/ou les documents justificatifs afférents, clients apportés sans que les mesures de vigilance n’aient été mises en œuvre, comptes de clients mouvementés par des tierces personnes sans que des procurations aient été clairement établies. Or, les faits étant antérieurs à la publication de l’ordonnance n° 2009-104, les poursuites ont été abandonnées sur ce point. 405. En revanche, s’agissant des griefs relatifs à la connaissance des clients et à la revue des données portant sur une période postérieure, ils n’ont pas suivi le même sort. Sur la globalité des faits reprochés, soutenant que des insuffisances manifestes ont été observées dans l’organisation du dispositif de contrôle de la conformité de même qu’une diligence insuffisante de l’établissement dans la mise à niveau de son dispositif de LAB-FT, la Commission relève qu’une partie de ces reproches tient seulement à une formalisation insuffisante à la date du contrôle dans des procédures opérationnelles sans qu’il soit établi que ces carences n’ont entraîné de dysfonctionnement significatif et qu’à la suite d’une inspection interne, une mise à niveau des dispositifs était en cours. Ce faisant, la Commission a tenu compte de l’ensemble des éléments pour prononcer une sanction pécuniaire de 500 000 euros tout en acceptant la demande d’anonymisation de la décision.
482. M.-E. Boursier, « Autorité de contrôle prudentiel et de résolution, un an de jurisprudence – Lutte contre le blanchiment de capitaux et le financement du terrorisme (LBC/FT) », JCP éd. E & A, n° 13, 31 mars 2016, 1193. 483. Décision disponible à l’adresse : http://www.acp.banque-france.fr/fileadmin/user_upload/ acp/publications/registre-officiel/20121107-Decision-de-la-commission-des-sanctions.pdf
184 | B anque
et
a ssurance
digitales
406. Plus récemment et dans le domaine des assurances, la Commission de sanctions de l’ACPR a eu à se prononcer sur de sérieuses carences du dispositif LAB-FT d’une société dont l’organisation (sa classification des risques présentait des lacunes), les outils de suivi (ex. : systèmes d’information multiples et non interopérables, outil de surveillance inachevé au moment du contrôle…), les obligations de vigilance (ex. : difficultés relatives à l’actualisation des informations, manque de procédures adaptées permettant de détecter les personnes politiquement exposées…) et les obligations déclaratives étaient mises en cause484. Pour l’ensemble de ces griefs établis, la société a été sanctionnée par un blâme et une sanction pécuniaire de 5 millions d’euros485. Cette décision permet également de mettre en évidence l’importance de l’identification du client, de son origine et pendant toute la durée de la relation d’affaires. Concernant les personnes morales clientes, il a été reproché à la société d’assurance de ne pas avoir procédé à « une nouvelle identification alors que les éléments d’identité et les pouvoirs de leurs représentants n’étaient plus exacts ». Ainsi l’obligation d’identification et de connaissance client ne s’arrête pas au moment de l’entrée en relation, étant donné que, pour être remplie, elle doit comporter l’ensemble des mesures opérationnelles permettant une mise à jour régulière de l’identification des personnes. B.
Collecte raisonnable des informations en vertu de la protection des données personnelles
407. Cependant, les entreprises sont également tenues par des dispositions imposant, a contrario, une connaissance limitée de ses clients. Tel est spécifiquement le cas des dispositions de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés486. Aux termes de son article 2, cette loi s’applique « aux traitements automatisés de données à caractère personnel, ainsi qu’aux traitements non automatisés de données à caractère personnel contenues ou appelées à figurer dans des fichiers ». Or, ce même article définit la donnée à caractère personnel comme étant « toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres ». À ce titre, toute donnée servant à l’identification
484. Décision n° 2014-07 de la Commission de sanction de l’Autorité de contrôle prudentiel et de résolution du 24 juillet 2015, disponible à l’adresse : https://acpr.banque-france.fr/fileadmin/ user_upload/acp/publications/registre-officiel/20150728-Decision-de-la-commission-dessanctions.pdf 485. Pour une condamnation encore plus récente dans le secteur des assurances, v. Décision n° 2015-10 de la Commission de sanction de l’Autorité de contrôle prudentiel et de résolution du 29 juillet 2016, disponible à l’adresse : https://acpr.banque-france.fr/fileadmin/user_upload/ acp/publications/registre-officiel/20160729_Commission-des-sanctions_d%C3%A9cision_ Skandia.pdf. La sanction a été un blâme et 1,2 million d’euros d’amende 486. Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, JO 7 janv. 1978 p. 227, modifiée par la loi n° 2004-801 du 6 août 2004. Sur les principes au regard du règlement européen du 27 avril 2016, v. E. Jouffin, « Les lignes de force du règlement général sur la protection des données », Banque & Droit, juill.-août 2016, p. 8.
c onformité
légale
| 185
d’un client ou relative à des mouvements de fonds de ces clients est susceptible de répondre à cette définition. 408. Ce constat n’est pas sans conséquences en termes de conformité légale car il impose le respect de principes rigoureux associés, les données collectées et traitées « de manière loyale et licite » devant être « collectées pour des finalités déterminées, explicites et légitimes » et être « adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs ». 409. Ces dispositions imposent donc à l’établissement une double vigilance au regard de la lutte contre le blanchiment et de la loi n° 78-17 ; la première ne devant pas entraîner des abus vis-à-vis de la seconde (ex. : demander des documents qui ne seraient pas directement et strictement utiles à la lutte antiblanchiment) sous peine de sanctions487. 410. De fait, la CNIL est également en mesure de refuser à une société la mise en œuvre de traitements soumis à son autorisation. Tel a été le cas pour une société de jeux en ligne, la CNIL refusant, dans le cadre de sa délibération du 21 juillet 2011, la mise en œuvre d’un traitement automatisé des données à caractère personnel ayant pour finalité la lutte contre la fraude, le blanchiment de capitaux et le financement du terrorisme488. Le traitement qui lui était alors soumis permettait à la société de demander aux joueurs de lui fournir un relevé de compte bancaire, en cas de suspicion de blanchiment de capitaux. La société arguait que, étant soumise à la loi du 12 mai 2010 relative à l’ouverture à la concurrence et à la régulation du secteur des jeux d’argent et de hasard en ligne489, elle se devait de mettre en place des mesures visant à des mesures en vue de lutter contre la fraude, le blanchiment de capitaux et le financement du terrorisme et que le relevé lui permettrait de s’assurer de la provenance des fonds au sens de l’arrêté du 2 septembre 2009. Cependant, la CNIL n’a pas suivi ce raisonnement, affirmant que « le relevé de compte bancaire d’un joueur ne permet pas de s’assurer de la provenance des fonds au sens de l’arrêté du 2 septembre 2009 », elle souligne surtout que le document « contient un nombre important d’informations sur la vie privée des joueurs (remboursements de crédits, montant du loyer, charges diverses, habitude de consommation, etc.) ». Ce faisant, la CNIL soutient que « la collecte de ces données par la société n’est ni 487. À noter qu’aux termes de la loi pour une République numérique, l’article 65-I modifiant l’article 47 de la loi n° 78-17 prévoit un relèvement du montant des sanctions pécuniaires de la CNIL à un maximum 3 millions d’euros. Après l’entrée en application du règlement européen, le 25 mai 2018, les sanctions pécuniaires seront encore augmentées. 488. Délibération n° 2011-236 du 21 juillet 2011 refusant la mise en œuvre par la société BES SAS d’un traitement automatisé des données à caractère personnel ayant pour finalité la lutte contre la fraude, le blanchiment de capitaux et le financement du terrorisme (autorisation n° 1438748), disponible à l’adresse : https://www.legifrance.gouv.fr/affichCnil.do?oldAction=r echExpCnil&id=CNILTEXT000024421837&fastReqId=2039010827 489. Loi n° 2010-476 du 12 mai 2010 relative à l’ouverture à la concurrence et à la régulation du secteur des jeux d’argent et de hasard en ligne, JO 13 mai 2010, p. 8881.
186 | B anque
et
a ssurance
digitales
pertinente ni proportionnée à la finalité de lutte contre le blanchiment de capitaux et le financement du terrorisme », ce qui lui permet de refuser son autorisation. 411. La CNIL a édicté en 2011 une autorisation unique relative aux traitements de données à caractère personnel mis en œuvre par des organismes financiers relatifs à la lutte contre le blanchiment de capitaux et le financement du terrorisme490. Dans le cadre de cette autorisation unique (AU), sont détaillées, par exemple, les données pouvant être collectées, mais également les personnes autorisées à y accéder, la durée de conservation ou les mesures de sécurité à mettre en œuvre. § 3 – Exemples de jurisprudence en matière de LAB-FT
412. D’après un arrêt de la Cour d’appel de Lyon du 1er mars 2016491 : « Attendu qu’en application de l’article L. 561-2 du Code monétaire et financier, les entreprises mentionnées à l’article L. 310-1 du Code des assurances sont assujetties aux obligations prévues par les sections II à VII du chapitre relatif à la lutte contre le blanchiment des capitaux et le financement du terrorisme ; que l’article L. 561-8 prévoit que lorsqu’elles ne sont pas en mesure d’identifier leur client ou d’obtenir des informations sur l’objet et la nature de la relation d’affaires, elles n’exécutent aucune opération, qu’elles qu’en soient les modalités, et ne poursuivent aucune relation d’affaires, et lorsqu’elles n’ont pas été en mesure d’identifier leur client ou d’obtenir des informations sur l’objet et la nature de la relation d’affaires et que celle-ci a néanmoins été établie en application du II de l’article L. 561-5, elles y mettent un terme (…) dès lors que Mme S. n’a pas rapporté la preuve de l’origine des fonds ayant servi à l’acquisition du véhicule et du paiement effectif du prix, la société GMF Assurances a, conformément à ses obligations résultant des textes rappelés précédemment, légitimement refusé d’exécuter aucune opération d’indemnisation de son assurée à la suite du sinistre subi par le véhicule ». 413. La Cour d’appel de Riom a décidé, dans un arrêt du 3 mai 2016492, que le licenciement d’un salarié occupant le poste de directeur d’agence bancaire reposait sur une cause réelle et sérieuse, et non sur une faute grave. « En l’espèce la lettre de licenciement qui fixe les limites du litige est fondée sur le fait que M. A. n’aurait pas respecté les procédures relatives à la lutte anti-blanchiment en accordant délibérément des financements à des clients déclarant ouvertement 490. Délibération n° 2011-180 du 16 juin 2011 portant autorisation unique de traitements de données à caractère personnel mis en œuvre par des organismes financiers relatifs à la lutte contre le blanchiment de capitaux et le financement du terrorisme ainsi qu’à l’application des sanctions financières. Délibération ayant abrogé la délibération n° 2005-297 du 1er décembre 2005 modifiée par la délibération n° 2007-060 du 25 avril 2007 portant autorisation unique de certains traitements de données à caractère personnel mis en œuvre dans des organismes financiers au titre de la lutte contre le blanchiment de capitaux et le financement du terrorisme. 491. CA Lyon, ch. civ. 1re, sect. B, 1er mars 2016, Juris-Data n° 2016-004031. 492. CA Riom, 4e ch. civ., 3 mai 2016, Juris-Data n° 2016-008839. V. égal. une décision de la Cour d’appel de Limoges, ch. soc., 18 mai 2015, Juris-Data n° 2015-012094, où un salarié, directeur d’une agence bancaire, a été licencié pour manque de vigilance (faute simple).
c onformité
légale
| 187
ne pas remplir leurs obligations fiscales, mais également sur le fait qu’il aurait été négligent dans l’ouverture de comptes et l’octroi de facilités de paiement sans valider les procédures d’alerte internes (…) ». Le directeur avait manqué à ses obligations en matière de lutte anti-blanchiment en ouvrant un compte et en accordant des financements importants à des clients qui ne remplissaient pas leurs obligations fiscales (activités non déclarées et qui réalisaient des opérations suspectes). De plus, il n’avait pas validé d’alertes.
SECTION II CONTRÔLE INTERNE ET SÉCURITÉ DE L’INFORMATION 414. C’est en 1990 que le Comité de la réglementation bancaire a édicté un règlement applicable au contrôle interne dans les établissements bancaires et financiers493, principes qui ont été repris dans le règlement CRBF n° 97-02494. La notion de « contrôle interne », comme le rapportait l’Institut français de l’audit et du contrôle interne (IFACI) dans son ouvrage, a été définie par le « Committee of Sponsoring Organisation of the Treadway Commission »495 comme « l’ensemble des dispositifs mis en œuvre par le conseil d’administration, les dirigeants, le personnel d’une organisation et destiné à donner une assurance raisonnable quant à l’atteinte des objectifs suivants : réalisation et optimisation des opérations, fiabilité des informations financières, conformité aux règlements et lois en vigueur »496. Les banques sont, bien entendu, visées par la réglementation depuis de nombreuses années497. Le contrôle interne des établissements bancaires est encadré par l’arrêté du 3 novembre 2014 (§ 1). Seront envisagés ensuite, le système d’information en tant que support du contrôle interne (§ 2), puis les « prestations de services essentiels externalisées » (§ 3) et, enfin, le contrôle interne dans le domaine de l’assurance (§ 4). § 1 – Arrêté du 3 novembre 2014 et contrôle interne dans le secteur bancaire
415. En ce qui concerne les établissements bancaires et financiers, l’arrêté du 3 novembre 2014, relatif au contrôle interne des entreprises du secteur de la 493. Règl. CRB n° 90-08, 25 juill. 1990. 494. Sur la présentation du règlement CRBF n° 97-02 du 21 février 1997, v. Bulletin de la Commission bancaire, n° 16, avr. 1997, disponible à l’adresse : https://www.google.fr/?gfe_ rd=ssl&ei=2KQEWLY0icNowJGeyAk#q =Règlement + CRB + n° 90-08 + du +25 + juillet +1990 495. Initiative conjointe des cinq organisations du secteur privé (American Accounting Association, American Institute of Certified Public Accountants, Financiel Executives International, Institute of Management Accountants, Institute of Internal Auditors) dont l’objet est d’élaborer des cadres et orientations relatifs à la gestion des risques d’entreprise, le contrôle interne et la lutte contre la fraude. 496. Institut français de l’audit et du contrôle interne (IFACI), La nouvelle pratique du contrôle interne, Éditions d’Organisation, 1994. 497. J.-P. Kovar et J. Lasserre-Capdeville, Droit de la régulation bancaire, op. cit., v. n° 587 et s. et n° 747 et s.
188 | B anque
et
a ssurance
digitales
banque, des services de paiement et des services d’investissement, abroge le fameux règlement CRBF n° 97-02 du 21 février 1997498 et prend sa suite, sans toutefois apporter des changements majeurs, mais avec certains aménagements (ex. : prise en compte de nouveaux risques, nouvelles personnes soumises à l’arrêté, encadrement des rémunérations, etc.)499. Son objet consiste à encadrer les procédures de contrôle interne mises en œuvre par les entreprises assujetties. Il est entré en vigueur le 6 novembre 2014. 416. La notion de contrôle interne est connue de longue date par le secteur bancaire, l’ancien article L. 511-41 du Code monétaire et financier ayant longtemps imposé aux établissements de crédit de « disposer d’un système adéquat de contrôle interne leur permettant notamment de mesurer les risques et la rentabilité de leurs activités »500. 417. Désormais, c’est aux termes de l’article 2 de l’arrêté du 3 novembre 2014 relatif au contrôle interne des entreprises du secteur de la banque, des services de paiement et des services d’investissement soumis au contrôle de l’Autorité de contrôle prudentiel et de résolution501 que « les entreprises assujetties se dotent d’un dispositif de gouvernance solide, comprenant notamment un dispositif adéquat de contrôle interne, respectant les conditions prévues par le présent arrêté ainsi que, le cas échéant, les dispositions européennes directement applicables ». 418. Ce système de contrôle des opérations et des procédures internes a pour objet, comme le détaille l’article 11 de l’arrêté du 3 novembre 2014, de vérifier que les opérations sont conformes aux dispositions propres à chaque activité (légale, réglementaire et professionnelle), de vérifier la qualité de l’information comptable et financière (informations transmises aux dirigeants, aux autorités de contrôle…), de vérifier les conditions d’évaluation, d’enregistrement, de conservation et de disponibilité de cette information, de vérifier la qualité des systèmes d’information et de communication ou encore de vérifier l’effectivité des mesures correctrices. 419. Ce faisant, l’arrêté est venu notamment achever la transposition des articles consacrés à la gouvernance de la directive n° 2013/36/UE concernant
498. É. A. Caprioli, « Commentaire de l’arrêté du 31 mars 2005 modifiant le règlement du comité de la réglementation bancaire et financière n° 97-02 du 21 février 1997 relatif au contrôle interne des établissements de crédit et des entreprises d’investissement », Com. com. électr. 2005, comm. 167. 499. JO 5 nov. 2014, p. 18598. Il s’agit de l’ancien règlement CRBF n° 97-02 du 21 février 1997 modifié « relatif au contrôle interne des établissements de crédit et des entreprises d’investissement ». 500. Article dans sa version antérieure à l’ordonnance n° 2014-158 du 20 février 2014 portant diverses dispositions d’adaptation de la législation au droit de l’Union européenne en matière financière, JO 21 févr. 2014, p. 3022. 501. Arrêté du 3 novembre 2014 relatif au contrôle interne des entreprises du secteur de la banque, des services de paiement et des services d’investissement soumis au contrôle de l’Autorité de contrôle prudentiel et de résolution, JO 5 nov. 2014.
c onformité
légale
| 189
l’accès à l’activité des établissements de crédit et la surveillance prudentielle des établissements de crédit et des entreprises d’investissement502, aussi appelée directive « CRD IV ». Il permet également des évolutions sur différentes mesures relatives aux risques (ex. : risque de liquidité, risque de crédit et de marché). 420. Comme le précisait déjà le règlement n° 97-02 du 21 février 1997, le contrôle interne comprend : « a) Un système de contrôle des opérations et des procédures internes ; b) Une organisation comptable et du traitement de l’information ; c) Des systèmes de mesure des risques et des résultats ; d) Des systèmes de surveillance et de maîtrise des risques ; e) Un système de documentation et d’information ; f) Un dispositif de surveillance des flux d’espèces et de titres ». 421. En pratique, les entreprises se doivent de mettre en œuvre : – un contrôle permanent de la conformité, de la sécurité et de la validation des opérations réalisées et du respect des autres diligences liées aux missions de la fonction de gestion des risques (article 13) ; – un contrôle périodique de la conformité des opérations, du niveau de risque effectivement encouru, du respect des procédures, de l’efficacité et du caractère approprié des dispositifs mis en œuvre dans le cadre du contrôle permanent (article 17). 422. Le non-respect de ces obligations peut, comme le non-respect des obligations en matière de lutte contre le blanchiment, faire l’objet de sanctions par la Commission des sanctions de l’ACPR. L’ACPR dispose des pouvoirs de sanction dans l’hypothèse où elle relève des manquements à cet arrêté. 423. Tel a été le cas dans le cadre de sa décision du 16 décembre 2011503. Le contrôle interne, en ce compris surtout les moyens affectés à ce dernier, s’était révélé particulièrement défaillant. En effet, sur les moyens dédiés au contrôle permanent il est apparu par exemple qu’en l’absence d’une personne dédiée, le contrôle permanent de premier niveau était exclusivement assuré par le responsable de salle et son adjoint, mais également que les moyens de l’inspection générale de l’établissement étaient insuffisants compte tenu de l’importance des 502. Directive n° 2013/36/UE du Parlement européen et du Conseil du 26 juin 2013 concernant l’accès à l’activité des établissements de crédit et la surveillance prudentielle des établissements de crédit et des entreprises d’investissement, modifiant la directive n° 2002/87/CE et abrogeant les directives n° 2006/48/CE et n° 2006/49/CE, texte présentant de l’intérêt pour l’EEE, JOUE n° L. 176, 27 juin 2013, p. 338. 503. Décision n° 2010-6 de la Commission de sanction de l’Autorité de contrôle prudentiel du 16 décembre 2011, disponible sous le lien : https://acpr.banque-france.fr/fileadmin/ user_upload/acp/publications/registre-officiel/20111216-Decision-de-la-commission-dessanctions.pdf
190 | B anque
et
a ssurance
digitales
activités de marché (une seule personne affectée au contrôle des opérations de marché assurant conjointement d’autres tâches). De plus, pour les contrôles de second niveau, la Commission a observé qu’aucune procédure formalisée ne décrivait les modalités de contrôle des résultats quotidiens et qu’aucun contrôle de second niveau n’était réalisé sur les calculs effectués par le service en charge du suivi de marché. C’est au regard de ces manquements mais également de nombreux autres relatifs aux systèmes de mesure de surveillance et de maîtrise des risques, au contrôle de la qualité de l’information comptable et financière que la société a été sanctionnée par l’ACPR qui a prononcé à son encontre un avertissement et une sanction pécuniaire de 800 000 euros. 424. Plus récemment, on peut citer la décision relative à une société à laquelle il avait été reproché autour de la thématique globale du « droit au compte », d’une part, un défaut dans la mise en œuvre opérationnelle des dispositions régissant le droit au compte et, d’autre part, des défauts dans sa procédure de contrôle interne504. Sur ce second point, la Commission, rappelant les dispositions du règlement n° 97-02 ainsi que les dispositions de l’arrêté du 3 novembre 2014, indique que la société n’avait pas intégré plusieurs évolutions législatives relatives au droit au compte dans sa documentation interne et ses procédures en vigueur. Elle souligne, en outre, que si les établissements peuvent adopter le dispositif de contrôle de leur choix, l’organisation et les modalités retenues doivent permettre la vérification du respect des obligations. Dans le cadre d’une réglementation particulière, il peut être également nécessaire de spécialiser les contrôles et d’en adapter les modalités. Or, la Commission observe que le dispositif adopté ne prenait pas en compte les caractéristiques du régime du droit au compte. De plus, aucune « mission de contrôle périodique menée par la direction de contrôle périodique de SG n’avait traité, directement ou dans le cadre d’un contrôle plus large, du respect des dispositions relatives au DAC ». Au regard de l’ensemble des lacunes et manquements, la Commission des sanctions de l’ACPR prononce un blâme et une sanction pécuniaire de 800 000 euros. § 2 – Le Système d’Information, support du contrôle interne
425. Le Système d’Information (SI) étant le maillon essentiel permettant la mise en œuvre du contrôle interne, le responsable de la sécurité des systèmes d’information des entreprises assujetties doit en assurer le bon fonctionnement en définissant les moyens, procédures et règles permettant de s’assurer qu’il respecte en tout point les exigences réglementaires fixées en matière de contrôle interne. 426. Les établissements financiers sont sur ce point particulièrement encadrés. Ainsi, l’article L. 533-2 du Code monétaire et financier permet-il d’imposer 504. Décision de la Commission de sanction de l’Autorité de contrôle prudentiel et de résolution du 19 mai 2016 n° 2013-04, disponible sous le lien : https://acpr.banque-france.fr/fileadmin/user_upload/acp/publications/registre-officiel/ 20160520-decision-commission-sanctions-SG.pdf
c onformité
légale
| 191
aux prestataires de services d’investissement la mise en œuvre de nombreux mécanismes de contrôle interne et, notamment, de mécanismes techniques directement applicables à leurs systèmes d’information tels que des mécanismes de contrôle et de sauvegarde de leurs systèmes informatiques. De fait, la sécurité du SI doit être en mesure d’assurer la fiabilité de l’information financière et comptable, et ce à tout moment de son cycle de vie (production, échange, archivage). En effet, l’article 90 de l’arrêté précise que « le contrôle des systèmes d’information s’étend à la conservation des informations et à la documentation relative aux analyses, à la programmation et à l’exécution des traitements ». 427. Ces entreprises sont soumises au contrôle de l’Autorité de contrôle prudentiel et de résolution renforçant très nettement pour ces acteurs la portée de l’obligation de sécurité. En effet, son article 88505 précise que si ces entreprises ont la responsabilité de déterminer elles-mêmes le niveau de leur sécurité informatique jugé souhaitable par rapport aux exigences de leurs métiers. Cela leur laisse une large latitude quant à la détermination du niveau de sécurité informatique jugé souhaitable par rapport aux exigences de leurs métiers. L’article 89 impose : « Le contrôle des systèmes d’information doit notamment permettre de s’assurer que : a) le niveau de sécurité des systèmes informatiques est périodiquement apprécié et que, le cas échéant, les actions correctrices sont entreprises ; b) des procédures de secours informatique sont disponibles afin d’assurer la continuité de l’exploitation en cas de difficultés graves dans le fonctionnement des systèmes informatiques ; c) l’intégrité et la confidentialité des informations sont en toutes circonstances préservées ». 428. Tous les éléments sur lesquels doit porter le contrôle en matière de sécurité des SI figurent dans cet article : roue de Deming, formalisation du Plan de continuité d’activité, intégrité et confidentialité des informations. Dans cette optique, d’autres textes tels que les articles L. 133-15 du Code monétaire et financier sur les instruments de paiement506, L. 533-2 du Code monétaire et financier concernant les prestataires de services d’investissement507, L. 611-1 10 du Code monétaire et financier sur les établissements de crédit, 322-17 et suivants 505. Art. 88 : « Les entreprises assujetties déterminent le niveau de sécurité informatique jugé souhaitable par rapport aux exigences de leurs métiers. Elles veillent au niveau de sécurité retenu et à ce que leurs systèmes d’information soient adaptés ». 506. CMF, art. L. 133-15 : « I. – Le prestataire de services de paiement qui délivre un instrument de paiement doit s’assurer que les dispositifs de sécurité personnalisés de cet instrument tels que définis à l’article L. 133-4 ne sont pas accessibles à d’autres personnes que l’utilisateur autorisé à utiliser cet instrument (…) ». 507. CMF, art. 533-2 : « Les prestataires de services d’investissement disposent de procédures administratives saines, de mécanismes de contrôle interne, de techniques efficaces d’évaluation des risques, de dispositifs efficaces de contrôle et de sauvegarde de leurs systèmes informatiques et de techniques d’atténuation des risques (…) ».
192 | B anque
et
a ssurance
digitales
du règlement général de l’AMF relatifs aux teneurs de compte-conservateur, imposent des obligations de sécurité adaptées à la fonction et à l’instrument en cause. On observera sur ce point, la convergence des obligations qui pèsent sur les entreprises assujetties et qui se traduisent par des exigences de sécurité relativement homogènes et que l’on retrouve dans l’acronyme des quatre grands principes de la sécurité de l’information : « DICT » : Disponibilité (dont la continuité d’activité et le Plan de continuité « PCA »), Intégrité, Confidentialité et Traçabilité (ou preuve) des opérations. 429. Pour ce faire, les entreprises doivent procéder à l’élaboration d’une documentation508 détaillant les moyens de contrôle. Ce faisant, cette documentation et, de manière plus générale, les prescriptions applicables iront au-delà du simple contrôle en comprenant notamment des procédures relatives à la sécurité et aux plans d’urgence509. 430. Dans l’affaire « Kerviel », qui a défrayé la chronique pendant de nombreuses années, une décision de la Commission bancaire a été rendue le 3 juillet 2008510 en application du règlement n° 97-02. La Commission bancaire a prononcé un blâme et une sanction pécuniaire de 4 millions d’euros à l’encontre de la banque notamment pour ses manquements en matière de sécurité informatique. La Commission bancaire a estimé que la « sécurité du système d’information présentait des failles importantes mises en évidence par l’Inspection interne ; que le projet visant à mettre fin à la saisie des transactions par les opérateurs n’avait pas été mis en œuvre, au moment de l’enquête diligentée par la Commission, au sein du desk “Delta one”, ce qui a permis à l’opérateur de créer, modifier et supprimer les opérations fictives utilisées pour dissimuler ses risques et ses résultats ; que l’infraction est donc établie au moment de l’enquête ». Hormis ces défaillances ayant entraîné une absence de maîtrise des risques opérationnels, il est apparu qu’étaient également en cause le contrôle hiérarchique et le contrôle permanent. Ainsi, « les défaillances relevées, en particulier les carences des contrôles hiérarchiques, se sont poursuivies pendant une longue période, à savoir l’année 2007, sans que le système de contrôle interne n’ait permis de les déceler et de les corriger ; que cette persistance révèle des carences graves du système de contrôle interne dépassant la répétition de simples défaillances individuelles ; que ces carences ont rendu possible le développement de la fraude et ses graves conséquences financières ; que le fait que ces lacunes n’étaient pas connues de la direction, qui ne pouvait ainsi y remédier, ne peut être invoqué par la Société Générale pour s’exonérer de sa responsabilité au regard de la réglementation
508. V. l’article 255 de l’arrêté du 3 novembre 2014. 509. V. l’article 10 n) de l’arrêté du 3 novembre 2014 : « ensemble de mesures visant à assurer, selon divers scénarios de crise, y compris face à des chocs extrêmes, le maintien, le cas échéant, de façon temporaire selon un mode dégradé, des prestations de services ou d’autres tâches opérationnelles essentielles ou importantes de l’entreprise assujettie, puis la reprise planifiée des activités et à limiter ses pertes ». 510. Bulletin officiel du CECEI et de la Commission bancaire, n° 5, juill. 2008, p. 16. V. H. de Vauplane, J.-J. Daigre, B. de Saint-Mars, J.-P. Bornet : Banque & Droit, n° 121, sept.-oct. 2008, p. 33.
c onformité
légale
| 193
bancaire ; qu’ainsi la Société Générale a enfreint plusieurs dispositions essentielles de la réglementation applicable en matière de contrôle interne ». 431. Au final, on observera que la sécurité des systèmes d’information reste une donnée essentielle, dans les salles de marché comme plus généralement dans toutes les organisations financières ou d’assurance et qu’il est très important de prévenir les comportements humains déviants comme l’illustre cette affaire. On ajoutera que « dans le secteur bancaire et financier, des procédures et des mesures organisationnelles et de sécurité doivent être mises en place pour remplir les obligations de conformité légales et prudentielles. Cela se traduira par des procédés d’authentification et d’identification (Identification and Access Management ‒ IAM), associés à des contrôles, des alertes »511. Par conséquent en pratique, c’est une démarche globale de traçabilité de l’information qui doit être mise en œuvre. Pour exemple, selon les termes de l’article 85 de l’arrêté, en ce qui concerne l’information comprise dans les comptes de bilan et de résultats publiés ainsi que les informations de l’annexe issues de la comptabilité, l’organisation mise en place doit permettre de garantir l’existence d’un ensemble de procédures. Cet ensemble de procédures, appelé « piste d’audit », doit permettre de reconstituer dans un ordre chronologique les opérations. 432. Cette démarche globale de traçabilité doit par ailleurs se prolonger jusqu’à l’archivage. Sur ce point, il est important de souligner que « les données archivées dans le système d’information doivent être intègres tout au long de la durée de conservation ‒ mais aussi pendant les délais de prescription (…) ‒ qu’il conviendra de déterminer en fonction de la matière et de la nature du document. En outre, les modalités d’archivage doivent permettre aux données d’être rapidement auditables, tout en garantissant leur extraction instantanée en cas d’audit externe. Bref, les données doivent faire l’objet d’un archivage sécurisé selon l’état de l’art. Le système en garantira l’accessibilité, la disponibilité, l’intégrité et la durabilité »512. 433. Enfin, pour assurer la fiabilité de l’ensemble, il conviendra de mettre en œuvre de nombreuses mesures de sécurité adéquates. Ce peut être en mettant en œuvre des limitations dans les accès ou l’utilisation des ressources logiques et physiques, voire de procéder à des ségrégations des données pour garantir des accès spécifiques en fonction des droits attribués aux personnels. Cette limitation peut résulter de la mise en œuvre de mécanismes d’identification et d’authentification telle que les couples login/mot de passe ou encore l’utilisation de certificats électroniques d’authentification. De fait, la gestion des habilitations devra faire l’objet d’une revue périodique. Ces procédures ne doivent, par ailleurs, pas être limitées aux seules ressources internes mais, au contraire, s’étendre sur 511. TGI Paris, 11e ch., 3e section, 5 oct. 2010, Com. com. électr. 2011, comm. 16. 512. É. A. Caprioli, « Commentaire de l’arrêté du 31 mars 2005 modifiant le règlement du Comité de la réglementation bancaire et financière n° 97-02 du 21 février 1997 relatif au contrôle interne des établissements de crédit et des entreprises d’investissement », Com. com. électr. 2005, comm. 167. Pour plus de détails relatifs à l’archivage, v. le site : www.caprioli-avocats.com
194 | B anque
et
a ssurance
digitales
toutes les ressources y compris les sites Internet qui, souvent interfacés avec le système d’information, peuvent permettre l’introduction de tiers. Ce risque d’intrusion par le biais d’une attaque ou d’un virus informatique devra par ailleurs être particulièrement analysé et pris en compte dans les mesures de sécurité à implémenter. 434. En tout état de cause, la mise en œuvre des mesures nécessaires devra faire l’objet préalablement d’une analyse approfondie des risques, notamment par rapport au système d’information existant (l’analyse doit être actualisée régulièrement). C’est au regard de cette analyse que l’organisation de la sécurité des systèmes d’information devra être élaborée en fixant la chaîne de responsabilité, en identifiant les flux d’informations et en organisant leur protection de manière proportionnée en veillant à assurer la traçabilité et la journalisation des opérations. 435. Enfin, ces mesures devront être soutenues par la mise en œuvre d’un plan de continuation d’activité et de plans de secours informatique associés dont le test régulier permettra d’assurer non seulement une indisponibilité minimale, mais également une minimisation de la perte de données. 436. L’ensemble de ces éléments devra faire l’objet d’une documentation minutieuse et régulièrement mise à jour (périodicité maximale d’un an) afin, non seulement de mettre en œuvre une organisation et des solutions adéquates, mais également d’être en mesure de le prouver à l’ensemble des autorités de régulation. 437. Ainsi, l’ensemble de ces obligations imposera aux entreprises de définir, non seulement au niveau de leur groupe, mais également au niveau de chacune de leurs entités, le niveau de contrôle nécessaire et suffisant en prenant pour référence, d’une part, ses propres besoins et, d’autre part, les standards imposés. Au titre de ces standards, les entreprises veilleront non seulement à respecter les standards nationaux tels que l’arrêté du 3 novembre 2014, mais également les standards internationaux tels que la réforme dite de « Bâle III » imposant un contrôle interne permettant de vérifier l’intégrité du système d’information. Pour ce faire, les entreprises devront procéder régulièrement à la mise en œuvre d’audits juridiques, techniques et organisationnels permettant après la réalisation d’un état de lieux et des besoins, l’établissement des préconisations nécessaires à la totale adéquation du système. § 3 – Prestations de services essentiels externalisées
438. L’article 21 de l’arrêté du 3 novembre 2014 permet aux entreprises, lorsque la taille de l’entreprise assujettie ne justifie pas de confier les responsabilités du contrôle permanent et du contrôle périodique à des personnes différentes ou lorsque des circonstances particulières le justifient, de confier des tâches d’exécution du contrôle permanent et du contrôle périodique à des prestataires
c onformité
légale
| 195
extérieurs de services. Ce faisant, cet article impose à cette relation, le respect des articles 237 à 240 de l’arrêté. 439. Il en résulte que les entreprises assujetties demeurent pleinement responsables du respect de toutes les obligations qui leur incombent. En effet, cette externalisation ne doit pas avoir pour objet ou pour effet de diluer la responsabilité de l’entreprise quant à la relation effective de contrôle interne nécessaire. Ce faisant, l’article 237 institue un certain nombre d’interdictions dans les rapports entretenus avec le prestataire, et l’absence de délégation de responsabilité en cas d’externalisation, l’absence d’impact sur la relation entre l’entreprise assujettie et ses clients ou encore l’absence d’impact sur les conditions d’agrément. 440. Pour encadrer cette relation, l’article 238 impose, outre la rédaction d’un contrat écrit entre le prestataire et l’entreprise assujettie, la mise en œuvre d’une politique formalisée de contrôle des prestataires externes. Il s’agit bien là d’imposer à l’entreprise non un formalisme de façade, mais une réflexion aboutie sur l’organisation de ses contrôles. Par ailleurs, l’article 239 ajoute à ces éléments un ensemble d’engagements de la part de l’entreprise assujettie qui sont autant de mesures ayant leur place au sein de l’ensemble contractuel liant l’assujettie au prestataire et comprennent des opérations où le numérique est essentiel, notamment un engagement de qualité de service associé à des mécanismes de secours, une protection des informations confidentielles de l’entreprise et de ses clients… Parmi ces mesures, nombreuses sont celles dont l’objet est d’interdire au prestataire d’outrepasser ses droits, par exemple en lui interdisant toute modification substantielle sans l’accord préalable de l’entreprise ou en l’obligeant à se conformer aux procédures de l’entreprise. On notera également l’importance des mécanismes de transparence mis en œuvre telle l’obligation d’information en cas d’évènement susceptible d’avoir un impact ou l’accès des autorités de contrôle prudentiel aux informations sur les activités externalisées. 441. Enfin, l’encadrement de cette relation entreprise assujettie/prestataire est complété par l’article 240 développant l’encadrement spécifique du recours à un prestataire externe situé dans un État non-membre de l’Union européenne ou non partie à l’accord sur l’Espace économique européen. Dans cette hypothèse, deux conditions cumulatives sont nécessaires à ce recours : – l’agrément du prestataire dans son pays d’origine, – un accord de coopération entre l’ACPR ou l’AMF et l’autorité compétente du prestataire de services. Si ces conditions ne peuvent être remplies, l’externalisation ne peut théoriquement être faite. Cependant, si après avoir transmis à l’ACPR le contrat d’externalisation, cette dernière n’a pas émis d’observation dans un délai de 2 mois, l’externalisation peut être mise en œuvre.
196 | B anque
et
a ssurance
digitales
442. Il sera donc, en tout état de cause recommandé, dans le cadre d’une externalisation, de formaliser des contrats comportant les clauses nécessaires à l’encadrement de la sécurité des systèmes d’information avec une clause détaillant les indicateurs de maîtrise des risques, une annexe sur la convention de services et surtout une disposition relative aux modalités de leur reporting. Ces contrats devront également comporter une clause d’audit afin de pouvoir vérifier dès le début des prestations puis régulièrement l’efficience des systèmes et leur sécurisation par le biais de tests documentés. § 4 – Contrôle interne dans le secteur des assurances
443. Même si ses contours sont différents de ceux délimités au sein du secteur bancaire, le secteur de l’assurance est également soumis à une obligation de mise en œuvre du contrôle interne. 444. Cette obligation est actuellement issue du régime imposé par la directive n° 2009/138/CE, dite « Solvabilité II »513, entrée en vigueur le 1er janvier 2016514. Au titre de cette directive, les entreprises d’assurance et de réassurance doivent disposer de politiques écrites concernant au moins leur gestion des risques, leur contrôle interne, leur audit interne et, le cas échéant, la sous-traitance515, obligation qui sera reprise sous l’article L. 354-1 du Code des assurances. 445. En effet, la transposition de cette directive a été finalisée516 par la publication de l’ordonnance du 2 avril 2015517 et le décret du 7 mai 2015518. Désormais, aux termes de l’article L. 354-1 du Code des assurances, les entreprises relevant du régime dit « Solvabilité II » doivent mettre en place un système de gouvernance garantissant une gestion saine et prudente de leur activité et faisant l’objet d’un réexamen interne régulier. Pour veiller à ces éléments, les entreprises doivent élaborer des politiques écrites relatives à la gestion des risques et au contrôle interne, politiques qui devront être soigneusement mises en œuvre. De plus, l’article L. 354-2 du Code des assurances impose aux entreprises d’assurance et de
513. Directive n° 2009/138/CE du Parlement européen et du Conseil du 25 novembre 2009 sur l’accès aux activités de l’assurance et de la réassurance et leur exercice (Solvabilité II) (Texte présentant de l’intérêt pour l’EEE), JOUE n° 335, 17 déc. 2009, p. 1. 514. Communiqué de presse de la commission européenne du 4 janvier 2016, « Commission welcomes entry into application of Solvency II directive », disponible sous le lien : http:// europa.eu/rapid/midday-express-4-1-2016.htm?locale=fr#3 515. Dir. n° 2009/138/CE, art. 41. 516. Revue de l’ACPR n° 23, « Solvabilité II : la transposition de la directive », disponible à l’adresse : https://acpr.banque-france.fr/publications/revue-de-lacpr/revue-de-lacpr-n23-sommaire/ dossier/solvabilite-ii-la-transposition-de-la-directive.html 517. Ordonnance n° 2015-378 du 2 avril 2015 transposant la directive n° 2009/138/CE du Parlement européen et du Conseil du 25 novembre 2009 sur l’accès aux activités de l’assurance et de la réassurance et leur exercice (Solvabilité II), JO 3 avr. 2015, p. 6141. 518. Décret n° 2015-513 du 7 mai 2015 pris pour l’application de l’ordonnance n° 2015-378 du 2 avril 2015 transposant la directive n° 2009/138/CE du Parlement européen et du Conseil sur l’accès aux activités de l’assurance et de la réassurance et leur exercice (« Solvabilité II »), JO 10 mai 2015, p. 7986.
c onformité
légale
| 197
réassurance de disposer d’un système de contrôle interne qui devra comprendre au minimum des procédures administratives et comptables, un cadre de contrôle interne, des dispositions appropriées en matière d’information à tous les niveaux de l’entreprise et une fonction de vérification de la conformité mentionnée à l’article L. 354-1519. 446. L’ACPR publie régulièrement des documents pour aider les entreprises à répondre à ces obligations520. Par exemple, l’ACPR a publié le 13 mai 2015 un document d’aide à la préparation des rapports, intitulé « Préparation à Solvabilité II ‒ Les rapports Solvabilité II »521. 447. Ces mesures s’appliquent aux entreprises relevant du régime de la directive Solvabilité II, mais les entreprises qui n’en relèvent pas, définies au sein de l’article L. 310-3-2 du Code des assurances, sont également soumises à des mesures de contrôle interne propre. En effet, l’article L. 336-1 du Code des assurances impose l’établissement d’un rapport de solvabilité écrit exposant les conditions dans lesquelles les entreprises garantissent les engagements qu’elles prennent à l’égard des assurés ou des entreprises réassurées, présentant et analysant les résultats obtenus et indiquant si la marge de solvabilité est constituée conformément à la réglementation applicable. Or, pour la réalisation de ce rapport, les entreprises sont tenues, aux termes de l’article R. 336-1 du Code des assurances, de mettre en place un dispositif permanent de contrôle interne matérialisé par un rapport annuel à transmettre à l’Autorité de contrôle prudentiel et de résolution.
SECTION III SECRET PROFESSIONNEL 448. On ne peut parler de contrôle sans aborder la notion fondamentale de secret professionnel. Le secret constitue une donnée incontournable pour les métiers de la banque et de l’assurance. Dans le numérique, cela prend des contours souvent liés à la sécurité de l’information. En effet, l’information doit rester disponible et accessible aux seules personnes autorisées, intègre et confidentielle… Or, cela suppose que le système d’information résiste aux attaques en provenance de l’extérieur, ainsi qu’aux fuites internes. 449. Lorsqu’on s’interroge sur la notion de secret dans un contexte bancaire et assurantiel, la notion de secret bancaire apparaît rapidement dans tous les esprits. Cependant, parce que l’activité bancaire et d’assurance comporte de nombreux produits reposant sur une connaissance approfondie des personnes 519. C. assur., art. R. 534-4. 520. V. la page dédiée à « Solvabilité II » du site de l’ACPR, disponible sous le lien : http://acpr. banque-france.fr/solvabilite2.html 521. Document disponible sous le lien : http://acpr.banque-france.fr/fileadmin/user_upload/acp/ Solvabilite-2/20150513_Les_rapports_Solvabilite_2.pdf
198 | B anque
et
a ssurance
digitales
et des risques qu’elles encourent, la notion de secret médical ou plutôt la présence de données médicales couvertes par ce secret peuvent venir influer sur les processus de traitements numériques des informations.
§ 1 – Secret bancaire
450. Au titre du secret bancaire, les acteurs de la banque (en ce compris les acteurs de la banque digitale et de la banque en ligne) se doivent d’assurer la protection du secret des informations traitées. Ce faisant, cette protection se fait indépendamment des protections supplémentaires et des règles spécifiques qui peuvent venir s’appliquer à certains types de données (données bancaires, données médicales ‒ voir ci-après) ou au système qui les héberge. 451. Le droit de l’Union européenne prévoit qu’« aucun texte n’impose aux établissements de crédit de conserver confidentielles les informations concernant leurs clients »522, alors que le secret bancaire est pris en considération notamment par le biais du droit des données à caractère personnel. À ce titre, selon le professeur Thierry Bonneau, « un lien est établi entre ledit secret et la protection des données : le secret bancaire est un moyen permettant d’assurer la protection des données à caractère personnel ; dans le même temps, la protection de ces données constitue le fondement du secret bancaire. Ce double lien, qui ne permet pas toutefois pas d’affirmer que le secret bancaire est lui-même un droit fondamental »523. 452. Récemment, la CJUE a par ailleurs récemment statué sur la question de l’impact du secret professionnel sur la communication de renseignements sur le titulaire d’un compte soupçonné d’activités contrefaisantes : « L’article 8, paragraphe 3, sous e), de la directive n° 2004/48/CE du Parlement européen et du Conseil, du 29 avril 2004, relative au respect des droits de propriété intellectuelle, doit être interprété en ce sens qu’il s’oppose à une disposition nationale, telle que celle en cause au principal, qui autorise, de manière illimitée et inconditionnelle, un établissement bancaire à exciper du secret bancaire pour refuser de fournir, dans le cadre de l’article 8, paragraphe 1, sous c), de cette directive, des informations portant sur le nom et l’adresse du titulaire d’un compte »524. 453. Certains auteurs estiment par ailleurs que « si cette décision a été rendue dans le cadre spécifique d’une directive sur la protection de la propriété intellectuelle et relativement au secret bancaire, fondé sur la protection des données personnelles, sa motivation permet de lui donner une portée générale : tout conflit de droits fondamentaux doit être résolu par la recherche “d’un juste 522. T. Bonneau, « Le secret bancaire à l’épreuve de la CJUE », RDBF 2016, repère 4. 523. T. Bonneau, « Le secret bancaire à l’épreuve de la CJUE », art. préc., p. 1. 524. CJUE, 16 juill. 2015, aff. C-580/13, Coty Germany GmbH c/ Stadtsparkasse Magdeburg, disponible sous le lien : http://curia.europa.eu/juris/document/document.jsf?text=&docid=16 5900&pageIndex=0&doclang=FR&mode=lst&dir=&occ=first&part=1&cid=1681884 ; D. 2015, p. 2168, note C. Kleiner.
c onformité
légale
| 199
équilibre” (pt. 34) entre eux, au nom de la nécessaire prise en considération d’un droit à la preuve qui, s’il est ici fondé sur la lettre de la directive qui le désigne sous le vocable de “droit d’information”, s’impose parce qu’il permet l’exercice effectif d’un droit lui-même fondamental, celui de propriété »525. A contrario, plusieurs législations d’États membres, dont la France, prévoient un secret bancaire extensif. Cependant, cette décision pourrait infléchir les positions des Cours suprêmes quant à la portée de ce secret526. 454. Tout d’abord traité par les juridictions sous l’angle du secret professionnel, le secret bancaire a été institué pour les établissements de crédit par la loi du 24 janvier 1984527 et figure désormais au sein du titre relatif aux Prestataires de services bancaires du Code monétaire et financier sous l’article L. 511-33528. Initialement, outre l’interdiction de l’opposer à différentes autorités, seul le principe était fixé. Depuis, cet article s’est considérablement étoffé, prévoyant certaines informations pouvant faire l’objet d’une transmission, les personnes aptes à les recevoir ou encore la confidentialité de cette réception (voir ci-après). Lorsqu’il est confronté à la législation sur la lutte anti-blanchiment ou la législation fiscale, le secret bancaire ne pourra pas être opposé529. De fait, le secret bancaire comporte deux faces distinctes : une face civile portant sur l’obligation de discrétion et une face pénale sanctionnant l’atteinte au secret professionnel par le biais de l’article 226-13 du Code pénal530. 455. Ces contingences imposent aux entreprises une particulière maîtrise de leurs données, mais également des agissements de leurs collaborateurs et soustraitants, spécialement en ce qui concerne leur confidentialité. En effet, pour ces derniers, les entreprises devront s’assurer (ex. : contractuellement) que les obligations qui leur sont imposées sont spécifiquement encadrées afin de 525. G. Lardeux, « Secrets professionnels et droit à la preuve : de l’opposition déclarée à la conciliation imposée », D. 2016, p. 96. 526. « D’une part, la décision européenne fragilise beaucoup la jurisprudence constante de la haute juridiction qui a accordé une portée absolue au secret bancaire dans les contentieux dans lesquels la banque était attraite en responsabilité (…). D’autre part, la motivation de la décision de la Cour de Justice dépassant les données du litige dans le cadre duquel elle a été rendue, il est souhaitable qu’elle amène la Cour de cassation à infléchir sa jurisprudence audelà du secret bancaire, notamment au regard du secret des professionnels du droit lorsqu’ils n’interviennent pas comme défenseurs », G. Lardeux, « Secrets professionnels et droit à la preuve : de l’opposition déclarée à la conciliation imposée », art. préc., p. 96. 527. Loi n° 84-46 du 24 janvier 1984 relative à l’activité et au contrôle des établissements de crédit, JO 25 janv. 1984, p. 390. 528. « I. – Tout membre d’un conseil d’administration et, selon le cas, d’un conseil de surveillance et toute personne qui à un titre quelconque participe à la direction ou à la gestion d’un établissement de crédit, d’une société de financement ou d’un organisme mentionné aux 5 et 8 de l’article L. 511-6 ou qui est employée par l’un de ceux-ci est tenu au secret professionnel (…) ». 529. T. Bonneau, Droit bancaire, LGDJ, 2015, 11e éd., v. n° 553 et s. 530. « La révélation d’une information à caractère secret par une personne qui en est dépositaire soit par état ou par profession, soit en raison d’une fonction ou d’une mission temporaire, est punie d’un an d’emprisonnement et de 15 000 euros d’amende ».
200 | B anque
et
a ssurance
digitales
pouvoir engager la responsabilité du sous-traitant si celui-ci ne l’a pas mis en mesure de répondre à ses obligations. 456. Pour rappel, l’arrêté du 3 novembre 2014 encadre spécifiquement les conditions applicables à l’externalisation de certaines prestations, mais développe également d’autres dispositions qui peuvent venir s’appliquer à la relation. Tel est le cas de l’obligation de notification des incidents. En effet, les dirigeants des entreprises, aux termes de l’article 249 de l’arrêté, doivent informer sans délai l’ACPR des incidents significatifs531. Cette obligation de notification impose aux entreprises la rédaction (et la mise en œuvre) de clauses organisant la transmission des informations nécessaire dans l’hypothèse où le prestataire (infrastructure, prestations…) serait touché par une faille ou une intrusion. De fait, si ces obligations s’adressent aux entreprises, leurs sous-traitants s’y soumettront également afin d’être à même de répondre aux besoins de leurs clients. En tout état de cause, le sous-traitant pourra être soumis à cette obligation de notification car d’autres textes, comme ceux relatifs à la protection des données à caractère personnel, tendent à élargir l’obligation de notification des violations de données personnelles, ou dans le cadre de la loi de programmation militaire applicables aux OIV, les failles de sécurité. En effet, si à l’heure actuelle, l’obligation de notification n’est imposée qu’aux fournisseurs de services de communications électroniques532, le règlement n° 2016/679/UE du 27 avril 2016533 qui sera applicable à partir du 25 mai 2018 impose la notification à l’autorité de contrôle et éventuellement à la personne concernée des cas de violation de données à caractère personnel534. 457. En matière de lutte contre le blanchiment, toute la difficulté réside dans le fait qu’un échange d’information est nécessairement organisé au sein d’un groupe de sociétés pour la mise en œuvre des procédures de gestion mais également en dehors du groupe, notamment pour la transmission des déclarations nécessaires. Encore faut-il que soient respectées les obligations relatives au secret professionnel. De fait, si l’article L. 511-34 du Code monétaire et financier édicte les principes relatifs au secret professionnel, l’article L. 511-34 qui le complète organise la transmission d’informations au sein du 531. En vertu de l’article 245, « les dirigeants effectifs informent sans délai l’Autorité de contrôle prudentiel et de résolution des incidents significatifs au regard des critères et seuils mentionnés à l’article 98 et arrêtés par l’organe de surveillance ». Selon l’article 98, alinéa 3 : « est réputée significative toute fraude entraînant une perte ou un gain d’i-un montant brut dépassant 0,5 pour cent des fonds propres de base de catégorie 1, sans pouvoir être inférieur à dix mille euros ». 532. V. loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, art. 34 bis II. 533. Règlement n° 2016/679/UE du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive n° 95/46/CE [règlement général sur la protection des données] (Texte présentant de l’intérêt pour l’EEE), JOUE n° L. 119, 4 mai 2016, p. 1 : http://eur-lex.europa.eu/legal-content/FR/TXT/?uri=uriserv: OJ.L_.2016.119.01.0001.01.FRA&toc=OJ:L:2016:119:TOC 534. V. règlement n° 2016/679/UE, art. 33 et 34.
c onformité
légale
| 201
groupe. Cet article, délimitant les contours de la notion de groupe applicable en l’espèce, liste ainsi strictement les informations devant être transmises. Ces informations comprennent les éléments nécessaires à l’organisation de la lutte contre le blanchiment des capitaux et contre le financement du terrorisme, mais également les informations nécessaires la détection des opérations d’initié ou à la gestion des conflits d’intérêts… 458. De nombreuses instructions sont régulièrement édictées par l’ACPR pour définir les modalités de transmission de différents types d’information, spécialement à destination de ses services. 459. Pour aider les entreprises, l’ACP (organisme antérieur à l’ACPR) avait également publié des Lignes directrices relatives aux échanges d’informations au sein d’un groupe et hors groupe en 2011535. Dans ce document explicatif, l’ACP tendait à rappeler les dispositions applicables tout en détaillant les mesures nécessaires à leur application. L’ACPR a également publié des Lignes directrices en partenariat avec Tracfin concernant les obligations de déclaration et d’information à Tracfin536. 460. Actuellement, les données bancaires sont régies par plusieurs corps de règles distincts que sont les dispositions relatives aux données personnelles, les dispositions relatives au secret professionnel et les dispositions spécifiques aux établissements bancaires et financiers. La loi du 4 août 2008 ayant étendu le secret bancaire aux entreprises d’investissement537, le texte permet désormais (comme évoqué précédemment concernant les dispositions de l’article L. 511-33 du Code monétaire et financier) aux établissements de crédit dans les cas strictement prévus par la loi de transmettre des informations couvertes par le secret bancaire, et ce sans avoir à solliciter ou obtenir le consentement du client. 461. A contrario, toute transmission qui ne rentrerait pas dans ce cadre impose d’obtenir l’accord préalable du client. Une affaire, tranchée par la Cour de cassation, illustre les limites respectives du secret professionnel et de la transmission d’informations. En effet, dans le cadre de cet arrêt où une entreprise reprochait à une banque de ne pas l’avoir informée sur la santé financière d’un partenaire, la chambre commerciale de la Cour de cassation a pu affirmer que « l’obligation au secret professionnel à laquelle sont tenus les établissements de crédit leur interdit de fournir à un client qui en formule la demande des renseignements autres que simplement commerciaux d’ordre général et économique sur la solvabilité d’un autre de leurs clients »538. 535. Disponible à l’adresse suivante : https://acpr.banque-france.fr/fileadmin/user_upload/acp/ publications/registre-officiel/2011-lignes-directrices-ACP-pour-echanges-d-infos.pdf 536. Lignes directrices conjointes de l’Autorité de contrôle prudentiel et de résolution et de Tracfin sur les obligations de déclaration et d’information à Tracfin, disponible à l’adresse : https:// acpr.banque-france.fr/fileadmin/user_upload/acp/publications/registre-officiel/201512Lignes-directrices-ACPR-Tracfin-obligations-declaration.pdf 537. Loi n° 2008-776 du 4 août 2008 de modernisation de l’économie, JO 5 août 2008, p. 12471. 538. Cass. com., 18 sept. 2007, n° 06-10.663, Bull. civ. IV, n° 195.
202 | B anque
et
a ssurance
digitales
462. Mais les tribunaux ne sont pas les seuls à veiller au respect de la confidentialité des données bancaires. En effet, la CNIL veille au respect par les banques de leurs obligations en matière de données à caractère personnel. Elle a ainsi déjà pu prononcer un avertissement envers la filiale d’une banque539, celle-ci ayant partagé son système d’information entre plusieurs entités au sein du groupe bancaire. La CNIL a ainsi observé que des salariés ont pu, du fait de ce système (le contenu de tout dossier public s’est trouvé librement accessible à l’intégralité des titulaires de compte de messagerie Outlook au sein du groupe), avoir accès à des données bancaires confidentielles et protégées par le secret bancaire. La CNIL sanctionne cette absence de cloisonnement choisi selon les seules « considérations techniques » et surtout « sans égard pour la conformité bancaire ». De fait, si les sanctions peuvent parfois apparaître modestes ‒ en l’occurrence un simple avertissement ‒, les décisions de la CNIL sont craintes par les acteurs économiques, car leur publicité et l’écho qu’il en est fait peut avoir un très fort impact sur l’image des entreprises concernées vis-à-vis de leurs clientes. § 2 – Le secret des données de santé
463. Parce que les données conservées par les banques ne sont pas uniquement des données strictement bancaires, d’autres dispositions légales peuvent leur être applicable. Cela entraîne parfois des modifications importantes dans les organisations initiales. Tel est le cas des données de santé. En effet, la conservation des données de santé impose le respect d’obligations supplémentaires et spécifiques comprenant, outre les exigences relatives au secret professionnel, les dispositions des articles L. 1110-4 et L. 1111-7 du Code de la santé publique, de la loi « Informatique et Libertés » et de son décret d’application. 464. Si la notion même de donnée de santé n’est pas encore définie légalement, de nombreux organismes, dont la CNIL, en ont une acception très large. Désormais, par le biais de la mise en œuvre du règlement n° 2016/679, les « données concernant la santé » seront définies comme étant « les données à caractère personnel relatives à la santé physique ou mentale d’une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l’état de santé de cette personne »540. 539. Délibération de la formation restreinte n° 2012-176 du 21 juin 2012 portant avertissement public à l’encontre de la Société européenne de traitement de l’information (groupe Crédit Mutuel – CIC), disponible à l’adresse suivante : http://www.cnil.fr/fileadmin/documents/approfondir/deliberations/Formation_ contentieuse/D2012-176_EURO_INFORMATION.pdf. « Sur ce, la formation restreinte relève, ce que la société ne conteste pas, qu’une très grande majorité des nombreux documents accessibles (soit 1 269 583 documents sur 1 686 489 au total) comportaient des éléments financiers relatifs aux clients des activités bancaires du groupe, dont la plupart relevaient du secret bancaire (revenus, patrimoine, situation fiscale, relevés d’identité bancaire (RIB), numéros de cartes bancaires, notamment). Si les données auxquelles il a été donné accès ont pu subir une certaine obsolescence au bout de la période de deux ans durant laquelle elles ont été accessibles, ce facteur n’en diminue pas pour autant leur sensibilité initiale, laquelle a pu, au demeurant, perdurer dans le temps ». 540. V. règlement n° 2016/679/UE du 27 avril 2016, art. 4-15.
c onformité
légale
| 203
465. Or, selon les dispositions du règlement, comme celles de la directive qu’il a abrogée541, la collecte et le traitement des données à caractère personnel relatives à la santé, au même titre que les données relatives aux convictions religieuses ou à l’appartenance syndicale, sont interdits542. Des exceptions existent à ce principe mais elles sont strictement encadrées. Ne sont pas soumis à cette interdiction : « les traitements nécessaires aux fins de la médecine préventive, des diagnostics médicaux, de l’administration de soins ou de traitements, ou de la gestion de services de santé et mis en œuvre par un membre d’une profession de santé, ou par une autre personne à laquelle s’impose en raison de ses fonctions l’obligation de secret professionnel prévue par l’article 226-13 du Code pénal », mais également « les traitements nécessaires à la recherche, aux études et évaluations dans le domaine de la santé selon les modalités prévues au chapitre IX »543. 466. L’obligation de secret professionnel « s’impose à tous les professionnels intervenant dans le système de santé (…) » (CSP, art. L. 1110-4, I, al. 2). De plus, la conservation des données de santé, si elle est effectuée en ayant recours à un hébergeur, nécessite que ce dernier soit agréé comme étant un « hébergeur de données de santé ». Effectivement, afin d’assurer l’encadrement de cet hébergement, la loi n° 2002-303544 avait imposé par le biais de l’article L. 1111-8 du Code de la santé publique aux professionnels de santé, aux établissements de santé et aux personnes concernées de déposer les données de santé recueillies « auprès de personnes physiques ou morales agréées à cet effet ». Les articles R. 1111-9 et suivants du Code de la santé publique, introduits par le décret n° 2006-6 du 4 janvier 2006545, encadrent ce processus d’agrément. L’article R. 1111-9 du Code de la santé publique impose ainsi aux hébergeurs souhaitant obtenir l’agrément diverses obligations telles qu’avoir recours à des personnels qualifiés en matière de sécurité et d’archivage ou de « (…) définir et mettre en œuvre une politique de confidentialité et de sécurité, destinée notamment à assurer le respect des exigences de confidentialité et de secret prévues par les articles L. 1110-4 et L. 1111-7, la protection contre les accès non autorisés ainsi que la pérennité des données (…) ». 467. Cependant, depuis lors, la loi du 26 janvier 2016546 a inversé le raisonnement. Désormais « toute personne qui héberge des données de santé à caractère 541. Directive n° 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, JOCE n° L. 281, 23 nov. 1995, p. 31 : http://eur-lex. europa.eu/legal-content/FR/TXT/?uri=celex:31995L0046 542. V. directive n° 95/46/CE, art. 8, et règlement n° 2016/679/UE, art. 9. 543. V. l’article 8 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés. 544. Loi n° 2002-303 du 4 mars 2002 relative aux droits des malades et à la qualité du système de santé, JO 5 mars 2002, p. 4118. 545. Décret n° 2006-6 du 4 janvier 2006 relatif à l’hébergement de données de santé à caractère personnel et modifiant le Code de la santé publique, JO 5 janv. 2006, p. 174. 546. Loi n° 2016-41 du 26 janvier 2016 de modernisation de notre système de santé, JO 27 janv. 2016.
204 | B anque
et
a ssurance
digitales
personnel recueillies à l’occasion d’activités de prévention, de diagnostic, de soins ou de suivi social et médico-social, pour le compte de personnes physiques ou morales à l’origine de la production ou du recueil desdites données ou pour le compte du patient lui-même, doit être agréée à cet effet. Cet hébergement, quel qu’en soit le support, papier ou électronique, est réalisé après que la personne prise en charge en a été dûment informée et sauf opposition pour un motif légitime » (CSP, art. L. 1111-8, modifié). 468. Or, cette nouvelle lecture semblerait élargir ainsi le recours à un hébergeur de données de santé à toute personne recueillant des données de santé à caractère personnel initialement recueillies à l’occasion d’activités de prévention, de diagnostic, de soins, ce qui pourrait être le cas des banques ou des assurances. Cette interprétation est soutenue par l’ASIP Santé547 qui indique dans le cadre de son FAQ relatif aux hébergeurs de données de santé que « l’obligation de recourir à un hébergeur agréé pèse donc sur tout responsable de traitement de données de santé à caractère personnel “recueillies à l’occasion d’activités de prévention, de diagnostic ou de soins ou de suivi social et médico-social” qui souhaiterait en confier la conservation à un tiers »548. 469. De plus, l’article 204 de la loi autorise le Gouvernement à prendre par ordonnances des mesures permettant de remplacer l’agrément prévu au même article L. 1111-8 du Code de la santé publique par une évaluation de conformité technique réalisée par un organisme certificateur accrédité par l’instance nationale d’accréditation ou par l’organisme compétent d’un autre État membre de l’Union européenne. Ces dispositions devraient donc rapidement être modifiées.
547. Agence nationale des systèmes d’information partagés de santé. 548. ASIP Santé, Hébergement : FAQ, version du 24 mai 2016, disponible à l’adresse : http://esante. gouv.fr/services/referentiels/securite/hebergement-faq#3
CHAPITRE IV De la sécurité des systèmes d’information et de l’information
SECTION PRÉLIMINAIRE UN CADRE JURIDIQUE DE PLUS EN PLUS ÉTOFFÉ549 470. En 1995, la Commission bancaire avait publié un livre blanc avec le concours du Forum des compétences sur la sécurité des systèmes d’information550. Il comprend 36 fiches conseils sur des sujets très divers (par ex. : administration et protection des données ; aspects juridiques ; assurances ; audit et contrôle ; EDI ; GED ; « Facility management et out sourcing » ; messageries ; sécurité des télécommunications et d’accès aux réseaux, etc.). Chaque fiche suit un plan identique : définition, risques, parades, critères de qualité. 471. Lors de l’arrivée de l’Internet dans le domaine bancaire, la Banque de France, dans un Livre blanc publié en l’an 2000551, mentionnait des éléments en vue d’assurer la maîtrise des risques numériques. À la vérité, ce document consistait en un véritable « recueil de bonnes pratiques en matière de contrôle interne, de lutte contre le blanchiment et de sécurité à destination de la profession » dans lequel la Banque de France préconisait des solutions pour accroître la sécurité des opérations de banque digitale. Elle recommandait, en outre, aux dirigeants des établissements bancaires et financiers de documenter leurs analyses de risques ; de garantir le respect des règles relatives à l’identification des clients et des prospects ainsi que d’assurer la traçabilité des opérations et de mettre en place des mesures pour la lutte contre le blanchiment d’argent. En outre, elle insistait sur l’utilisation de techniques pour « la non-répudiation pour les transactions jugées les plus sensibles par l’établissement », de s’appuyer sur la loi du 13 mars 2000552 relative à la preuve et à la signature électroniques. Bref, 549. Pour une synthèse opérationnelle des aspects juridiques de la sécurité des systèmes d’information, v. les fiches du Forum des compétences : Obligations en matière de sécurité des systèmes d’information V.2, publiées en décembre 2015. V. le site : www.forumcompétences. org 550. Commission bancaire, « Livre blanc sur la sécurité des systèmes d’information », janv. 1995. 551. Banque de France, « Internet quelles conséquences prudentielles », déc. 2000, disponible sur : http://acpr.banque france.fr/fileadmin/user_upload/banque_de_france/archipel/ publications/cb_livbl/cb_livbl_internet.pdf 552. JO 14 mars 2000. V. É. A. Caprioli, « La loi française sur la preuve et la signature électronique dans la perspective européenne », JCP éd. G 2000, I, 224 ; « Écrit et preuve électroniques
206 | B anque
et
a ssurance
digitales
elle préfigurait déjà l’ensemble des points de vigilance et les bonnes pratiques applicables à la sécurité de l’information dans le domaine de la banque, et que l’on peut étendre à celui de l’assurance. 472. Ainsi, alors que plus de seize ans se sont écoulés, on retrouve toujours les mêmes principes fondamentaux, et seule l’évolution des technologies utilisées et des menaces associées aux risques envisagés553 les ont fait varier. Au surplus, les règles fixées par les législateurs français ou européen, ainsi que par le régulateur (ACPR) ont gagné en précision et en complexité. Les obligations juridiques liées à la sécurité de l’information couvrent un large éventail de matières telles que par exemple droit pénal, libertés fondamentales, droit du travail, commercial et civil554. 473. La digitalisation de la banque et de l’assurance s’accompagne toujours de risques que l’on prend en compte avec des mesures de sécurité des systèmes d’information tant sur le plan technique que sur le plan organisationnel. Les menaces comme, par exemple, l’espionnage des informations secrètes des entreprises se développent avec le numérique555. La sécurité des systèmes d’information, qui tend de plus en plus à s’appeler la « sécurité numérique »556, repose sur un triptyque composé des dimensions technique, organisationnelle et juridique. C’est ce que l’on va pouvoir constater lorsque l’on examinera successivement : la sécurité et la cybersurveillance des salariés (section I), l’identification et l’authentification (section II), la lutte contre les fraudes numériques et la cybercriminalité (section III) et, enfin, les obligations relatives à la sécurité de l’information (section IV).
SECTION I SÉCURITÉ ET CYBERSURVEILLANCE DES SALARIÉS 474. La sécurité et la cybersurveillance des salariés permettent à la banque et à l’assurance de pallier un grand nombre de risques opérationnels. Il est admis que, sur le lieu et pendant le temps de travail, des règles et des moyens de surveillance
553. 554. 555. 556.
dans la loi n° 2000-230 du 13 mars 2000 », Cah. dr. entr. 2000, n° 2, p. 1 et s. P. Catala, « Le formalisme et les nouvelles technologies », Defrénois 2000, p. 897 s. ; P.-Y. Gautier et X. Linant de Bellefonds, « De l’écrit électronique et des signatures qui s’y attachent », JCP éd. G, I, 236, 2000, p. 1113 et s. ; P. Leclercq, Le nouveau droit civil et commercial de la preuve et le rôle du juge, Le droit des preuves au défi de la modernité, Actes du colloque du 24 mars 2000, La Documentation française, 2000. É. A. Caprioli, « Introduction à la sécurité des systèmes d’information », in Études offertes à la mémoire du professeur Xavier Linant de Bellefonds, Litec, 2007, p. 71-104. S. Marcellin, « Sécurité de l’information. Quelle évolution des obligations légales ? », Rev. Banque, n° 793, févr. 2016, p. 33 et s. J.-M. Bockel, « Rapport d’information fait au nom de la commission des affaires étrangères, de la défense et des forces armées sur la cyberdéfense », Sénat n° 681, 18 juill. 2012. P.-L. Refalo, La sécurité numérique de l’entreprise, l’effet papillon du hacker, Eyrolles, 2013.
de
la sécurité des systèmes d ’ information et de l ’ information
| 207
et de contrôle de l’activité des salariés soient mis en place. La sécurité des systèmes d’information impose de prendre des mesures de « cybersurveillance »557. Dans cette perspective, en général l’entreprise de banque ou d’assurance collecte de nombreuses traces permettant, en cas de besoin, d’imputer des actions à un salarié déterminé. Toutefois, pour la validité de ces contrôles, on sera amené à souligner l’importance de concilier des exigences de sécurité avec le respect des droits des salariés, principalement en termes de droit du travail et de droit au respect de la vie privée. Dès lors, il faudra respecter les principes de la loi « Informatique et Libertés » et du Code du travail, lorsque le contrôle porte sur poste de travail, les courriels, les « Short Message Service » (SMS) ou les navigations et connexions à l’Internet. 475. Ces contrôles prennent forme au travers de la charte d’utilisation des ressources informatiques et des communications électroniques (ou « charte informatique ») dont il conviendra de faire une présentation de sa forme et de son contenu (§ 1). Le régime juridique de la cybersurveillance des salariés et de l’application des principes qui la sous-tendent a été progressivement réalisé par la jurisprudence (§ 2). § 1 – Charte d’utilisation des ressources numériques
476. Quel que soit le domaine d’activité (banque ou assurance), en matière de sécurité des systèmes d’information, l’outil de base est la politique de sécurité des systèmes d’information, laquelle peut également se décliner en procédures ou directives d’application (messageries, gestion des accès, notifications, aspects juridiques…). Mais ces outils ont un caractère purement technique et organisationnel et de ce fait, ils ne sont pas opposables à l’ensemble des utilisateurs des ressources informatiques et numériques de l’entreprise. 477. Outre les mesures technologiques (outil de contrôle et de suivi des actions sur le système d’information, mesures de filtrage, etc.), la mise en place d’une charte informatique se révèle indispensable afin d’informer et de sensibiliser les salariés sur leurs obligations et les principes applicables aux contrôles pour assurer la sécurité du SI. Ces mesures doivent être juridiquement opposables aux utilisateurs des ressources du système d’information. Pour les salariés, la méthode la plus recommandée consiste à intégrer les dispositions dans le règlement intérieur ou dans une charte qui y sera annexée afin que ces dispositions aient la valeur de règlement intérieur et que les manquements puissent faire l’objet de sanctions disciplinaires. Pour les prestataires, ces mesures doivent être intégrées comme annexe du contrat de prestations de services informatiques pour lui donner une valeur contractuelle, à charge pour le prestataire de former ses salariés à ces règles et de les faire respecter.
557. É. A. Caprioli et A. Gurfinkiel, « Cybersurveillance des salariés et communications électroniques », in L’entreprise à l’épreuve du droit de l’Internet, Quid Novi ?, J.-M. Bruguière (ss dir.), Dalloz, 2014, v. p. 171-189.
208 | B anque
et
a ssurance
digitales
478. Toutefois, l’adoption d’une charte restera insuffisante si l’entreprise ne s’engage pas dans l’accompagnement du changement au moyen d’action de sensibilisation et de formation. Le facteur humain est une donnée essentielle dans la sécurité. En effet, la sécurité des systèmes d’information fait partie de la culture d’entreprise. 479. On estime souvent que la charte est l’outil privilégié de la sécurité des systèmes d’information des grandes entreprises (nationales et internationales), mais aussi des administrations et autres collectivités publiques. Cependant, les principes applicables aux entreprises sont identiques quelle que soit leur taille. C’est pourquoi à l’instar des établissements bancaires et des sociétés d’assurances, les TPE et les PME ont également intérêt à disposer d’un tel instrument juridique à des fins de sécurité juridique et technique. A.
Principes généraux
480. La charte informatique est d’un point de vue juridique le véritable pilier de la sécurité de l’information, dans la mesure où elle est en règle générale incorporée ou annexée au règlement intérieur de l’entreprise. À la suite du professeur J.-E. Ray, on peut estimer que la charte informatique apparaît comme le complément nécessaire au règlement intérieur : « au règlement intérieur la place de la loi fixant les principes généraux, à la charte e-TIC à laquelle le règlement intérieur renvoie, la place du décret : les modalités d’applications concrètes »558. Aussi, sa force obligatoire ne doit pas pouvoir être contestée dès lors que son opposabilité aux salariés est assurée. En cas de non-respect de la charte, l’entreprise pourra sanctionner le salarié, voire engager sa responsabilité (disciplinaire, civile ou pénale). En outre, dans certaines hypothèses, la charte permettra à l’entreprise et à son dirigeant de limiter ou d’exonérer sa responsabilité (ex. : application de l’article 1242, alinéa 5, du Code civil relatif à la responsabilité de l’employeur du fait de son commettant). 481. Si l’on se demande pourquoi il est nécessaire de disposer d’une charte informatique, on peut dire d’emblée que la charte informatique a pour objectif de fixer les règles d’utilisation des ressources informatiques et communications électroniques de l’entreprise. Ce document fixe les droits et les obligations des utilisateurs du système d’information en vue d’en assurer la sécurité. L’enjeu principal consiste à protéger le système d’information et le patrimoine informationnel de l’entreprise. De facto, elle va également permettre d’encadrer et de valider la conformité juridique des opérations de cyber-surveillance et de cyber-protection des salariés réalisées par le Responsable de la sécurité des systèmes d’information (RSSI), du point de vue du droit pénal, du droit du travail et du droit de la protection des données à caractère personnel. De plus, la collecte de preuves électroniques dont l’entreprise aura besoin en cas de contentieux devrait être loyale et licite, ce qui impose à la banque ou à l’assurance 558. J.-E. Ray, « À propos de la révolution numérique », Dr. sociétés 2012, p. 1027.
de
la sécurité des systèmes d ’ information et de l ’ information
| 209
de procéder à l’information préalable des salariés utilisateurs559 et de respecter la proportionnalité des mesures de sécurité qu’elle prend560. 482. La charte doit s’appliquer non seulement à tous les salariés, mais également aux stagiaires et aux personnels des prestataires de services externes dès lors qu’ils utilisent les moyens et réseaux numériques mis à leur disposition par l’entreprise. S’agissant des prestataires, la charte doit être annexée au contrat de prestations de services informatiques, charge à l’entreprise de la faire appliquer par ses salariés qui se trouveraient par exemple en régie chez la banque ou l’assurance cliente. À côté de la charte d’utilisation à proprement dit, il existe des chartes « administrateurs » entendues au sens large (administrateurs système et réseaux), c’est-à-dire essentiellement des personnes ayant des « super pouvoirs » pour agir sur les systèmes d’information de l’entreprise. Ces dernières ne suivent pas la même procédure que celles pour les utilisateurs puisque la population visée est plus réduite ; elles sont signées et/ou annexées au contrat de travail de l’administrateur561. En outre, avec le développement des services de « Cloud computing », on voit apparaître des chartes contenant des règles sur les aspects sécurité à respecter dans le cadre de l’externalisation de services informatiques (ex. : en matière d’hébergement des données ou de traitements réalisés sur les données). B.
Élaboration de la charte et respect de procédures
483. Tout d’abord, il convient de rappeler qu’une charte doit se gérer en mode projet, étant donné que son élaboration nécessite l’intervention de plusieurs directions : sécurité informatique, juridique, RH, délégué à la protection des données. La charte doit se fonder sur la politique de sécurité de l’information en vigueur dans l’entité afin d’en assurer un prolongement juridique permettant de sanctionner les abus et autres manquements qui pourraient intervenir lorsque les ressources informatiques et communications électroniques sont utilisées. Il est impératif que la démarche soit guidée par les principes de transparence et de proportionnalité des mesures envisagées. 484. Le principe de transparence a été appliqué au licenciement pour faute grave d’une salariée qui avait été fondé sur les enregistrements informatiques des journées de travail. Ces enregistrements avaient été effectués par un 559. C. trav., art. L. 1222-4 : « Aucune information concernant personnellement un salarié ne peut être collectée par un dispositif qui n’a pas été porté préalablement à sa connaissance ». 560. L’article L. 1121-1 du Code du travail dispose : « nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives de restrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir ni proportionnées au but recherché » et l’article 6.3° de la loi n° 78-1 du 6 janvier 1978, modifiée par la loi du 4 août 2004, qui dispose que les données « sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs ». 561. Parfois, les dispositions relatives aux administrateurs figurent dans la charte d’utilisation.
210 | B anque
et
a ssurance
digitales
logiciel destiné, selon l’employeur, à suivre l’activité commerciale et la qualité de la prestation fournie par la société à ses clients. La Cour d’appel de Lyon avait alors retenu trois principes essentiels : ‒ « si les enregistrements en cause ont un objectif commercial, il n’en demeure pas moins que, dans la mesure où ils permettent de retracer chaque instant de l’activité du salarié du début à la fin de sa journée de travail, ils constituent un procédé de contrôle de l’ensemble de ses faits et gestes au cours de sa journée de travail » ; ‒ « quels que soient les dispositifs de contrôle ou de surveillance que l’employeur envisage de mettre en œuvre, celui-ci doit en informer préalablement les salariés concernés dès lors que ces moyens de contrôle peuvent être utilisés comme moyen de preuve dans une procédure visant à sanctionner leur comportement » ; ‒ « ni la formation à l’utilisation du logiciel de suivi commercial ni les bilans d’évaluation de son travail ne sauraient valoir information préalable sérieuse de la salariée, faute de comporter l’information expresse et claire que les éléments recueillis par le biais des enregistrements informatiques pourront être exploités à des fins disciplinaires ». Le licenciement était alors déclaré sans cause réelle et sérieuse en l’absence d’information de la salariée, de consultation des institutions représentatives du personnel et de déclaration à la CNIL avant la rupture de la relation contractuelle562. 485. Une fois que le document aura été finalisé, il devra être transmis pour avis aux instances représentatives du personnel (délégués du personnel, Comité d’entreprise563 ou d’établissement, mais aussi CHSCT564) pour être ensuite déposée au greffe du conseil des prud’hommes et communiquée à l’inspection du travail. La charte sera annexée au règlement intérieur565. Pour que l’ensemble des salariés soit informé du contenu de la charte, il est d’usage de la leur transmettre par courrier électronique et de l’afficher sur les panneaux habituels ainsi que de le rendre accessible sur l’intranet de l’entreprise. En ce qui concerne la CNIL, s’il n’y a pas lieu de déclarer la charte auprès d’elle, il faudra, en revanche, 562. CA Lyon, ch. soc. B, 14 avr. 2011, n° 10/03759. 563. En vertu de l’article L. 2323-13 du Code du travail : « le Comité d’entreprise est informé et consulté préalablement à tout projet important d’introduction de nouvelles technologies, lorsque celles-ci sont susceptibles d’avoir des conséquences sur l’emploi, la qualification, la rémunération, la formation ou les conditions de travail du personnel ». 564. Le CHSCT est consulté avant toute décision d’aménagement important modifiant les conditions de santé et de sécurité ou les conditions de travail et, notamment, avant toute transformation importante des postes de travail découlant de la modification de l’outillage, d’un changement de produit ou de l’organisation du travail (…) (C. trav., art. L. 4612-8). En vertu de l’article L. 4612-9 du Code du travail, il est consulté sur le projet d’introduction et lors de l’introduction de nouvelles technologies mentionnés à l’article L. 2323-13 (relatif au CE) sur les conséquences de ce projet ou de cette introduction sur la santé et la sécurité des travailleurs ainsi que sur le plan d’adaptation établi lors de la mise en œuvre de mutations technologiques importantes et rapides. V. Cass. soc., 8 févr. 2012, n° 11-10.382, JCP éd. S 2012, 1200, note J.-B. Cotti, décision rendue à propos d’un test de dépistage de stupéfiants, mais on peut estimer que cette solution peut être étendue à l’ensemble des systèmes de contrôle des salariés comme ceux liés à l’utilisation des TIC. 565. Certaines entreprises annexent la charte au contrat de travail que le salarié signe.
de
la sécurité des systèmes d ’ information et de l ’ information
| 211
procéder à la déclaration des traitements de données découlant des contrôles ou surveillances réalisés dans le cadre de l’application de la charte par les services de sécurité566. 486. Le respect des principes « Informatique et Libertés » implique que la collecte des données soit proportionnelle au but recherché et que les données soient conservées pour une durée limitée conformément à l’article 6 de la loi du 6 janvier 1978. Il en résulte que le contrôle par l’employeur doit s’opérer de façon générale, statistique et anonyme via la mise en place d’outils de recueil et d’analyse des logs. C’est uniquement en cas d’éléments objectifs caractérisant un comportement abusif (ex. : alerte de sécurité) qu’il sera possible de contrôler un salarié en particulier. Au-delà de ces principes généraux, certaines ressources ont fait l’objet de solutions jurisprudentielles567, certes particulières, mais qui répondent à une préoccupation de sécurité des systèmes d’information des entreprises en général et des banques et des sociétés d’assurance en particulier. 487. Enfin, il est impératif de procéder à l’information préalable des salariés puisqu’en vertu de l’article L. 1222-4 du Code du travail « aucune information concernant personnellement un salarié ne peut être collectée par un dispositif qui n’a pas été porté préalablement à sa connaissance ». 488. S’agissant de l’évolution de la charte, il convient de prévoir un comité de suivi qui a pour mission de centraliser les cas d’application, de les analyser afin de déterminer les manques et les usages non couverts. Ce comité devrait se réunir a minima une fois par an et décider du lancement du processus de révision de la charte. La question de la fréquence des révisions est particulièrement épineuse, surtout dans les grands groupes bancaires ou d’assurance, ne fût-ce qu’en raison du nombre d’institutions représentatives du personnel (IRP) à consulter et du temps que cela prend pour parvenir à finaliser la procédure. En outre, il faut également tenir compte de la diffusion de la charte à l’international en partant du principe que la sécurité est identique au plan universel alors que le droit ne l’est pas ; il varie selon le système juridique du pays en cause. Pourtant, un arrêt récent de la Cour d’appel de Paris a décidé que le dispositif de Data Leak Prevention (DLP) non prévu par la charte et non déclaré à la CNIL ne permettait pas de collecter des preuves de façon licite568. Dans cette affaire, la charte en vigueur était relativement ancienne.
566. Articles 22-I et suivants de la loi du 6 janvier 1978 : « À l’exception de ceux qui relèvent des dispositions prévues aux articles 25, 26 et 27 ou qui sont visés au deuxième alinéa de l’article 36, les traitements automatisés de données à caractère personnel font l’objet d’une déclaration auprès de la Commission nationale de l’informatique et des libertés ». 567. V. avec un très grand intérêt : J.-P. Gridel, « L’entreprise et l’utilisation en justice de l’information issue de l’outil informatique mis à la disposition du salarié pour les besoins de son activité professionnelle », Com. com. électr. 2016, étude 13. 568. CA Paris, Pôle 6, ch. 9, 12 mai 2016, Com. com. électr. 2016, comm. 96, note É. A. Caprioli.
212 | B anque
C.
et
a ssurance
digitales
Contenu de la charte
489. Dans le cadre de la charte, il est important de prendre en compte de nombreuses questions telles que : • les usages des moyens et équipements mis à disposition par l’établissement ou la société d’assurance et les bonnes pratiques à suivre ; • les limites d’utilisation et les interdictions, telles que par exemple la consultation de sites de jeux ou pornographiques569 ; • les procédures à suivre en cas de perte ou de vol d’équipement (signalement, plainte, effacement des données à distance…) ; • les présomptions d’utilisation à titre professionnel ; • les outils mis à disposition concernant les services de messageries et de navigation, etc., avec l’admission d’une tolérance d’utilisation privée résiduelle en vue d’un usage raisonnable ; • la labellisation des messages, des fichiers, des dossiers « privés » ; • les contrôles et surveillances, ainsi que les outils utilisés (filtrage, DLP ‒ Data Loss Protection, SIEM ‒ Security Information and Event Management, SOC ‒ Security Operating Center…)570 ; • les modalités relatives aux connexions et aux accès aux systèmes d’information ; • la mobilité des salariés et l’accès distant au SI ; • l’utilisation du BYOD/AVEC571 pour les équipements appartenant aux salariés et utilisés également dans un cadre professionnel ou du COPE572 pour les équipements propriétés de l’entreprise mais mis à disposition des salariés pour leurs usages professionnel et personnel ; • l’utilisation des réseaux sociaux. § 2 – Construction jurisprudentielle du régime juridique A.
Consécration de l’application de la charte
490. De nombreuses décisions judiciaires ont consacré l’usage de la charte informatique et sanctionné les pratiques en infractions avec ses dispositions.
569. CA Grenoble, ch. soc., 16 janv. 2008, n° 07/01119, Com. com. électr. 2008, comm. 73, note É. A. Caprioli ; cet arrêt démontre qu’il est toujours utile que les comportements illicites sur l’Internet soient prédéfinis dans un document opposable aux salariés. 570. V. É. A. Caprioli, « Cybersurveillance des salariés : du droit à la pratique des chartes informatiques », LPA, 29 sept. 2004. V. également la table ronde intitulée « Cybersurveillance – Plaidoyer pour un humanisme numérique », avec A. Lepage, É. A. Caprioli, N. Fort, Cah. dr. entr., n° 4, juill.-août 2005, p. 11. 571. Apportez votre équipement personnel de communication ou « Bring your own device » en anglais, v. Avis de la Commission Générale de Terminologie et de Néologie, Vocabulaire de l’informatique et des télécommunications, JO 24 mars 2013. 572. « Corporate Owned Personally Enabled ».
de
la sécurité des systèmes d ’ information et de l ’ information
| 213
Une première décision du Conseil des prud’hommes de Nanterre du 15 septembre 2005 a reconnu l’opposabilité de la charte informatique au salarié dans le cadre d’un litige qui l’opposait à une grande banque573. En l’espèce, le salarié avait été licencié pour faute grave en raison de l’envoi à sa conjointe travaillant dans un établissement concurrent de 24 messages électroniques confidentiels concernant des opérations en cours et des informations stratégiques. Par ailleurs, la Cour de cassation a jugé que le non-respect de la charte informatique par un directeur adjoint qui se connectait avec le mot de passe d’un autre salarié au poste du directeur de l’entreprise était constitutif d’une faute grave justifiant son licenciement574. Elle reconnaît ainsi, pour la première fois, de manière explicite la valeur juridique de la charte et la déclare opposable au salarié. 491. Toujours en matière d’application de la charte informatique, la Cour de cassation a jugé qu’était constitutif d’une faute grave rendant impossible le maintien de la salariée dans l’entreprise le fait d’avoir permis à un autre salarié qui n’y était pas habilité d’utiliser son code d’accès pour télécharger des informations confidentielles en méconnaissance des dispositions de la charte575. La Cour d’appel de Paris a jugé, en date du 10 avril 2014576, que l’usage personnel des outils informatiques en violation de la charte informatique annexée au règlement intérieur, « qui plus est par un administrateur chargé justement de respecter et de faire respecter cette charte », constituait une faute grave le fait de faire une utilisation personnelle notamment au profit d’une société qu’il avait créée, pour télécharger des séries de télévision et pour obtenir des informations confidentielles sur les autres salariés. 492. Plus récemment encore, la Cour d’appel d’Aix-en-Provence, le 13 janvier 2015577, a validé le licenciement pour faute grave d’une salariée ayant consulté des sites à des fins personnelles (vente aux enchères, mode, forums, plaisanteries érotiques…) pendant son temps de travail, en contradiction avec la charte informatique qui interdisait l’accès à ce genre de sites. En effet, selon la décision : « l’article 2-2 du chapitre CHARTE D’UTILISATION DE LA MESSAGERIE ÉLECTRONIQUE D’INTRANET, D’INTERNET dispose que “l’usage abusif de l’Intranet et/ou de l’accès à Internet à des fins personnelles notamment l’accès à des sites de rencontre, shopping privé, jeux en ligne à plusieurs joueurs” relève “D’AGISSEMENTS PROSCRITS” ». 493. À titre d’exemple, le contrôle des connexions à l’Internet d’un salarié et le licenciement qui s’en est suivi ont été invalidés en l’absence de preuve de remise par l’employeur d’un « règlement intérieur contenant les dispositions 573. Cons. prud. Nanterre, 15 sept. 2005, RDBF 2006, comm. 82, note É. A. Caprioli. 574. Cass. soc., 21 déc. 2006, n° 05-41.165 (non publié au Bulletin), RDBF 2007, comm. 125, note É. A. Caprioli. 575. Cass. soc., 5 juill. 2011, Com. com. électr. 2012, comm. 11, note É. A. Caprioli. 576. CA Paris, 10 avr. 2014, Com. com. électr. 2014, comm. 75, note É. A. Caprioli. 577. Disponible à l’adresse : http://www.codes-et-lois.fr/feeds/web juridique/_4f7a8ea771953e5 c4699092a8a319974 et http://www.legalis.net/spip.php?page=jurisprudence-decision&id_ article=4498
214 | B anque
et
a ssurance
digitales
et un document relatif à l’utilisation des moyens informatiques ». Les juges ont considéré que « contrairement à ce qu’elle soutient, la Fondation Hôpital SaintJoseph ne rapporte pas la preuve d’avoir remis à M. N. lors de son embauche en novembre 1993 puis novembre 1995, un règlement intérieur contenant les dispositions et un document relatif à l’utilisation des moyens informatiques, l’attestation non datée de Mme B., responsable des affaires médicales dont la date d’embauche, non datée non plus, n’est pas déterminée, ne mentionne pas le nom de M. N. ; que la Fondation ne produit pas l’attestation de reconnaissance de responsabilités que Mme B. dit être signée par le médecin recruté »578. B.
Sécurisation interne et cyber-surveillance des salariés
494. Le développement des menaces et des risques de fuites d’information, la multiplication des obligations de sécurité (à l’image de l’article 34 de la loi « Informatique et Libertés ») impliquent d’encadrer les usages négligents ou malveillants du système d’information que peuvent en faire les salariés et, plus généralement, toute personne intervenant sur le système d’information de la banque ou de la société d’assurance (stagiaires, prestataires de services, personnel en régie, etc.). Ces usages peuvent être source d’insécurité du SI et impacter, de ce fait, la sécurité des systèmes d’information de la banque et de l’assurance digitales. Or, avec les règles relatives au contrôle interne, les banques et les assurances sont particulièrement sensibles à la cyber-surveillance et la protection de leurs systèmes d’information. 1.
Fichiers et messages électroniques
495. À la suite de contrôles révélant des usages abusifs de la part d’un salarié (usage à des fins personnelles, usages illicites, concurrence déloyale, etc.), l’employeur sera susceptible de prononcer à son encontre des sanctions disciplinaires. Il peut s’agir de messages électroniques et dans ce cas on sera en présence d’un usage abusif de la messagerie professionnelle. S’il paraît difficilement réaliste d’empêcher toute utilisation d’Internet à des fins strictement personnelles par les salariés sur leur lieu de travail, avec l’outil informatique de l’entreprise, l’envoi de 156 messages personnels en 2 mois peut être constitutif d’un licenciement pour motif personnel à caractère disciplinaire579. 496. Dans une autre espèce, un salarié a été licencié pour faute grave en raison de l’envoi de 178 courriels à un autre salarié contenant des vidéos (dessins animés, scènes de sexe, d’humour, de politique et de football féminin) en contradiction avec le règlement intérieur qui interdisait les connexions sur l’Internet à des fins
578. CA Paris, 15 nov. 2011, n° 09/09398, Juris-Data n° 2011-02510, Com. com. électr. 2012, comm. 71, note É. A. Caprioli. 579. Cons. prud. Angers, 30 janv. 2009, G. c/ AGC Maine-et-Loire, n° 07-00427, Com. com. électr. 2009, comm. 51, note É. A. Caprioli.
de
la sécurité des systèmes d ’ information et de l ’ information
| 215
personnelles. Les faits avaient été constatés par un huissier qui avait procédé à l’ouverture de la messagerie de la collègue du salarié580. 497. Les messages et fichiers électroniques sont considérés comme étant présumés professionnels et, à ce titre, ils peuvent faire l’objet d’un contrôle sans restriction s’ils sont créés avec le matériel fourni par l’employeur sauf si le salarié les identifie comme étant privés. Lors d’une décision de 2006, la Cour de cassation a décidé que l’utilisation des outils informatiques au travail était présumée professionnelle : « attendu que les dossiers et fichiers créés par un salarié grâce à l’outil informatique mis à sa disposition par son employeur pour l’exécution de son travail sont présumés, sauf si le salarié les identifie comme étant personnels, avoir un caractère professionnel de sorte que l’employeur peut y avoir accès hors sa présence »581. Si le contenu relève effectivement de la vie privée du salarié, l’employeur ne peut l’utiliser pour le sanctionner582. Les contenus labélisés privés par l’utilisateur peuvent, quant à eux, être contrôlés « en cas de risque ou d’événement particulier » ou « en présence du salarié » ou celui-ci « dûment appelé » ; ces principes s’appliquent aussi bien au contrôle des fichiers qu’au contrôle des messages électroniques583, ainsi qu’à celui des « Short Message Service » (SMS). Si ces messages « courts » sont envoyés ou reçus sur le téléphone mis à sa disposition par l’employeur ils sont également présumés professionnels et ils peuvent être consultés en dehors de la présence du salarié, sauf s’ils sont identifiés comme étant personnels584. Une société de courtage d’instruments financiers avait débauché des salariés d’une société du même secteur. La Cour de cassation retient que les SMS envoyés ou reçus par le salarié « au moyen du téléphone mis à sa disposition par l’employeur pour les besoins de son travail sont présumés avoir un caractère professionnel, en sorte que l’employeur est en droit de les consulter en dehors de la présence de l’intéressé, sauf s’ils sont identifiés comme étant personnels ». Cette décision a été rendue après avis de la Chambre sociale de la Haute Cour. 2.
Navigation sur Internet
498. La question de la distinction « professionnelle » ou « privée » ne se pose pas, les connexions à l’Internet réalisées par un salarié sur son lieu de travail et pendant 580. Cass. soc., 18 déc. 2013, n° 12-17832, Com. com. électr. 2014, comm. 31, note É. A. Caprioli. 581. Cass. soc., 18 oct. 2006, n° 04-48.025, Bull. civ. V, n° 308, J.-E. Rey, « L’envers de l’arrêt Nikon », Sem. soc. Lamy, n° 1280, p. 10 ; Com. com. électr. 2007, comm. 15, note É. A. Caprioli ; Com. com. électr. 2007, comm. 61, note A. Lepage. 582. Cass. soc., 5 juill. 2011, n° 10-17.284, M. X c/ GAN Assurances : JCP éd. S 2011, 1501. 583. Pour les fichiers électroniques, v. Cass. soc., 17 mai 2005, n° 03-40.017, Philippe X. c/ Société Cathnet-Science, Bull. civ. V, n° 165 : Com. com. électr. 2005, comm. 121, obs. A. Lepage ; Dr soc. 2005, p. 789, note J.-E. Ray ; pour les messages électroniques, v. Cass. soc., 17 juin 2009, n° 08-40.274, FS-P + B, SA Sanofi chimie c/ X. et Y., Juris-Data n° 2009-048669 ; Com. com. électr. 2009, comm. 106, É. A. Caprioli ; JCP éd. S 2009, 1362, E. Jeansen ; JCP éd. G 2009, n° 39, 263, p. 22, S. Maillard. 584. Cass. soc., 29 oct. 2014, n° 13-18.173, Com. com. électr. 2015, comm. 8, note É. A. Caprioli et Cass. com., 10 févr. 2015, GFI Securities Ltd c/ Needge Group, décision disponible sur les sites : www.legifrance.fr et www.legalis.net
216 | B anque
et
a ssurance
digitales
ses heures de travail sont toutes présumées professionnelles, ce qui permet à l’employeur de les rechercher et de les identifier en l’absence du salarié585. La Cour d’appel d’Aix-en-Provence du 13 janvier 2015 (voir supra), contrairement au Conseil des prud’hommes, reconnaît la faute grave en se fondant sur le relevé de connexion produit par l’employeur. Elle retient que les connexions avaient eu lieu pendant le temps de travail mais également que durant la consultation, la salariée bloquait l’accès à son poste de travail et devenait injoignable. Elle ajoute que l’employeur avait payé de nombreuses heures supplémentaires sans contrepartie de travail effectif et que la salariée avait connaissance de la charte et du règlement intérieur dont les dispositions étaient affichées dans les locaux586. En outre, il convient de préciser que, même s’il existe une tolérance d’usage privé de l’Internet, le fait de se connecter de façon manifestement excessive, sur son lieu de travail et à des fins personnelles constitue un abus qui sera qualifié de faute grave. 499. En outre, il convient de préciser que, même s’il existe une tolérance d’usage privé de l’Internet, le fait de se connecter de façon manifestement excessive, sur son lieu de travail et à des fins personnelles constitue un abus qui sera qualifié de faute grave587. Un arrêt de la Cour de cassation nous donne un exemple où le salarié s’était connecté durant 41 heures sur un mois. Dans une autre affaire jugée le 26 février 2013588, la salariée s’était connectée à 10 000 sites en dix-sept jours. En revanche, « si l’employeur est en droit de rechercher sur l’outil informatique professionnel mis à disposition du salarié hors sa présence, les connexions que celui-ci a établies afin de les identifier, les dispositions précitées lui imposent d’avoir porté préalablement à la connaissance du salarié le dispositif du contrôle mis en place (…). Que contrairement à ce qu’elle soutient, la Fondation Hôpital Saint-Joseph ne rapporte pas la preuve d’avoir remis à M. N. lors de son embauche (…) un règlement intérieur contenant les dispositions et un document relatif à l’utilisation des moyens informatiques »589. 585. Cass. soc., 9 juill. 2008, n° 06-45.800, Com. com. électr. 2008, comm. 131, note É. A. Caprioli ; Cass. soc., 9 févr. 2010, n° 08-45.253 : Juris-Data n° 2010-051747, Com. com. électr. 2010, comm. 69, note É. A. Caprioli. 586. CA Aix-en-Provence, 17e ch., 13 janv. 2015, Catherine S. c/ AIS 2, disponible à l’adresse suivante : http://www.legalis.net/spip.php?page=jurisprudence-decision&id_article=4498 587. Cass. soc., 18 mars 2009, n° 07-44.247 : Juris-Data n° 2009-048024 ; Com. com. électr. 2009, comm. 50, note É. A. Caprioli. 588. Cass. soc., 26 févr. 2013, n° 11-27.372, Com. com. électr. 2013, comm. 84, note É. A. Caprioli : « attendu que la cour d’appel, qui a constaté que la salariée s’était connectée pendant son temps de travail à de très nombreuses reprises à de nombreux sites extraprofessionnels tels que des sites de voyage ou de tourisme, de comparaison de prix, de marques de prêt-à-porter, de sorties et événements régionaux ainsi qu’à des réseaux sociaux et à un site de magazine féminin et que ces connexions s’établissaient, exclusion faite de celles susceptibles de présenter un caractère professionnel, à plus de 10 000 sur la période du 15 au 28 décembre 2008 et du 8 janvier au 11 janvier 2009 a pu décider, malgré l’absence de définition précise du poste de la salariée, qu’une telle utilisation d’internet par celle-ci pendant son temps de travail présentait un caractère particulièrement abusif et constitutif d’une faute grave ». 589. CA Paris, 15 nov. 2011, n° 09/09398, Juris-Data : 2011-02510 ; Com. com. électr. 2012, comm. 71, note É. A. Caprioli.
de 3.
la sécurité des systèmes d ’ information et de l ’ information
| 217
Équipements personnels590
500. Cette pratique consiste à permettre aux salariés de l’entreprise d’utiliser leurs propres équipements (ordinateurs portables, smartphones ou téléphones mobiles, tablettes) à des fins professionnelles et spécialement dans et hors de l’entreprise, particulièrement pour accéder aux données de l’entreprise. Le BYOD donne à l’employeur la certitude que son salarié se trouve immédiatement dans un environnement familier. Dans la pratique des banques et des assurances, on constate néanmoins que peu de projets aboutissent étant donné le grand nombre de questions qu’il faut aborder : la sécurité en cas de vol ou de perte de l’appareil, l’effacement des données, l’hétérogénéité des systèmes, les aspects fiscaux (avantages en nature ou frais professionnels remboursables) et sociaux, assurances (qui assure le bien et pour quelle finalité ?), les licences d’utilisation des applications et de l’appareil, etc. Enfin, il est utile de rappeler que l’entreprise doit donner à ses salariés les moyens de réaliser leur mission et il ne faudrait pas que cela aboutisse à des discriminations. Ces difficultés expliquent pourquoi, le COPE a, pour l’instant, la préférence en France, mais l’usage est très variable selon le pays. Généralement, les équipements personnels font l’objet d’un encadrement dans la charte informatique ou dans un document spécifiquement dédié à leur usage. 501. Dans son arrêt du 23 mai 2012591, la Cour de cassation a donné une première illustration quant à la possibilité de contrôle d’un « dictaphone » personnel. Une attachée de direction avait caché son dictaphone pour procéder à des enregistrements, à l’insu de ses visiteurs, les conversations tenues dans son bureau. Le directeur de l’entreprise avec quatre témoins attestait des conditions de la découverte de l’équipement et des enregistrements effectués ; ces derniers ayant été écoutés en l’absence de la salariée. La cour d’appel avait admis la faute grave, « les constatations immédiates des salariés permettent d’exclure le risque de manipulation par la Direction de l’enregistrement de cet appareil, et rendent sans intérêt la production de cet engin aux débats ». Selon la Cour de cassation, une telle preuve doit être considérée comme déloyale puisque « d’une part (…) l’employeur ne pouvait procéder à l’écoute des enregistrements réalisés par la salariée sur son dictaphone personnel en son absence ou sans qu’elle ait été dûment appelée et, alors, d’autre part (…) les enregistrements ayant été détruits, la salariée avait été mise dans l’impossibilité d’apporter une preuve contraire aux attestations qu’il produisait ». La Chambre sociale de la Cour de cassation a jugé le 12 février 2013592 « qu’une clé USB, dès lors qu’elle est connectée à un outil informatique mis à la disposition du salarié par l’employeur pour l’exécution du contrat de travail, étant présumée utilisée à des fins professionnelles, l’employeur peut avoir accès aux fichiers non identifiés comme personnels qu’elle contient, hors la présence du salarié ». Dans cette affaire, une salariée avait été licenciée 590. F. Puybareau, « BYOD : une pratique à risque qui doit être particulièrement encadrée », Atout Risk manager – La revue de l’AMRAE, n° 6, oct. 2015, p. 52-53. 591. Cass. soc., 23 mai 2012, Com. com. électr. 2012, comm. 104, note É. A. Caprioli. 592. Cass. soc., 12 févr. 2013, Com. com. électr. 2013, comm. 62, note É. A. Caprioli, JCP éd. S 2013, 1217, note B. Bossu.
218 | B anque
et
a ssurance
digitales
pour avoir enregistré sur une clé USB personnelle des informations confidentielles de l’entreprise. 4.
Usage des réseaux sociaux
502. En matière d’utilisation des réseaux sociaux, le débat s’est déplacé de la distinction entre le caractère public ou privé des contenus publiés par les salariés, inaugurée par la jurisprudence du Conseil des prud’hommes de BoulogneBillancourt593, vers la fiabilité de la preuve et sa traçabilité. Par exemple, on citera le licenciement d’une salariée à la suite de propos publiés sur Facebook à l’encontre de son employeur. Il a été invalidé en l’absence de preuve du fait que les propos « ont excédé le domaine de la sphère privée » mais où les conditions dans lesquelles la société s’est procuré la capture d’écran attestant des faits permettaient de douter de sa fiabilité et donc du caractère public des propos594. 503. Dans une affaire portant sur le réseau Twitter, le caractère public de la conversation était caractérisé alors que les propos avaient été tenus dans des conditions ne permettant pas « d’identifier qu’ils émanaient de salariés du cabinet et qu’ils visaient des personnes identifiables » : les échanges s’opéraient sous des pseudonymes courts et ils concernaient des tiers désignés par des surnoms595. Que l’on traite des réseaux sociaux externes comme supra, ou internes, leurs règles d’usage doivent figurer a minima dans la charte ou dans un document ad hoc (charte d’utilisation des réseaux sociaux)596. En revanche, la Cour d’appel de Chambéry le 25 février 2016597 a décidé qu’un licenciement pour faute grave n’était pas fondé alors que le salarié avait envoyé des tweets de façon raisonnable pendant le temps de travail. En l’espèce, la Cour avait estimé le caractère raisonnable en considérant que les 1336 messages envoyés correspondaient à moins de 4 minutes par jour, tandis que pour les 90 derniers jours à moins de 3 minutes. Par ailleurs, elle a jugé : « compte tenu du fait que le salarié n’était soumis à aucun horaire ainsi que le prévoit expressément son contrat de travail, le fait d’avoir le cas échéant pu consacrer un temps aussi limité à l’envoi de tweets non professionnels, y compris à des horaires communément retenus comme travaillés ce qui n’est pas démontré, alors que le salarié était 593. Cons. prud. Boulogne-Billancourt, 19 nov. 2010, n° F 09/00343 : Juris-Data n° 2010-021303 ; RLDI déc. 2010, p. 66, n° 2177, obs. L. C. ; Semaine sociale Lamy 2010, n° 1470, note J.-E. Ray ; RLDI janv. 2011, p. 67, n° 2208, note J. Le Clainche ; RLDI janv. 2011, p. 67, n° 2209, R. Hardouin. V. égal. CA Versailles, 17e ch., 22 févr. 2012 : www.legalis.net 594. CA Versailles, 20 nov. 2013, n° 12/03396, Juris-Data n° 2013-028384, SAS All Dup c/ Mélanie Quette. 595. CA Versailles, 12 nov. 2013, n° 12/03153, SELARL d’avocats Conil Ropers Gourlain-Parenty Rogowski & Associés c/ Madame Gaudin. 596. Pour plus de précisions, v. É. A. Caprioli et A. Gurfinkiel, « Cybersurveillance des salariés et communications électroniques », in L’entreprise à l’épreuve du droit de l’Internet, Quid Novi ?, art. préc., v. p. 180-186. 597. CA Chambéry, 25 févr. 2016, Com. com. électr. 2016, comm. 66, note É. A. Caprioli. Cependant, dans la présente affaire, la cour d’appel a retenu que le changement de mot de passe sans information des utilisateurs potentiels justifiait un motif réel et sérieux de licenciement, mais pas une faute grave (sabotage informatique).
de
la sécurité des systèmes d ’ information et de l ’ information
| 219
au demeurant du fait de ses fonctions, connecté à Internet de manière quasi continue, ne peut être retenu comme fautif ». Dès lors, aucun manquement à son contrat de travail n’a pu être constaté. 5.
Les équipements téléphoniques
504. L’utilisation des équipements téléphoniques, qu’ils soient fixes ou mobiles, ont fait l’objet de règles spécifiques notamment de la part de la CNIL598. Les quatre derniers chiffres des numéros doivent être occultés sur les relevés justificatifs, sauf contestation par l’employé du remboursement qu’il doit faire auprès de son employeur pour les communications privées ou constat par l’employeur d’une utilisation « manifestement anormale au regard de l’utilisation moyenne constatée au sein de l’entreprise ». Ainsi, il a été jugé que ne constituait pas « un mode de preuve illicite la production par l’employeur des relevés de facturation téléphonique qui lui ont été adressés par la société France Télécom pour le règlement des communications correspondant au poste du salarié »599. En effet, la consultation de ces relevés émanant de l’opérateur de téléphonie ne peut être considérée comme un moyen « permettant un contrôle de l’activité des salariés » conformément à l’article L. 2323-32 du Code du travail600 dès lors que l’employeur se contente d’utiliser une technique extérieure à l’entreprise et dont la finalité n’est pas directement le contrôle des salariés601. Par ailleurs, les salariés protégés doivent disposer d’une ligne non soumise au contrôle. En outre, l’enregistrement des conversations est possible sous réserve que le contrôle ne soit pas continu, que le salarié ainsi que son interlocuteur en aient été informés. Il y aura atteinte à la vie privée si les enregistrements ont « par leur conception, leur objet et leur durée, nécessairement conduit leur auteur à pénétrer dans la vie privée des personnes écoutées »602. 505. Pour conclure, on retiendra qu’à défaut du respect des exigences légales et jurisprudentielles, le contrôle et la surveillance des salariés et donc les preuves collectées seront, en matière civile, illicites et non recevables (article 9 du Code de procédure civile et article 8 de la CEDH). La sanction prise à l’encontre du salarié sera invalidée. Mais ce n’est pas toujours le cas. À ce titre, on citera volontiers un arrêt récent de la Cour européenne des droits de l’Homme (CEDH) qui a jugé que le contrôle des messages électroniques professionnels par l’employeur ne contrevenait pas à l’article 8 de la Convention européenne des droits de l’Homme relatif au respect de la vie privée et familiale, du domicile et 598. CNIL, délib. n° 2005-019, 3 févr. 2005, JO 1er mars 2005 instituant la norme simplifiée n° 47. 599. Cass. soc., 11 mars 1998, RJS 1998, n° 415. V. dans le même sens, Cass. soc., 15 mai 2001, Bull. civ. V, n° 168, p. 132 : D. 2001, somm. p. 3015, obs. Th. Aubert-Monpeyssen ; JSL 2001, n° 81, p. 15, note L. Seguin. 600. C. trav., art. L. 2323-32, al. 3 : « Le comité d’entreprise est informé et consulté, préalablement à la décision de mise en œuvre dans l’entreprise, sur les moyens ou les techniques permettant un contrôle de l’activité des salariés ». 601. CA Paris, 21e ch. A, 2 févr. 2005, Farès G. c/ SA Transport Alsthom, Com. com. électr. 2005, comm. 106, note A. Lepage. 602. Cass. crim., 7 oct. 1997, n° 96-81.485, Bull. crim. n° 324, p. 1069.
220 | B anque
et
a ssurance
digitales
de la correspondance dès lors que les juridictions internes (de Roumanie) ont ménagé un juste équilibre entre le droit du salarié au respect de sa vie privée et de sa correspondance et les intérêts de son employeur603. En l’espèce, un ingénieur commercial avait été licencié pour avoir utilisé à des fins personnelles et pendant ses heures de travail, le compte de messagerie instantanée « Yahoo Messenger » de la société, en violation du règlement de cette dernière lequel interdisait l’usage des ressources informatiques à des fins personnelles.
SECTION II IDENTIFICATION ET AUTHENTIFICATION 506. Les sujets de l’identité604, de l’identification et de l’authentification, voire de la signature électronique constituent des données incontournables dans la vie sociale en général, mais ces notions prennent un relief particulier dans la banque et l’assurance digitales en raison de la spécificité de ces activités. De plus, des obligations relatives à la connaissance des clients, spécialement lors de l’entrée en relation, prises dans le cadre de la lutte anti-blanchiment et le financement du terrorisme pèsent sur les banques et les assurances en vertu des articles L. 561-1 et suivants du Code monétaire et financier605 (v. partie I, chapitre III, section I). 507. Selon la Commission des Nations unies pour le droit commercial international (CNUDCI) : « l’informatique et la technologie de l’information ont mis au point divers moyens pour relier l’information sous forme électronique à des personnes ou à des entités particulières, pour assurer l’intégrité de ces informations ou pour permettre à ces personnes de démontrer qu’elles ont le droit ou l’autorisation d’accéder à un certain service ou à une certaine source d’information. On parle parfois de façon générique, à propos de ces fonctions de méthodes d’authentification électronique ou de signature électronique »606. 508. L’identification est le préalable à toute authentification. Elle consiste à associer un identifiant à une personne ou à un objet607. Selon Gérard Cornu, lorsqu’on parle d’identité, « pour une personne physique : ce qui fait qu’une personne est elle-même et non une autre ; par extension, ce qui permet de la
603. CEDH, 12 janv. 2016, n° 61496/08, Barbulescu c/ Romania, Com. com. électr. 2016, comm. 37, note É. A. Caprioli. 604. L’identité, c’est « l’ensemble des composantes grâce auxquelles il est établi qu’une personne est bien celle qui se dit ou que l’on présume telle (nom, prénoms, nationalités, filiation…) », Lexique des termes juridiques, Dalloz, 2011, 18e éd., p. 419, V° Identité. 605. CMF, art. L. 561-1, L. 561-2, L. 561-3, L. 561-4, L. 561-5, L. 561-6, L. 561-7, L. 561-8, L. 561-9, L. 561-10, L. 561-11, L. 561-12, L. 561-13, L. 561-14. 606. CNUDCI, « Promouvoir la confiance dans le commerce électronique : questions juridiques relatives à l’utilisation internationale des méthodes d’authentification et de signature électronique », Vienne, 2009, disponible sur le site de la CNUDCI : www.uncitral.org 607. É. A. Caprioli, Signature électronique et dématérialisation, LexisNexis, 2014, v. n° 27 et s.
de
la sécurité des systèmes d ’ information et de l ’ information
| 221
reconnaître et de la distinguer des autres ; l’individualité de chacun, par extension, l’ensemble des caractères qui permettent de l’identifier».608 509. L’authentification609 est une notion à géométrie très variable selon le contexte d’utilisation. De facto, elle se situe au cœur de toutes les opérations dans la banque et l’assurance, que l’on se place à partir de l’accès du client à son espace personnel ou à la plateforme de service, jusqu’à la signature et l’archivage d’une convention. 510. Actuellement, l’authentification est le sésame du numérique et par voie de conséquence du digital. À cet égard, l’authentification constitue un des piliers de la sécurité des systèmes d’information et du numérique. En termes de sécurité, la suite des normes ISO 27001 fixe les méthodes et pratiques en matière de système de management de la sécurité de l’information et son chapitre XI sur la gestion des droits des utilisateurs et à leur authentification indique les mesures relatives au contrôle d’accès aux données, à la gestion des droits, des mots de passe, à la mobilité, etc. 511. On trouve encore des authentifications basées sur la saisie d’un identifiant et d’un mot de passe pour les opérations les plus simples, comme, par exemple, les paiements et retraits avec la carte bancaire ou certaines procédures d’accès à son compte de banque en ligne, mais l’authentification se durcit avec des méthodes de surauthentification. De la sorte, en fonction de la sensibilité de l’opération concernée, la pratique impose d’autres mesures de sécurité complémentaires comme dans le paiement par carte bancaire sur l’Internet. L’idée sous-jacente consiste à renforcer le processus de vérification de l’identité déclarée (ex. : 3D Secure ou PCI DSS ‒ Payment Card Industry Data Security Standard). On parle à ce sujet d’authentification forte. 512. Les méthodes d’identification et d’authentification sont transdisciplinaires et elles débordent largement les seuls domaines de la technique et de la sécurité. Outre les aspects ethnographiques, sociologiques, philosophiques610, ces deux notions s’inscrivent également dans la conformité et le juridique. Il est important de souligner que le fait d’accéder de façon sécurisée à sa Banque en ligne (BEL) ou à son espace sécurisé de son assurance sont des attentes fondamentales et légitimes de la part des clients. Étant donné que les risques de fraude se développent constamment, ils contribuent à augmenter le risque d’image de la
608. Vocabulaire juridique, PUF, coll. Quadrige, 2000, p. 431, V° Identité. 609. É. A. Caprioli, « De l’authentification à la signature électronique : quel cadre juridique pour la confiance dans les communications électroniques internationales ? », fév. 2011, Colloque de l’ONU sur le Commerce électronique, 14-16 févr. 2011, New York disponible sur le site : www. caprioli-avocats.com. V. égal. en version plus courte : « Gestion des identités numériques : quel cadre juridique pour la confiance dans les communications électroniques internationales ? », Revue de droit des technologies de l’information, n° 45/2011, p. 29 à 67. 610. A. Mucchielli, L’identité, PUF, coll. Que sais-je ?, 2009, 2e éd. J. Pousson-Petit (ss dir.), L’identité de la personne. Étude de droit français et de droit comparé, Bruylant, 2002.
222 | B anque
et
a ssurance
digitales
banque ou de l’assurance en cas d’atteinte aux données. De plus, la multiplication des menaces se propage sur l’ensemble de la planète ! § 1 – Principaux fondements relatifs à l’identification et l’authentification A.
Éléments de définitions
513. On peut définir l’identification comme « une opération permettant à un individu de faire état de son origine sur la base d’un élément externe, d’exprimer son identité. Elle peut être réalisée par le biais de tout document pouvant attester de l’origine d’une personne (extrait de naissance, carte d’identité, permis de conduire, passeport, carte de séjour) »611. L’authentification correspond à une pratique essentielle de la sécurité des systèmes d’information. Elle renvoie également à un impératif juridique fort dès lors qu’en termes de responsabilité, il faut être en mesure d’imputer à un individu déterminé un acte ou un fait juridique. En d’autres termes, dans le numérique, les personnes doivent rendre compte de leurs actes comme dans le monde physique. Cela se vérifie chaque jour davantage dans le cadre des services de banque, de Bourse ou d’assurance en ligne où l’authentification se renforce en permanence pour faire face aux menaces. En effet, la vérification de l’identité et des droits du client constitue un préalable incontournable. Pourtant, le droit n’a commencé à véritablement envisager l’authentification qu’à l’occasion du développement des transactions par carte bancaire et pour reconnaître l’entrée du code PIN en guise de signature informatique612. 1.
Sources françaises
514. Le référentiel général de sécurité ou RGS (V.2.0) pose la définition de ce qu’il faut entendre par le terme authentification613 : « L’authentification a pour but de vérifier l’identité dont se réclame une personne ou une machine. La mise en œuvre par une autorité administrative des fonctions de sécurité “Authentification” ou “Authentification serveur” peut se faire selon trois niveaux de sécurité aux exigences croissantes : (*), (**) et (***) 614».
611. É. A. Caprioli, Signature électronique et dématérialisation, LexisNexis, 2014, v. n° 30. 612. Cass. civ. 1re, 8 nov. 1989, n° 86-16197, Bull. civ. 1989, I, n° 342 ; D. 1990, p. 369, note C. Gavalda ; Cass. com., 8 oct. 1991, n° 89-12.230, Juris-Data n° 1991-003746 (cassation) : « alors qu’il ne résulte pas du jugement qu’une présomption de faute ait été invoquée, et qu’en cet état du litige, il appartenait à la banque, laquelle prétendait que Mlle D. avait commis l’imprudence de ne pas tenir son code secret, de démontrer la violation, par la titulaire de la carte, de cette obligation contractuelle de moyens, le tribunal a violé les textes susvisés » ; TI Sète, 9 mai 1984, Juris-Data n° 1984-600490, D. 1985, II, p. 359, note A. Bénabent. 613. Le RGS V.2.0 est entré en vigueur le 1er juillet 2014. V. l’arrêté du 13 juin 2014 portant approbation du référentiel général de sécurité et précisant les modalités de mise en œuvre de la procédure de validation des certificats électroniques, JO 24 juin 2014, p. 10361. 614. RGS V.2.0, v. p. 9.
de
la sécurité des systèmes d ’ information et de l ’ information
| 223
515. Selon le glossaire de l’ANSSI « l’authentification a pour but de vérifier l’identité dont une entité se réclame. Généralement l’authentification est précédée d’une identification qui permet à cette entité de se faire reconnaître du système par un élément dont on l’a doté. En résumé, s’identifier c’est communiquer son identité, s’authentifier c’est apporter la preuve de son identité ». 615 516. En matière bancaire, la Banque de France souhaitant hausser le niveau de sécurisation des activités de banque en ligne, un groupe d’expertise FBF-BDF a recommandé en mars 2009616 des mesures applicables à l’authentification et à la sécurité des paiements sur l’Internet. La principale recommandation consiste en l’usage d’un mot de passe aléatoire pour l’authentification lors de virements sur l’Internet ou d’autres opérations considérées comme sensibles et de nature très variable : commandes de moyens de paiement, services de mise à jour de toute donnée client permettant une prise de contrôle, même partielle, du compte ‒ changement d’adresse courrier, etc. ‒ ou des données pouvant être utilisées par la banque pour authentifier son client ‒ selon les cas : numéro de portable, adresse e-mail, etc. ‒ services de coffre-fort électronique. L’objectif consiste à garantir un niveau de sécurité à l’aide d’une solution dynamique non rejouable (ex. : OTP SMS ‒ OneTime Password Short Message Service). 2.
Sources de l’Union européenne
517. Aux termes de son article 1er, le règlement eIDAS « fixe les conditions dans lesquelles un État membre reconnaît les moyens d’identification électronique des personnes physiques et morales qui relèvent d’un schéma d’identification électronique notifié d’un autre État membre, (…) »617. a.
Identification électronique
518. Elle est définie dans le règlement comme « le processus consistant à utiliser des données d’identification personnelle sous une forme électronique représentant de manière univoque une personne physique ou morale, ou une personne physique représentant une personne morale » (article 3-1 du règlement eIDAS)618. Le règlement eIDAS n’impose pas aux États membres de mettre en place une gestion sécurisée des identités numériques. En revanche, il organise
615. Glossaire de l’ANSSI : http://www.ssi.gouv.fr/entreprise/glossaire/ Cette définition a été prise suite à l’arrêté du 6 mai 2010 portant approbation du référentiel général de sécurité (V.1) et précisant les modalités de mise en œuvre de la procédure de validation des certificats électroniques, JO 18 mai 2010, p. 9152. 616. Rapport FBF-BDF du 2 mars 2009 sur l’authentification et la sécurité des paiements sur l’Internet. 617. Règlement n° 910/2014/UE du Parlement européen du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive n° 1999/93/CE, JOUE 28 août 2014. 618. Le règlement eIDAS définit également les termes suivants : « moyens d’identification électronique » (art. 3-2) ; « données d’identification électronique » (art. 3-3) ; « schéma d’identification électronique » (art. 3-4).
224 | B anque
et
a ssurance
digitales
les modalités de la reconnaissance mutuelle et de l’interopérabilité dans l’Union européenne des identités (régaliennes) notifiées par les États membres à la Commission et publiées au Journal officiel de l’Union européenne, sans pour autant régir les systèmes d’identification (identité numérique) relevant du pouvoir souverain de chaque État membre. Cela ne concerne pas les identités numériques délivrées dans un cadre privé (ex. : codes, identifiants, certificats électroniques, etc.) utilisées par les banques et les sociétés d’assurances. Ainsi, les systèmes d’identification électronique entre personnes de droit privé, par exemple entre une banque ou une société d’assurance et ses clients, étaient a priori exclus du champ d’application du règlement619. Toutefois, les systèmes d’identification électronique régaliens serviront de modèle ou de base (ex. : « France Connect ») aux systèmes privés (v. partie II, chapitre I, section I). Sont ainsi visées les pièces d’identité que l’on définira comme des « document[s] écrit[s] (généralement une carte) qui énonce[nt] et atteste[nt] l’identité civile d’une personne physique »620. 519. Trois niveaux d’identité numériques sont prévus par le règlement : faible, substantiel et élevé. Seuls les deux derniers niveaux peuvent être notifiés à la Commission621.
619. É. A. Caprioli, F. Mattatia, S. Vulliet-Tavernier, « Table ronde : L’identité numérique », Cah. dr. entr. n° 3, mai 2011. De facto, cela exclut également les « identifications » à la façon de Twitter, Facebook ou Google et qui servent à faciliter l’inscription de « leurs » membres sur d’autres sites Web. V. en ce sens, É. A. Caprioli, P. Agosti, « La régulation du marché européen de la confiance numérique : enjeux et perspectives de la proposition de règlement européen sur l’identification électronique et les services de confiance », Com. com. électr. 2013, étude 3. 620. G. Cornu (ss dir.), Vocabulaire juridique, PUF, 2003, V° Pièce d’identité. 621. En France, dans le cadre du programme France Connect, nous disposons de trois systèmes de niveaux faibles.
- Identité connue d’une source faisant autorité et présomption qu’il s’agit bien de la personne.
- Élément d’identification présumé authentique ou présumé existant.
- Présomption de possession d’un élément d’identification reconnu.
Faible
- Moyen d’identification valide notifié ou confirmé par un organisme d’évaluation.
- Procédures présentant des garanties équivalentes confirmées par un organisme d’évaluation.
- Pièce d’identité + mesures pour minimiser les risques.
- Élément d’identification + vérification d’authenticité + mesures pour minimiser les risques.
Substantiel
- Moyen d’identification valide notifié ou confirmé par un organisme d’évaluation + mesures pour prouver la validité des procédures antérieures.
- Procédures présentant des garanties équivalentes confirmées par un organisme d’évaluation + mesures pour prouver la validité des procédures antérieures.
- Élément d’identification biométrique ou photographique vérifié reconnu + vérification d’identité sur caractéristiques physique auprès d’une autorité.
Élevé
de la sécurité des systèmes d ’ information et de l ’ information
| 225
226 | B anque
et
a ssurance
digitales
520. L’article 6 fixe plusieurs conditions impératives : « a) la délivrance de ce moyen d’identification électronique relève d’un schéma d’identification électronique qui figure sur la liste publiée par la Commission en application de l’article 9 ; b) le niveau de garantie de ce moyen d’identification électronique correspond à un niveau de garantie égal ou supérieur à celui requis par l’organisme du secteur public concerné pour accéder à ce service en ligne dans le premier État membre, à condition que le niveau de garantie de ce moyen d’identification électronique corresponde au niveau de garantie substantiel ou élevé ; c) l’organisme du secteur public concerné utilise le niveau de garantie substantiel ou élevé pour ce qui concerne l’accès à ce service en ligne ». 521. Parmi les pays qui ont déjà anticipé le concept d’identité numérique régalien en mettant en place des solutions opérationnelles comme une carte nationale d’identité, on peut citer notamment l’Estonie, la Belgique, l’Italie, l’Espagne, l’Allemagne et l’Autriche. b.
Authentification
522. S’agissant de l’authentification, on trouve sa première véritable définition dans le règlement communautaire n° 460/2004 du 10 mars 2004622 instituant l’Agence européenne chargée de la sécurité des réseaux et de l’information (ENISA)623. Son article 4-e) définissait l’authentification comme « la confirmation de l’identité prétendue d’entités ou d’utilisateurs ». 523. Par ailleurs, le règlement européen sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur (dit règlement « eIDAS »)624 précise à l’article 3-5 ce qu’il convient d’entendre par le terme « authentification », « un processus électronique qui permet de confirmer l’identification électronique d’une personne physique ou morale, ou l’origine et l’intégrité d’une donnée sous forme électronique ». Le 622. JOCE n° L. 77, 13 mars 2004, p. 1. Ce règlement est désormais abrogé. 623. Règlement n° 526/2013/UE du Parlement européen et du Conseil du 21 mai 2013 concernant l’Agence européenne chargée de la sécurité des réseaux et de l’information (ENISA) et abrogeant le règlement n° 460/2004/CE, JOUE n° L. 165, 18 juin 2013, p. 41. 624. Règlement n° 910/2014/UE du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive n° 1999/93/CE, JOUE n° L. 257, 28 août 2014 : http://eur-lex.europa.eu/legalcontent/FR/TXT/?uri=CELEX%3A32014R0910. V. É. A. Caprioli, P. Agosti, « La régulation du marché européen de la confiance numérique : enjeux et perspectives de la proposition de règlement européen sur l’identification électronique et les services de confiance », Com. com. électr. 2013, étude 3. Th. Piette Coudol, « Une législation européenne pour la signature électronique », RLDI juill. 2012, n° 2838 ; P. Agosti, « Commerce électronique, la confiance électronique, entre droit et technique », Expertises, déc. 2014, p. 416 ; D. Gobert, « Le règlement européen du 23 juillet 2014 sur l’identification électronique et les services de confiance (eIDAS) : analyse approfondie » : www.caprioli-avocats.com
de
la sécurité des systèmes d ’ information et de l ’ information
| 227
libellé retenu dépasse la simple authentification que l’on utilise généralement pour vérifier ou valider l’identification électronique lors de l’accès du client à son compte de banque ou d’assurance en ligne ou à son espace sécurisé. L’authentification est, en effet, étendue aux fonctions de vérification de l’origine et de l’intégrité d’une donnée électronique. On observera que cela correspond aux fonctions que l’on retrouve dans les procédés de signature et de cachet électroniques. De tels procédés ont une importance fondamentale pour sécuriser les services de banque et d’assurance en ligne, ainsi que pour la conclusion de tout contrat bancaire et d’assurance par voie électronique que l’on se trouve en présence physique ou à distance. Le règlement d’exécution n° 2015/1502 du 8 septembre 2015625 pris en application du règlement eIDAS retient que l’utilisation de plusieurs facteurs d’authentification relevant de catégories différentes renforce la sécurité du processus d’authentification. Le règlement distingue ainsi plusieurs facteurs d’authentification (la possession, la connaissance et l’inhérent). 524. L’article 3-38 du règlement définit un « certificat d’authentification de site Internet », comme « une attestation qui permet d’authentifier un site Internet et associe celui-ci à la personne physique ou morale à laquelle le certificat ». Lorsqu’il est qualifié, il est délivré « par un prestataire de services de confiance qualifié » et il « satisfait aux exigences fixées à l’annexe IV » (article 3-39). L’utilisation d’un certificat qualifié suppose qu’il est interopérable et qu’il apporte un important bénéfice puisqu’il entraîne sa reconnaissance juridique et son acceptation dans tous les États membres de l’UE. Ainsi, dès lors que l’on se connecte à un service bancaire ou d’assurance, la véritable identité du propriétaire du site Web (Assurance ou Banque) peut être vérifiée par le client grâce l’installation d’un certificat de serveur sur le site. Cela permet, entre autres, de sécuriser les clients et d’éviter les risques de fraudes et d’usurpation d’identité, comme par exemple avec les techniques d’hameçonnage626. 525. Tout récemment, c’est la directive concernant les services de paiement dans le marché intérieur (dite « DSP 2 »)627 qui a apporté une nouvelle définition : « une procédure permettant au prestataire de services de paiement de vérifier l’identité d’un utilisateur de services de paiement ou la validité de l’utilisation d’un instrument de paiement spécifique, y compris l’utilisation des données de sécurité personnalisées de l’utilisateur » (article 4-29). Ce texte affirme surtout 625. Règlement d’exécution n° 2015/1502/UE de la Commission du 8 septembre 2015 fixant les spécifications techniques et procédures minimales relatives aux niveaux de garantie des moyens d’identification électronique visés à l’art. 8, paragraphe 3, du règlement (UE) n° 910/2014 du Parlement européen et du Conseil sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur, JOUE n° L 235, 9 sept. 2015, p. 7, http://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A32015R1502. 626. V. infra partie I, chapitre IV, section III - § 2. A. 627. Directive n° 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015 concernant les services de paiement dans le marché intérieur, modifiant les directives n° 2002/65/CE, n° 2009/110/CE et n° 2013/36/UE et le règlement n° 1093/2010/UE, et abrogeant la directive n° 2007/64/CE, JOUE n° L. 337, 23 déc. 2015 : http://data.europa.eu/eli/dir/2015/2366/oj/fra/ pdfa1a. V. le numéro spécial de la revue Banque & Droit, hors-série, juill.-août 2016.
228 | B anque
et
a ssurance
digitales
l’importance de l’authentification forte qu’il définit à l’article 4-30 comme suit : « l’authentification reposant sur l’utilisation de deux éléments ou plus appartenant aux catégories connaissance (quelque chose que seul l’utilisateur connaît), possession (quelque chose que seul l’utilisateur possède) et inhérence (quelque chose que l’utilisateur est) et indépendants en ce sens que la compromission de l’un ne remet pas en question la fiabilité des autres, et qui est conçue de manière à protéger la confidentialité des données d’authentification ». 526. Ces définitions nous permettent de distinguer clairement l’identification et l’authentification. En effet, si l’identification consiste en une opération qui permet à un individu d’exprimer son identité sur la base d’un élément externe : tout document qui atteste de l’origine d’une personne (ex. : extrait de naissance, carte d’identité, permis de conduire, passeport, carte de séjour), mais également sur la base du témoignage de tiers. Lorsque l’on s’identifie, on communique une identité préalablement enregistrée de la personne, elle a un caractère permanent et fondamental. Au contraire, lorsque l’on s’authentifie, on vérifie l’exactitude de cette identité ou des identifiants saisis, ce qui permet d’en apporter la preuve. 527. De facto, l’analyse des textes nous conduit à constater qu’il n’y a pas de véritable encadrement juridique par les textes en vigueur. Ces derniers définissent le procédé, sans traiter des questions de validité et d’effets juridiques. En pratique, l’authentification sera le plus souvent encadrée par le biais de dispositions contractuelles, spécialement dans les conditions générales d’utilisation des services qui contiennent une convention sur la preuve (v. partie I, chapitre V). On citera par exemple le cas des contrats de cartes bancaires qui régissent et l’authentification et la « signature » du titulaire628. B.
Des bonnes pratiques relatives à l’authentification
528. Les différentes sources normatives permettent la distinction en deux méthodes d’authentification : d’une part, l’authentification simple ou à un facteur c’est-à-dire où l’utilisateur se contente de saisir les informations qu’il connaît (ex. : login/mot de passe) par un seul canal et, d’autre part, l’authentification forte qui oblige à combiner deux canaux distincts : l’un par le canal de l’Internet, l’autre par le biais du téléphone portable (ex. : OTP/SMS) ou via un envoi par La Poste (ex. : remise d’un code au moyen d’une lettre recommandée). Néanmoins, les évolutions des menaces conduisent à nuancer cette distinction. On peut, en effet, penser que l’authentification forte devrait plutôt être qualifiée d’authentification renforcée et non d’authentification forte. 529. Par ailleurs, il existe d’autres techniques d’authentification forte comme les certificats d’identité électroniques ou les techniques biométriques qui peuvent 628. Cass. civ. 1re, 8 nov. 1989, n° 86-16.196, Sté Crédicas c/ Cassan : Bull. civ. I, 1989, n° 342 ; D. 1990, p. 369, note C. Gavalda ; RTD civ. 1990, p. 80, obs. Jacques Mestre ; RTD com. 1990, p. 78, obs. M. Cabrillac et B. Teyssié ; JCP éd G, 1990, II, 21576, note Georges Virassamy. V. égal. CA Montpellier, 1re ch., sect. D, 9 avr. 1987, JCP éd. G, 1988, II, 20 984, obs. M. Boizard.
de
la sécurité des systèmes d ’ information et de l ’ information
| 229
être utilisées pour certains produits dans les activités de banque et d’assurance digitale. Lorsqu’il est question d’authentification forte, il est important de combiner plusieurs facteurs de nature différente afin de complexifier la tâche d’un éventuel pirate. Dans la sécurité, l’authentification repose sur une des trois catégories suivantes : • facteur d’authentification basé sur la connaissance : c’est-à-dire quelque chose que seul l’utilisateur connaît, par exemple : mot de passe, code, Numéro d’identification personnel (NIP), phrase secrète, challenge questionsréponses, etc. • facteur d’authentification basé sur la possession : à savoir quelque chose que seul l’utilisateur possède, par exemple : jeton, carte à puce, téléphone mobile, clé USB, tablette, « Token » (jeton d’authentification), etc. • facteur d’authentification inhérent : cela correspond à quelque chose que l’utilisateur est, une propriété inhérente à sa personne comme par exemple une caractéristique biométrique : empreinte digitale, iris, rétine, forme de la main, du visage ou de l’oreille, ou d’autres éléments biométriques comme la voix, la démarche ou la signature dynamique ou la dynamique de frappe (comportement). Ce triptyque est classique dans la sécurité de l’information, ces catégories sont des facteurs d’authentification629. 530. D’autre part, il existe ce que l’on appelle l’« authentification dynamique » qui est un « processus utilisant la cryptographie ou d’autres techniques pour fournir un moyen permettant de créer sur demande une preuve électronique attestant que le sujet contrôle ou possède les données d’identification et qui change avec chaque authentification entre le sujet et le système vérifiant l’identité du sujet »630. En l’occurrence, du fait des changements, l’authentification sera considérée comme rejouable ou non rejouable et donc spécifiquement dédiée à une opération donnée (ex. : accès à l’espace client, signature d’une transaction, acceptation des CGU ou CGV, etc.). Pour que le code ne soit pas rejouable, en général les systèmes utilisent des mots de passe à usage unique (« One Time Password », « OTP »), qu’ils génèrent de manière aléatoire ; ils sont transmis à l’utilisateur par SMS sur un téléphone portable ou un smartphone ou dans le cadre d’un processus de reconnaissance vocale. 531. En termes de bonnes pratiques, utiliser une solution d’authentification non rejouable afin de réaliser des virements bancaires en ligne ou réaliser 629. V. le règlement d’exécution n° 2015/1502/UE de la Commission du 8 septembre 2015 fixant les spécifications techniques et procédures minimales relatives aux niveaux de garantie des moyens d’identification électronique visés à l’article 8, § 3, du règlement n° 910/2014/UE du Parlement européen et du Conseil sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur, JOUE n° L. 235, 9 sept. 2015, p. 7, v. dans l’annexe, les définitions applicables le 1-2 : les « facteurs d’authentification basés sur la possession, sur la connaissance » et le « facteur d’authentification inhérent ». 630. V. la définition au 1-3 du JOUE n° L. 235, 9 sept. 2015, p. 7, préc.
230 | B anque
et
a ssurance
digitales
des opérations importantes correspond à une recommandation de la Banque de France depuis 2009631. Dans cette perspective, une recommandation de la Banque centrale européenne (BCE) est intervenue en matière de sécurité des paiements en ligne en janvier 2013632. Ainsi, un prestataire de services de paiement utilise des procédés d’authentification « faible », ou qui n’authentifie pas les ordonnateurs de paiement ne sera pas en mesure de prouver l’autorisation de la transaction par le client. Influencée par la Banque centrale européenne, la sécurité des opérations de paiement sur l’Internet évolue progressivement, en se fondant sur une approche d’analyse de risques et sur des authentifications non rejouables633. 532. D’ailleurs, inscrite dans le prolongement de ces recommandations nationales et européennes, l’authentification forte du client a été consacrée avec la directive « DSP 2 » comme « une authentification reposant sur l’utilisation de deux éléments ou plus appartenant aux catégories connaissance (quelque chose que seul l’utilisateur connaît), possession (quelque chose que seul l’utilisateur possède) et inhérence (quelque chose que l’utilisateur est) et indépendants en ce sens que la compromission de l’un ne remet pas en question la fiabilité des autres, et qui est conçue de manière à protéger la confidentialité des données d’authentification » (article 4-30). La DSP 2 prévoit que l’authentification forte soit considérée comme un prérequis de sécurité pour un certain nombre d’opérations : l’accès au compte de paiement en ligne, les opérations de paiements électroniques ou encore l’exécution d’actions à distance susceptibles de comporter un risque de fraude (article 97). Une telle définition contribue à la sécurité des paiements sur l’Internet. Ces bonnes pratiques, qui prennent forme dans ces recommandations applicables aux paiements peuvent également s’appliquer aux opérations de banque et d’assurance en ligne qui présentent des risques importants (ex. : contrat d’assurance-vie). En l’absence d’authentification forte, le payeur ne supportera aucune perte financière, sauf s’il a agi frauduleusement. De même, lorsque la banque ou Prestataire de services de paiement (PSP) n’exige pas une authentification forte de son client, il devra rembourser le préjudice financier causé à la banque du payeur car il engage sa responsabilité (article 74). De façon générale, le prestataire qui ne prévoit pas une authentification forte du client pourra voir sa responsabilité engagée. L’identification du client est également obligatoire pour la signature des contrats bancaires ou d’assurances (cf. partie II, chapitre IV).
631. Rapport FBF-BDF du 2 mars 2009 sur l’authentification et la sécurité des paiements sur l’Internet, préc. 632. Texte de la recommandation en anglais : http://www.ecb.europa.eu/pub/pdf/other/ recommendationssecurityinternetpaymentsoutcomeofpcfinalversionafterpc201301en.pdf 633. G. Goffinet, Banque & Stratégie, n° 313.
de C.
la sécurité des systèmes d ’ information et de l ’ information
| 231
Éclairages de la jurisprudence
533. Les décisions relatives à l’authentification étaient, jusqu’à il y a peu de temps encore, relativement rares. Depuis la jurisprudence Crédicas634, elles commencent à se développer dans d’autres domaines que celui des cartes bancaires. À l’analyse, ces décisions sanctionnent une mesure de sécurité informatique défaillante ou parfois un manquement à une obligation d’information. 1.
Manquement à l’obligation de sécurité
534. En France, la Cour d’appel de Versailles le 18 novembre 2010 a jugé une question de sécurité connexe pour engager la responsabilité d’une banque, concernant l’utilisation frauduleuse d’un mot de passe par un conjoint indélicat, en instance de divorce, pour accéder à un compte d’épargne entreprise. La sécurité du processus n’était pas suffisamment forte, ni conforme à l’état de l’art. Or, la banque avait procédé à la modification de son système de sécurisation des comptes, en distinguant l’émission du mot de passe et sa communication par courrier séparé de celui portant le code identifiant. Cela démontrait, selon la Cour d’appel, que la banque « avait bien conscience de ce que dans une première période de gestion en ligne des comptes individuels de ses clients, elle ne remplissait pas totalement son obligation de sécurité et donc de sécurisation des opérations de gestion informatique de ces comptes »635. 2.
Authentification à facteur unique jugée trop faible
535. Aux États-Unis, dans une décision du Tribunal de l’Illinois (affaire Shames Yeakel vs. Citizen Financial Bank) du 21 août 2009 (case 07 C 5387), les juges ont accueilli favorablement la plainte d’une victime d’une cyber-attaque sur son compte bancaire en ligne, déposée contre l’établissement bancaire. La victime invoquait la négligence de la banque quant à la sécurisation de son système d’accès aux comptes en ligne. Elle se fondait sur un rapport du Conseil fédéral d’examen des institutions financières (FFIEC). Le jugement remettait en cause l’authentification à facteur unique pour protéger l’accès aux comptes bancaires en ligne636.
634. Cass. civ. 1re, 8 nov. 1989, n° 86-16.196, Sté Crédicas c/ Cassan : Bull. civ. I, 1989, n° 342, p. 230 ; D. 1990, p. 369, note C. Gavalda. Ainsi, selon la Cour dans cet arrêt de principe : « la société Crédicas invoquait l’existence, dans le contrat, d’une clause déterminant le procédé de preuve de l’ordre de paiement et que, pour les droits dont les parties ont la libre disposition, ces conventions relatives à la preuve sont licites… ». 635. CA Versailles, 16e ch., 18 nov. 2010, n° 09/06634, Marie-Paule C. épse A. c/ SA Natixis Interépargne : Com. com. électr. 2011, comm. 94, note É. A. Caprioli. 636. « Première décision américaine concernant l’authentification par voie électronique d’un client bancaire », Com. com. électr. 2010, comm. 41, note É. A. Caprioli.
232 | B anque
3.
et
a ssurance
digitales
Sur-authentification par SMS
536. Une personne a déposé des fonds sur son compte. La convention de compte précisait les modalités de réalisation des virements : saisine des codes personnels et des codes d’authentifications transmis par SMS. De plus, la demande de modification du numéro de téléphone du client abonné au service en ligne (pour les envois de SMS sur un téléphone mobile identifié en vue de l’authentification) a été effectuée via l’envoi après remplissage et signature du formulaire téléchargé figurant sur le site de la banque et validation de la banque après vérification de la signature. Trois virements ont été réalisés. Le client invoquait une contrefaçon de sa signature. La Cour d’appel de Montpellier a considéré, le 5 juillet 2016637, que « la prétendue contrefaçon de la signature invoquée par l’appelant n’était pas perceptible à l’examen d’un employé de banque normalement diligent ». De la sorte, « les virements des 10 mai, 14 et 18 mai 2012 ont été opérés selon les modalités fixées par la convention avec la Banque et ont nécessité la saisine des codes personnels d’accès (numéro d’abonné, mot de passe et lettres du mot secret) mais également des codes d’authentification transmis par SMS. Les éléments d’identification figurant sur le relevé d’identité bancaire du compte bénéficiaire des virements ont aussi été fournis, étant observé qu’il s’agissait d’un comptejoint ouvert par M. P. et un tiers dans les livres du Crédit Agricole. Le montant des virements était bien inférieur au solde inscrit au crédit du compte de M. P. ». Par conséquent, la Cour en déduit que : « au regard de tous ces éléments, il apparaît que les ordres de virement ont été correctement authentifiés et exécutés par la banque qui n’a commis aucun manquement dans le cadre de la sécurisation de l’instrument de paiement en ligne ». 537. Dans un arrêt de la Cour d’appel d’Aix-en-Provence, en date du 12 novembre 2015638, la cliente d’un service de paiement avait communiqué un code confidentiel reçu par SMS à une personne se faisant passer pour un salarié de sa banque soi-disant pour assainir une opération litigieuse. En réalité, ce code a servi à valider un virement au profit d’un tiers. Elle fut par la suite débitée d’un montant de 2 970 euros et la banque a refusé de la rembourser. Après avoir été déboutée en première instance, selon la Cour, l’opération relève de l’article L. 133-23 du Code monétaire et financier. Ainsi, « ce simple envoi de code SMS dans les conditions de sollicitation décrites par l’appelante, qui correspondent à des procédés frauduleux tellement usuels que la BANQUE a émis à ce propos une lettre circulaire de mise en garde, ne démontre ni l’autorisation effective de sa part, qui suppose une compréhension dénuée d’ambiguïté, ni une authentification valable, alors que cet envoi n’aurait certainement pas suffi à permettre le retrait si le tiers malveillant n’avait eu dans le même temps accès aux données personnelles de Mme Christelle G., données confidentielles dont la BANQUE ne prouve en aucune façon une divulgation imputable à Mme G. L’opération étant une opération non autorisée, rend applicable les dispositions
637. Cour d’appel de Montpellier, ch. 2, 5 juill. 2016, n° 14/09254, Juris-Data n° 2016-016012. 638. CA Aix-en-Provence, ch. 11 B, 12 nov. 2015, n° 2015/587, Juris-Data n° 2015-027460.
de
la sécurité des systèmes d ’ information et de l ’ information
| 233
de l’article L. 133-18 du Code monétaire et financier et impose au prestataire de services le remboursement immédiat du montant de l’opération non autorisée ». 4.
3D Secure et l’obligation d’information
538. Dans un arrêt de la Cour d’appel d’Aix-en-Provence du 18 février 2015639, une entreprise de vente de matériel médical avait souscrit un contrat relatif à une solution de paiement en ligne sécurisé. En 2008, la solution a été modifiée ainsi que le contrat pour intégrer un système d’authentification supplémentaire, « 3D Secure », recommandé par la Banque de France. Rappelons en cet endroit que le système 3D Secure est un protocole de communication. Il consiste à s’assurer de l’authentification du titulaire de la carte, lors de chaque paiement en ligne. Le système repose, d’une part, sur la classique fourniture d’informations : numéro de carte bancaire, date d’expiration de la carte et les trois chiffres du code de sécurité (imprimés au dos de la carte) et, d’autre part, l’internaute doit saisir un mot de passe, tel que sa date de naissance ou un code dynamique à usage unique (One time password/OTP généré de façon aléatoire)640. 539. Or, selon la cliente de la banque, la mise en œuvre de ce nouveau système conduisait certains clients qui ne connaissaient pas le système à abandonner la commande. Il est vrai qu’en termes marketing, le parcours client doit être le plus fluide et ergonomique possible et il ne faut pas ralentir le processus d’achat. La société a donc introduit une action pour obtenir réparation de ses différents préjudices (perte de ventes, temps passé pour identifier le problème, frais d’installation du nouveau système, etc.). La Cour a jugé que manquait à son obligation d’information la banque qui n’avertit pas son client, selon les formes prévues par le contrat, du déploiement du système « 3D Secure » sur la plateforme qu’elle met à disposition du client pour son activité de e-commerce. 540. Suivant le jugement du Tribunal de commerce d’Aix-en-Provence du 23 juillet 2012, la cour d’appel a retenu le manquement contractuel car la banque n’avait pas rapporté de preuve pouvant justifier l’accomplissement de son obligation de notification auprès de la société dans les délais prévus pour l’entrée en vigueur du nouveau système sécurisé. La lettre circulaire auprès de ses clients était considérée comme insuffisante en l’état. On retiendra également que le respect des exigences prudentielles n’exonère pas la banque du respect de ses engagements contractuels. 541. Dans une autre affaire jugée par la Cour d’appel de Paris le 18 mars 2016641, une société de télécommunications avait ouvert un compte auprès d’une banque 639. CA Aix-en-Provence, 8e ch. C, 19 févr. 2016, n° 2015/111, Juris-Data n° 2015-018613, Com. com. électr. 2016, comm. 9, note É. A. Caprioli. 640. L’OTP/SMS consiste en un mot de passe à usage unique qui est reçu par SMS et qui est utilisé comme moyen d’authentification renforcée. Sa valeur est désormais remise en cause aux États-Unis en termes de sécurité. 641. CA Paris, Pôle 5, ch. 6, n° 14/17382, 18 mars 2016.
234 | B anque
et
a ssurance
digitales
et adhéré à un système de paiement en ligne sécurisé avec 3D Secure. Ainsi, la société cliente « n’a pas été clairement et complètement informée des limites du système qui lui a été vendu et des risques d’impayés qu’elle pouvait avoir à subir malgré le système 3D Secure ; que la banque a ainsi fait perdre une chance à sa cliente de ne pas souscrire un contrat non adapté à son activité de vente en ligne de minutes téléphoniques dans le monde entier alors que la garantie proposée ne visait que la France et la zone Euro sans aucune garantie pour les autres pays ». § 2 – Les usages de la pratique en matière d’authentification
542. À côté de l’authentification simple avec login/mot de passe, d’autres moyens d’authentification sont utilisés par les acteurs de la banque ou de l’assurance en ligne avec des niveaux de sécurité très variables642. A.
Les systèmes reposant sur des codes et mots de passe
1.
Login/mot de passe
543. Historiquement le login/mot de passe est le moyen d’authentification le plus utilisé dans de très nombreux services, à commencer par l’ouverture d’une session sur le poste de travail d’un collaborateur de l’entreprise ou l’accès aux services de la banque ou de l’assurance en ligne. À propos de login/mot de passe, la Cour de cassation, dans son rapport annuel de 1989 a estimé : « ce procédé moderne présente les mêmes garanties que la signature manuscrite, laquelle peut être imitée tandis que le code secret n’est connu que du seul titulaire de la carte »643. 2.
Système dit de « bataille navale »
544. Ce système consiste en une carte à grille envoyée par la banque. Il permet de déterminer le code d’authentification avec une organisation de type « bataille navale ». Lors de la demande d’authentification, le serveur de la banque envoie un code à usage unique : il faut par exemple saisir le nombre à la colonne 4, ligne 5 (D5). Le chemin secret n’est connu que du client à qui la carte est attribuée. C’est la vérification du résultat reconstitué qui va permettre à l’établissement gestionnaire du système d’authentification de dire si le code est bon ou pas. 3.
Les OTP/SMS ou OTP par téléphone portable sur un serveur vocal
545. L’authentification s’opère à l’aide d’un mot de passe à usage unique qui est un secret partagé entre l’authentificateur et le client. Une fois le code reçu par
642. V. Authentification dans les systèmes d’information, Forum des compétences, févr. 2010, disponible sur : http://www.forum-descompetences.org/files/resourcesmodule/@random4e 13020359ba7/1309868613_Publication_Authentification.pdf 643. Rapport annuel de la Cour de cassation, La Documentation française, 1990, v. p. 32.
de
la sécurité des systèmes d ’ information et de l ’ information
| 235
le client, ce dernier le saisit sur son poste informatique connecté à l’Internet. Il est important de mentionner que le téléphone mobile sera considéré comme étant le vecteur utilisé par l’authentificateur, même si ce type d’équipement fait de plus en plus l’objet d’attaques et s’avère être un nouveau point de faiblesse. B.
L’authentification biométrique
546. Selon le Forum des compétences, l’authentification biométrique est un « moyen d’authentification basé sur des informations physiques liées au détenteur. Il peut s’agir d’empreintes digitales, du fond de l’œil, de la forme de la main… »644. 1.
Biométrie : des dispositifs sensibles
547. Selon la CNIL, « la biométrie recouvre l’ensemble des procédés tendant à identifier un individu à partir de la “mesure” de l’une ou de plusieurs de ses caractéristiques physiques, physiologiques ou comportementales. Il peut s’agir des empreintes digitales, de l’iris de l’œil, du contour de la main, de l’ADN ou d’éléments comportementaux (la signature, la démarche…) ». Elle « regroupe l’ensemble des techniques informatiques permettant d’identifier un individu à partir de ses caractéristiques physiques, biologiques, voire comportementales. Les données biométriques ont la particularité d’être uniques et permanentes. Elles permettent de ce fait le “traçage” des individus et leur identification certaine. Le caractère sensible de ces données justifie que la loi prévoie un contrôle particulier de la CNIL fondé essentiellement sur l’impératif de proportionnalité »645. 548. L’autorité indépendante distinguait jusqu’à il y a peu de temps entre plusieurs dispositifs biométriques. Tout d’abord, les dispositifs biométriques dits « à traces », à savoir les empreintes digitales et palmaires. On les qualifie ainsi étant donné que les individus les laissent sans le savoir sur tous les objets qu’ils touchent. Le risque consiste en ce que ces traces sont susceptibles d’être collectées et reproduites à l’insu de la personne à laquelle elles se rattachent, par exemple, avec la fabrication d’un faux doigt ou d’une fausse main. Ensuite, les dispositifs biométriques dits « sans traces » tels que le contour de la main, ou le réseau veineux des doigts de la main. Enfin, il y a des dispositifs biométriques dits « intermédiaires » : ce sont la voix, l’iris de l’œil, la forme du visage. La biométrie concerne des usages très diversifiés comme l’accès à des locaux (ex. : salle de marché ou salle informatique dans un data center) ou à des données, à gérer des horaires d’entrée et de sortie des locaux, etc. Mais les données biométriques ne sont pas attribuées de façon aléatoire ou choisies ; elles sont inhérentes à un individu et l’identifient une fois pour toutes. Le détournement de finalité de ces données peut avoir des conséquences très graves sur la vie privée de l’individu en cause. D’où son encadrement très strict. Pour simplifier et alléger la procédure, 644. Forum des compétences, « Authentification dans les systèmes d’information », janv. 2010, v. glossaire, p. 30. 645. Communication de la CNIL relative à la mise en œuvre de dispositifs de reconnaissance par empreinte digitale avec stockage dans une base de données, 7 avr. 2011.
236 | B anque
et
a ssurance
digitales
la Commission a défini un cadre juridique très précis et rigoureux : celui de l’autorisation unique. Lorsqu’une entité souhaite mettre en œuvre un dispositif biométrique qui correspond aux exigences, elle établit une déclaration simplifiée dans laquelle elle s’engage à respecter les conditions définies dans l’autorisation unique (engagement de conformité). Cependant, comme le souligne la CNIL sur son site Internet, elle peut effectuer, à tout moment, un contrôle sur place pour vérifier la réalité de cet engagement. 549. Partant, le principe est que les dispositifs biométriques sont soumis à autorisation préalable de la CNIL646. Toutefois, certains dispositifs relèvent d’une déclaration simplifiée, où elle reconnaissait certains dispositifs biométriques dans le cadre d’autorisations uniques : AU-007, AU-008, AU-019, AU-027 ; ils sont abrogés. Deux nouvelles autorisations uniques ont été adoptées : AU-052 – Biométrie : Contrôle d’accès sur les lieux de travail avec maîtrise de la personne sur son gabarit647 et AU-053 – Biométrie : Contrôle d’accès sur les lieux de travail avec conservation des gabarits en base648. Ces autorisations uniques concernent également l’authentification pour l’accès aux appareils et aux applications informatiques. Toutefois, à la suite de la CNIL, il est important de rappeler les principes qui président à ces autorisations uniques : • pour l’AU-52 : la personne concernée doit garder la maîtrise de son gabarit, ce qui entraîne son stockage sur un support qu’elle possède ou en base de données « sous une forme inexploitable car illisible sans un secret détenu par la seule personne concernée » ; • pour l’AU-53 : l’entité doit établir la preuve que le dispositif biométrique est nécessaire pour le contrôle d’accès et qu’il ne peut pas faire autrement (ex. : système de badge). Il doit justifier du besoin de centraliser les gabarits par rapport à un système reposant sur un support possédé par la personne concernée et se conformer à l’AU-52. À défaut, le choix doit être expliqué par écrit accompagné d’un descriptif des mesures de sécurité permettant de limiter les risques d’atteintes aux droits des personnes concernées. 2.
Authentification par reconnaissance vocale
550. Initialement, un procédé biométrique de reconnaissance vocale dénommé « Talk-to-Pay » a été expérimenté dans le cadre des paiements sur l’Internet. L’autorisation de la CNIL en faveur de La Banque Postale concernait
646. Article 25 de la loi du 6 janvier 1978 modifiée. 647. Délibération n° 2016-186 du 30 juin 2016 portant autorisation unique de mise en œuvre de dispositifs ayant pour finalité le contrôle d’accès par authentification biométrique aux locaux, aux appareils et aux applications informatiques sur les lieux de travail et garantissant la maîtrise de la personne concernée sur son gabarit biométrique (AU-052), JO 27 sept. 2016. 648. Délibération n° 2016-187 du 30 juin 2016 portant autorisation unique de mise en œuvre de dispositifs ayant pour finalité le contrôle d’accès par authentification biométrique aux locaux, aux appareils et aux applications informatiques sur les lieux de travail reposant sur une conservation des gabarits en base par le responsable du traitement (AU-053), JO 27 sept. 2016.
de
la sécurité des systèmes d ’ information et de l ’ information
| 237
l’expérimentation du procédé pour une durée de 13 mois649. À terme, on peut estimer que ce procédé pourra être généralisé à la contractualisation de transactions de banque et d’assurance en ligne. 551. En termes d’utilisation de ce procédé, la CNIL précise que « la méthode d’authentification choisie fait appel à deux facteurs, à savoir la réception d’un appel sur le téléphone préalablement enrôlé de la personne concernée et la reconnaissance de la voix afin d’identifier cette dernière. La reconnaissance vocale intervient dans le processus d’authentification classiquement utilisé dans le cadre du protocole 3D Secure, à savoir la possession du téléphone réceptionnant un message texte comportant le code permettant de déclencher le paiement (…) L’activation de la solution LBP Pay par authentification vocale est précédée d’un processus en quatre étapes permettant de s’assurer de l’identité du titulaire de la carte bancaire préenregistrée. En premier lieu, la personne concernée doit activer le service de sécurisation d’opérations sensibles Certicode en s’adressant à un conseiller dans son bureau de poste gestionnaire de compte courant, lequel vérifie l’identité du client et le fait qu’il est titulaire de la ligne à contacter lors de l’activation de la solution de paiement. En deuxième lieu, la personne concernée doit activer le portefeuille de services Mes Paiements, soit en se rendant sur son espace client en ligne, soit en utilisant l’application de La Banque Postale Mes Paiements, après s’être authentifiée par la saisie d’un identifiant et mot de passe. Elle doit ensuite saisir dans l’espace prévu à cet effet le code de validation à usage unique reçu par message texte sur son numéro de téléphone mobile validé par l’intermédiaire de la procédure Certicode. En troisième lieu, la saisie du code permet d’activer le service de paiement, et d’enregistrer les numéros de cartes bancaires rattachées au compte du titulaire, après saisie du cryptogramme correspondant. En quatrième lieu, la personne concernée reçoit un courrier postal comportant le code d’activation de la solution de paiement à saisir sur son espace client banque en ligne, ainsi qu’un identifiant à huit chiffres nécessaire pour installer la solution de paiement LBP Pay, sous forme d’extension de navigateur Internet, sur son terminal. L’extension LBP Pay est une application installée sur le navigateur Internet s’affichant automatiquement sur les formulaires de paiement en ligne et permettant de procéder au pré-remplissage automatique desdits formulaires après avoir authentifié le client. Le cryptogramme dynamique à usage unique est généré à cette occasion.
649. Délibération n° 2013-198 du 11 juillet 2013 autorisant La Banque Postale à mettre en œuvre à titre expérimental un système d’authentification des titulaires de cartes de paiement par biométrie.
238 | B anque
et
a ssurance
digitales
Lors de la première utilisation de l’extension LBP Pay, le client saisit l’identifiant à huit chiffres communiqué par courrier postal et choisit le mode d’authentification permettant de déclencher le paiement. Trois options lui sont alors offertes entre l’authentification vocale, la saisie d’un code à usage unique envoyé par message texte (3DS) ou encore l’authentification par le biais d’une application préalablement téléchargée sur son ordiphone et enrôlée. S’il choisit la reconnaissance vocale, le client est appelé sur son téléphone mobile pour s’enrôler ; il est alors invité à prononcer les phrases dictées par des consignes vocales afin de créer un modèle vocal. Lors des authentifications suivantes, le client est de nouveau appelé et invité à répéter une phrase d’authentification, qui sera comparée au modèle vocal constitué lors de son enrôlement. La reconnaissance du locuteur se base sur la modélisation physique des caractéristiques du conduit vocal de la personne concernée. Un modèle de voix est créé en enrôlant des échantillons vocaux de la personne. Le système détermine si c’est bien le locuteur qui parle ou non dans l’enregistrement. Une des propriétés du modèle vocal constitué lors de l’enrôlement est qu’il est non réversible ; les traits biométriques ‒ ici la voix de l’utilisateur ‒ ne peuvent pas être reconstitués à partir du modèle. En effet, ce modèle représente une distribution de probabilités d’un certain nombre de caractéristiques de la voix et n’est pas un enregistrement de celle-ci 650 ». 552. Une autre expérimentation de ce procédé biométrique est en cours d’expérimentation chez LCL651. Les procédés d’authentification par des procédés biométriques se fondent sur la reconnaissance d’une caractéristique ou d’un comportement unique et spécifique à une personne donnée. 3.
Les certificats électroniques
553. Le certificat électronique d’authentification vise un procédé de cryptologie asymétrique dont le but est de vérifier l’identité des clients. C’est un prestataire de services de confiance (PSCo) qui délivre ce type de certificat à une personne identifiée, voire à une machine aux fins d’authentifier un site Web. Une telle vérification via le certificat qui contient la clé publique « établit la confiance en la personne qui s’est authentifiée en ligne. On peut se fier à cette personne dès lors qu’elle a été authentifiée ».
650. Délibération n° 2016-037 du 18 février 2016 autorisant La Banque Postale à mettre en œuvre un système d’authentification des titulaires de cartes bancaires par reconnaissance vocale (Demande d’autorisation n° 1842385). 651. Délibération n° 2016-059 du 10 mars 2016 autorisant Le Crédit Lyonnais SA à mettre en œuvre à titre expérimental un système d’authentification des titulaires de carte de paiement par biométrie.
de
la sécurité des systèmes d ’ information et de l ’ information
| 239
554. Selon le référentiel général de sécurité (RGS V.2.0)652 à son § a.1, intitulé : « L’authentification d’une entité par certificat électronique » : « L’authentification a pour but de vérifier l’identité dont se réclame une personne ou une machine. La mise en œuvre par une autorité administrative des fonctions de sécurité “Authentification” ou “Authentification serveur” peut se faire selon trois niveaux de sécurité aux exigences croissantes : (*), (**) et (***). Ces exigences, décrites dans les annexes [RGS_A1], couvrent, pour les trois niveaux de sécurité, l’ensemble des composants nécessaires à la mise en œuvre de cette fonction de sécurité, à savoir : • la bi-clé et le certificat électronique dont l’usage est l’authentification ; • le dispositif d’authentification ; • le module de vérification d’authentification ; • l’application d’authentification ». 555. La fonction d’authentification via un certificat fonctionne de la manière suivante : « II. 3. Fonction de sécurité “authentification” L’authentification est l’une des fonctions de sécurité apportant de la confiance dans les échanges dématérialisés entre usagers et autorités administratives ou entre autorités administratives. Dans le cadre du [RGS] et de son utilisation dans l’administration, les types de relations couverts par le service d’authentification sont notamment les suivants : • authentification d’un usager vis-à-vis d’un service de l’administration accessible par voie électronique ; • authentification d’un usager vis-à-vis d’un agent d’une autorité administrative ; • authentification d’un agent d’une autorité administrative vis-à-vis d’un usager. Cette fonction de sécurité permet à un usager ou à un agent de s’authentifier dans le cadre des types de relations mentionnés supra. Ce document ne traite que de l’authentification basée sur des mécanismes cryptographiques asymétriques. Le principe de fonctionnement et d’interaction des composants entre eux est le suivant : • l’application de création de cachet, déployée sur une ou plusieurs machines calcule un condensat, à l’aide d’une fonction de hachage, à partir des informations à signer ; 652. Arrêté du 13 juin 2014 portant approbation du référentiel général de sécurité et précisant les modalités de mise en œuvre de la procédure de validation des certificats électroniques, JO 24 juin 2014, p. 10361.
240 | B anque
et
a ssurance
digitales
• elle transmet ce condensat au dispositif de création de cachet ; • le dispositif de création de cachet réalise un calcul cryptographique de
signature du condensat en utilisant la clé privée de signature du service de création de cachet, activée le cas échéant par un code d’activation (code PIN par exemple) par le responsable du certificat de cachet ; • ce condensat signé, dit cachet, est retourné à l’application ; La vérification du cachet s’effectue à l’aide d’un module de vérification de cachet et du certificat électronique délivré par PSCE qui lie l’identité du service de création de cachet avec sa clé publique : un calcul cryptographique est effectué à l’aide de la clé publique sur la signature électronique et comparé au condensat obtenu par hachage des informations à signer. Dans le cadre du [RGS], l’utilisation de la clé privée d’authentification du porteur et du certificat mono-usage associé est strictement limitée à l’authentification »653. 4.
France Connect
556. Le nouveau télé service « France Connect »654 permettra aux usagers, s’ils le souhaitent, de fédérer leurs comptes créés auprès des différents services publics (sécurité sociale, impôts, TVA, Net-Entreprises, etc.) afin de disposer d’un compte national. Lorsqu’un usager aura fait la démarche d’authentification auprès d’une autorité administrative et qu’un login/mot de passe lui aura été attribué, ce couple d’identifiants pourra être utilisé pour accéder à des services d’autres autorités administratives. Dans le droit fil de ce qui est prévu dans le règlement eIDAS, France Connect prévoit trois niveaux de sécurité : faible (login/mot de passe et copies de pièces justificatives), substantiel (deux facteurs d’identification dont un non rejouable/RGS**) et élevé/fort (face-à-face RGS***). Le système repose sur six données pivots détenus par France Connect : nom, prénom, sexe, date de naissance, lieu de naissance et pays de naissance. 557. Son objectif est de permettre non seulement une simplification des démarches administratives mais également l’échange d’informations entre les autorités administratives et l’accès aux télés services d’autres États membres de l’Union européenne par le biais de la notification des schémas d’identification étatiques telle que prévue par le règlement eIDAS (dès lors que la France disposera de solutions du niveau « substantiel »). Ce mode d’identification pour l’instant « public » pourra, dans un second temps, être utilisé par des entreprises privées dont, et c’est une donnée fondamentale, les banques et les sociétés
653. A1, Règles relatives à la mise en œuvre des fonctions de sécurité basées sur l’emploi de certificats électroniques, V.3 du 27 février 2014, disponible à l’adresse : https://references.modernisation.gouv.fr/sites/default/files/RGS_v-2-0_A1.pdf 654. Arrêté du 24 juillet 2015 portant création d’un traitement de données à caractère personnel par la direction interministérielle des systèmes d’information et de communication d’un télé service dénommé « France Connect ».
de
la sécurité des systèmes d ’ information et de l ’ information
| 241
d’assurance dans le cadre de l’authentification de leurs clients utilisateurs lors de leurs transactions et opérations (v. partie II, chapitre I). 5.
Gestion de l’identité et Carte nationale d’identité électronique
558. Des solutions de gestion d’identité pour l’administration en ligne ont été apportées au sein de l’Union européenne655. La gestion d’identité agite depuis de nombreuses années la communauté du numérique (projet « Liberty Alliance ») et l’Union internationale des télécommunications (UIT) qui a établi un groupe de travail sur le sujet pour sa promotion. En termes d’authentification, spécialement dans les échanges et la contractualisation à distance, la solution la plus efficace aurait sans doute consisté au déploiement de la Carte nationale d’identité électronique, à l’image de ce que d’autres pays européens, comme la Belgique656. Dans ce pays, la carte d’identité sert à l’authentification, mais permet également de signer électroniquement. Pourtant, à notre connaissance, cette fonctionnalité n’est pas utilisée657. Cette carte nationale d’identité, délivrée par l’État français, aurait été utilisée dans les relations avec les autorités administratives ainsi que dans celles du privé. Auraient été ainsi inclus, dans la puce électronique, les outils d’authentification et de signature électronique. Or, après maintes tentatives avortées, les dispositions les plus importantes de la loi du 27 mars 2012 relative à la protection de l’identité sur les procédures de délivrance et de gestion des documents d’identité électronique ont été censurées par le Conseil constitutionnel. Le projet est reporté sine die 658.
655. Communication de la Commission des communautés européennes au Conseil européen, au Parlement européen, au Comité économique et social et au Comité des régions : « i2010 – Une société de l’information pour la croissance et l’emploi », COM (2005) 229 final, 1er juin 2005), accessible sur le site Internet : http://eur-lex.europa.eu 656. Loi du 25 mars 2003 modifiant la loi du 8 août 1983 organisant un Registre national des personnes physiques et la loi du 19 juillet 1991 relative aux registres de la population et aux cartes d’identité et modifiant la loi du 8 août 1983 organisant un Registre national des personnes physiques, Moniteur belge, éd. 4, 28 mars 2003, p. 15921. 657. V. l’Arrêté royal du 1er septembre 2004 portant la décision de procéder à l’introduction généralisée de la carte d’identité électronique, Moniteur belge, éd. 2, 15 sept. 2004, p. 56527. Pour des informations générales : www.eid.belgium.be 658. Rapport de la mission « Administration générale et territoriale de l’État » de M. Hervé Marseille dans le cadre des débats relatifs à la loi de finance pour 2015 : « (…) S’agissant des autres titres, le projet relatif à la carte nationale d’identité électronique (CNIe) reste toujours en suspens, après la censure par le Conseil constitutionnel, dans sa décision DC n° 2012-652 du 22 mars 2012, de l’article 5 de la loi n° 2012-410 du 27 mars 2012 relative à la protection de l’identité 10 (*). La prorogation de dix à quinze ans de la durée de validité des cartes nationales d’identité (CNI), par le décret n° 2013-1188 du 18 décembre 2013 relatif à la durée de validité et aux conditions de délivrance et de renouvellement de la CNI, est une solution provisoire qui n’est pas satisfaisante (…) » : http://www.senat.fr/commission/fin/pjlf2015/np/np02/np022. html
242 | B anque
et
a ssurance
digitales
SECTION III LUTTE CONTRE LES FRAUDES NUMÉRIQUES ET LA CYBERCRIMINALITÉ 559. Les banques comme les assurances doivent également faire face à des tentatives de fraude de leurs outils comme de leurs services. À côté des fraudes internes, on constate un développement exponentiel des scénarios d’attaques numériques et des failles comportementales des utilisateurs. D’après l’ANSSI, par « ingénierie sociale », on entend « manipulation consistant à obtenir un bien ou une information, en exploitant la confiance, l’ignorance ou la crédulité de tierces personnes. Remarques : Il s’agit, pour les personnes malveillantes usant de ces méthodes, d’exploiter le facteur humain, qui peut être considéré dans certains cas comme un maillon faible de la sécurité du système d’information ». En effet, la dimension humaine est un facteur de risque majeur. 560. Confrontés à la recrudescence des attaques et autres tentatives sur leurs systèmes d’information, les établissements de crédit ou de paiement et les sociétés d’assurance voient leurs obligations en matière de sécurisation augmenter au fil des années et en particulier en matière d’authentification de leurs clients. 561. Le cadre répressif mettant en œuvre la lutte contre la criminalité informatique est déjà relativement ancien, puisqu’il remonte à la loi n° 88-19 du 5 janvier 1988 relative à la fraude informatique, dite « loi Godfrain »659. Mais, même si aujourd’hui avec les réseaux numériques, on parle volontiers de cybercriminalité, il reste d’actualité au regard de son champ d’application très large. Le dispositif pénal spécial se complète au fil du temps et réprime la grande majorité des délits informatiques susceptibles d’être commis tant en matière d’atteintes aux biens (systèmes d’information et données), que d’atteintes aux personnes660. Ces délits figurent d’ailleurs pour une grande part dans la Convention du Conseil de l’Europe sur la cybercriminalité du 23 novembre 2001661.
659. Sur le droit pénal de l’informatique, v. R. Gassin, « Informatique [fraude informatique] » : Rép. pén. Dalloz, 1995. A. Lucas, J. Devèze, J. Frayssinet, Droit de l’informatique et de l’Internet, PUF, 2001, n° 964 et s. M. Quéméner et Y. Charpenel, Cybercriminalité ‒ droit pénal appliqué, Économica, coll. Pratique du droit, 2010 ; E. Freyssinet, La cybercriminalité en mouvement, Hermès SciencesLavoisier, 2012. 660. Même s’ils ne font pas l’objet de développements dans le cadre du présent ouvrage, on intègre dans l’arsenal pénal des délits relevant notamment du droit de la presse (loi du 29 juillet 1881 sur la liberté de la presse). V. spéc. B. Beignier (ss dir.), Traité de droit de la presse et des médias, LexisNexis, 2009 ; E. Dreyer, Responsabilités civile et pénale des médias, Presse, Télévision, Internet, LexisNexis, 2011, 3e éd. 661. É. A. Caprioli, « Le projet de convention du Conseil de l’Europe sur la cybercriminalité », RDBF 2000, p. 107 ; P. Bourre, « Internet et la lutte contre la cybercriminalité », Gaz. Pal. 23 janv. 2003, p. 19.
de
la sécurité des systèmes d ’ information et de l ’ information
| 243
562. Parmi ces délits, il y a ceux relatifs aux atteintes aux systèmes de traitement automatisé de données (STAD ou système information) : l’intrusion et le maintien frauduleux, l’entrave au STAD, l’introduction de données et la modification, les programmes malveillants et logiciels malicieux, etc. (C. pén., art. 323-1 à 323-8). Ces infractions concernent souvent des banques ou des sociétés d’assurance dont les systèmes d’information et les données sont exposés à une multitude de risques numériques internes et externes et des fraudes en tout genre. La loi ne fournit pas de définition de ce qu’est un STAD, mais une jurisprudence fournie a apporté des précisions pour entendre la notion de façon très large. Selon la jurisprudence, cela vise tout système d’information, du plus simple tel qu’une carte à puce au plus complexe comme un système d’information662, mais sont également comprises dans la notion de STAD les communications entre plusieurs systèmes d’information ou encore entre des parties d’un même système. 563. Les textes ont par ailleurs été renforcés à plusieurs reprises afin de : – réprimer le fait de détenir pour des motifs non légitimes des outils ou moyens de piratage informatique puis de préciser les cas de détention « légitime » en visant spécifiquement la « recherche » ou la « sécurité informatique »663 ; – prévoir des peines spécifiques dans le cas du piratage de systèmes mis en œuvre par l’État et traitant des données à caractère personnel (loi sur la protection de l’identité du 27 mars 2012) ; – sanctionner indirectement le « vol » d’information avec la modification de l’article 323-3-1 du Code pénal en ajoutant l’« extraction, la détention la reproduction, la transmission » frauduleuse des données contenues dans le système d’information664 ; – augmenter le montant des amendes et peines d’emprisonnement encourues665. 564. Face aux fraudes numériques de toutes sortes, les banques et les assurances doivent vivre et continuer à se développer, on parle à ce propos de résilience666. Les risques « cyber » sont aujourd’hui en tête au palmarès. Étant donné que les 662. Cass. crim., 5 janv. 1994 : Bulletin Lamy 1996, n° 81, note Gassin ; JCP éd. E 1994, 1, 359, obs. M. Vivant et C. Le Stanc. CA Paris, 15 mars 1994 : JCP éd. E 1995, I, 461, obs. Vivant et Le Stanc. CA Paris, 5 oct. 1994 : JCP éd. E 1995, I, 461, obs. M. Vivant et C. Le Stanc ; T. corr. Limoges, 14 mars 1994, Expertises 1994, p. 238, obs. Teboul. 663. Notamment, l’article 323-3-1 du Code pénal ; loi pour la confiance dans l’économie numérique du 21 juin 2004 ; loi de programmation militaire du 18 décembre 2013. 664. Loi n° 2014-1353 du 13 novembre 2014 renforçant les dispositions relatives à la lutte contre le terrorisme, JO 14 nov. 2014. 665. Loi n° 2015-912 du 24 juillet 2015 relative au renseignement, JO 26 juill. 2015. V. O. Desaulnay et R. Ollard « Le renseignement français n’est plus hors-la-loi », Dr pénal. 2015, étude n° 17 ; R. Parizot, « Surveiller et prévenir… à quel prix ? », JCP éd. G, n° 41, 5 oct. 2015, doctr. 1077. 666. En informatique, la résilience est la capacité d’un système à continuer de fonctionner en cas de panne ou de sollicitation extrême. La juste résilience consiste à mettre en place les moyens et les ressources adaptés, sans toutefois les sur-dimensionner (source Wikipédia).
244 | B anque
et
a ssurance
digitales
attaques sont de natures très diverses, nous nous concentrerons sur quelques exemples sans entrer dans le détail de tous les scénarios. § 1 – Les directives européennes
565. L’Union européenne a pris conscience de l’importance de la lutte contre la cybercriminalité. En général, cela se traduit par l’adoption de directives que les États membres doivent transposer. La directive NIS/SRI ne sera pas abordée directement ici, car des développements lui seront consacrés à l’occasion de la présentation de la loi de programmation militaire et des notifications de failles de sécurité. A.
Directive relative aux attaques contre les systèmes d’information
566. Au niveau de l’Union européenne, on mentionnera la directive n° 2013/40/ UE du Parlement européen et du Conseil du 12 août 2013 relative aux attaques contre les systèmes d’information et remplaçant la décision-cadre n° 2005/222/ JAI du Conseil du 12 août 2013667 qui devait être transposée en France au plus tard le 4 septembre 2015. Constatant que les attaques en relation avec la cybercriminalité s’opèrent contre les États et les entreprises et qu’elles se multiplient à l’échelle planétaire, ces cyber-attaques peuvent provoquer « des dommages économiques notables, tant du fait de l’interruption des systèmes d’information et des communications qu’en raison de la perte ou l’altération d’informations confidentielles importantes d’un point de vue commercial ou d’autres données ». La directive poursuit un double objectif : d’une part, faciliter la prévention des infractions commises contre les systèmes d’information (définition des infractions et des sanctions) et, d’autre part, améliorer la coopération internationale entre les autorités judiciaires compétentes des différents États membres. Cela est d’autant plus pertinent que ces éléments faisaient déjà partie des objectifs de la convention du Conseil de l’Europe sur la cybercriminalité du 23 novembre 2001. Plus concrètement, la directive prévoit de nouvelles infractions inexistantes dans le Code pénal comme, par exemple, la sanction du contrôle à distance de réseaux zombies. Ces attaques visent « à établir un contrôle à distance d’un nombre significatif d’ordinateurs ou de serveurs en les infectant d’un logiciel espion par le biais de cyber-attaques ciblées. Dans ce sens, en application de l’article 9.3, les atteintes à l’intégrité des données et des systèmes informatiques doivent être sanctionnées plus sévèrement (peine maximale d’au moins 3 ans d’emprisonnement) dès lors qu’elles “sont commises de manière intentionnelle et qu’un nombre important de systèmes d’information est atteint (…)” »668. Le texte se fonde sur un préjudice grave, qui s’entend « comme le fait d’arrêter des services de réseau présentant un intérêt public important, ou de causer des coûts financiers majeurs ou la perte de données à 667. Directive n° 2013/40/UE du Parlement européen et du Conseil du 12 août 2013 relative aux attaques contre les systèmes d’information et remplaçant la décision-cadre n° 2005/222/JAI du Conseil, JOUE n° L. 218, 14 août 2013. 668. Com. com. électr. 2013, comm. 120, note É. A. Caprioli.
de
la sécurité des systèmes d ’ information et de l ’ information
| 245
caractère personnel ou d’informations sensibles ». D’après l’article 9.4, la peine maximale d’emprisonnement pour des attaques causant un préjudice grave, des attaques contre des infrastructures critiques (« Opérateurs d’importance vitale » ‒ OIV), telles que les banques et si l’attaque vient d’une organisation criminelle, la peine prévue est de 5 ans minimum. B.
La directive sur le secret des affaires669
567. Le secret des affaires constitue une pierre importante à l’édifice de la sécurité du patrimoine informationnel des organisations et en particulier des entreprises. À certains égards, il fait partie des outils de l’intelligence économique. Les fondements juridiques des actions judiciaires restaient inadaptés et parcellaires : concurrence déloyale, vol d’informations, secret de fabrique (applicable uniquement aux salariés), droits de propriété intellectuelle, abus de confiance, etc. D’où l’idée de créer un délit spécifique. Avec cette directive, la France sera tenue de prévoir de nouvelles mesures conformes à ce texte très important. On signalera que les USA viennent également d’adopter sur le sujet un « Defend Trade Secrets Act » daté du 11 mai 2016. 568. La directive n° 2016/943 du 8 juin 2016 « sur la protection des savoirfaire et des informations commerciales non divulgués (secrets d’affaires) contre l’obtention et la divulgation illicites »670 doit être transposée dans les deux ans. Ce texte fixe à la fois des règles communes pour la protection des secrets d’affaires qu’il entend harmoniser et des sanctions (civiles et le cas échéant, au choix de l’État membre, pénales) en cas de divulgation illégale de ces secrets. Elle respecte les droits et libertés fondamentaux tels que la liberté d’expression, la sécurité publique ou encore la divulgation d’une activité illicite dans un but d’intérêt public général, en d’autres termes, la délicate et controversée question des lanceurs d’alerte et des journalistes. 569. L’article 2 de la directive impose la réunion de 3 critères cumulés pour que les informations puissent être qualifiées de secret des affaires et bénéficier de la protection y afférente. La définition reste d’un maniement complexe et aux résultats pratiques incertains : « elles sont secrètes en ce sens que, dans leur globalité ou dans la configuration et l’assemblage exacts de leurs éléments, elles ne sont pas généralement connues des personnes appartenant aux milieux qui s’occupent normalement du genre d’informations en question, ou ne leur sont pas aisément accessibles, elles ont une valeur commerciale parce qu’elles sont secrètes, elles ont fait l’objet, de la part de la personne qui en a le contrôle de façon licite, de dispositions raisonnables, compte tenu des circonstances, destinées à les garder secrètes ». Nonobstant les informations relatives à des comportements licites, constitueraient également, selon cette définition, des secrets des affaires, les informations relatives à de la corruption, au financement 669. Sur le sujet, v. spéc. : S. Marcellin et T. du Manoir de Juaye, Le secret des affaires, LexisNexis, 2016. 670. JOUE n° L. 157, 15 juin 2016, p. 1.
246 | B anque
et
a ssurance
digitales
du terrorisme, au commerce de biens illicites (drogues, produits dopants ou médicaments toxiques) ou encore en relation avec l’espionnage industriel ou numérique. Or, pour pallier le risque de voir étouffer les secrets relatifs à ce type d’information, la directive dispose d’un article 5, intitulé « Dérogations ». Cet article envisage 4 hypothèses où la démarche des lanceurs d’alerte sera considérée comme légitime. Par exemple que les demandes ayant pour objet l’application des mesures, procédures et réparations doivent être rejetées lorsque l’obtention, la divulgation, l’utilisation ou la divulgation alléguée du secret d’affaires doit permettre : a) d’exercer le droit à la liberté d’expression et d’information et/ou ; b) de révéler une faute professionnelle ou une autre faute ou une activité illégale dès lors que le défendeur a agi dans le but de protéger l’intérêt public général. 570. Il est fondamental de souligner que les entreprises doivent prendre des « dispositions raisonnables (…) destinées à les [informations] garder secrètes » telles que prévues à l’article 2 afin de protéger leurs informations confidentielles, à défaut, elles ne bénéficieront d’aucune protection. Ainsi, pour protéger les informations commerciales et autres savoirs faires, l’entreprise devra intégrer ces dispositions dans le cadre de sa politique de confidentialité des informations. Cela aura des incidences sur la classification des informations, leur marquage et leur traçabilité. Il sera nécessaire de prévoir la préconstitution de preuves des secrets en réalisant par exemple des dépôts réguliers des éléments que l’entreprise entend protéger par ces secrets, en procédant au marquage des documents, etc. § 2 – De quelques délits applicables aux systèmes d’information
571. Parmi les délits que le droit français réprime671 nous prendrons le parti de n’en envisager que certains672, par exemple, on ne parlera pas des introductions frauduleuses et autres (article 323-1 et suivants du Code pénal) pour aborder successivement : le « phishing » (A), l’usurpation d’identité (B), la fraude au président (C), les fuites d’informations (D), le « Ransomware » (E) et les vols de données (F).
671. M. Quéméner, Cybercriminalité et domaine bancaire, Banque & Droit, hors-série, juin 2013, spéc. p. 71 s. 672. Ainsi, par exemple, ne seront pas analyser les aspects relatifs à la fraude à la carte bancaire et où la preuve de la négligence de l’utilisateur d’un service de paiement incombe à la banque, c’est-à-dire la preuve du caractère intentionnel, par imprudence ou par négligence grave. La banque faisait état d’une négligence du titulaire qui aurait communiqué ses identifiants lors d’un phishing, v. Cass. com. 18 janvier 2017, Com. com. électr 2017, comm. 33, note G. Loiseau et comm. 39, note É. A. Caprioli. V. égal. : Cass. com., 2 oct. 2007, Bull. civ. 2007, IV, n° 208 ; Com. com. électr. 2007, comm. 139, note É. A. Caprioli ; RTD com. 2007, p. 813, obs. D. Legeais ; Banque & Droit janv.-févr. 2008, p. 22, obs. Th. Bonneau.
de A.
la sécurité des systèmes d ’ information et de l ’ information
| 247
Phishing
572. Officiellement francisé sous l’expression de « filoutage » ou encore d’« hameçonnage » par la Commission générale de terminologie et de néologie de la langue française673, le phishing a été défini à cette occasion comme une « technique de fraude visant à obtenir des informations confidentielles, telles que des mots de passe ou des numéros de carte de crédit, au moyen de messages ou de sites usurpant l’identité d’institutions financières ou d’entreprises commerciales ». Pour compléter cette définition, on observera avec l’ANSSI que c’est : un « vol d’identités ou d’informations confidentielles (codes d’accès, coordonnées bancaires) par subterfuge : un système d’authentification est simulé par un utilisateur malveillant, qui essaie alors de convaincre des usagers de l’utiliser et de communiquer des informations confidentielles, comme s’il s’agissait d’un système légitime. Remarque : Les sites sont reproduits, après avoir été aspirés. L’utilisateur est souvent invité à visiter le site frauduleux par un courrier électronique 674 ». D’après la société de sécurité Symantec, le nombre de campagnes d’hameçonnage ciblant les employés a augmenté de 55 %. Les attaquants jouent la carte de la patience avec les grandes entreprises675. 573. En pratique, dans le cadre d’une attaque par phishing676, les fraudeurs vont contrefaire un site Internet, spécialement celui d’une banque ou d’un commerçant en ligne et envoyer un message électronique alarmiste (ex. : alerte de sécurité, remboursement en faveur de l’internaute ou vérification des codes d’authentification) à un grand nombre de personnes en leur mentionnant qu’ils doivent d’urgence se connecter à l’adresse URL du lien figurant dans le courrier. Cela peut aussi se traduire par la demande de téléchargement d’un logiciel de sécurité. Dans tous les cas, les phishers se font passer pour un émetteur légitime de ce type de message par exemple, une banque, un éditeur de logiciels antivirus ou de système d’exploitation, un service de l’État (CAF ou impôts). Fondé sur la probabilité qu’une ou plusieurs personnes sont clientes de l’opérateur dont l’identité est usurpée parmi le vaste échantillon de population ciblé ou sur une population précise. Dans ce dernier cas, on parlera alors de « spear phishing », l’objectif étant de conduire le destinataire à cliquer sur le lien présent dans le message ou à installer un logiciel malveillant sur son poste de travail (ex. : un « key logger »). De la sorte, dès qu’il aura cliqué sur le lien, le client sera conduit sur un faux site où lui seront demandées des informations personnelles, le plus souvent à caractère financier. Elles seront utilisées par les phishers pour réaliser des virements avec des informations exactes. Dans certaines hypothèses, les
673. JO 12 févr. 2006. 674. www.ssi.gouv.fr/entreprise/glossaire/h/ 675. Symantec, Internet Security Threat Report 2016, vol. 21 : https://www.symantec.com/fr/fr/ secIurity_response/publications/threatreport.jsp 676. V. la fiche pratique de la DGCCRF, 9 avr. 2015 : http://www.economie.gouv.fr/dgccrf/ Publications/Vie-pratique/Fiches-pratiques/Phishing-hameconnage-ou-filoutage
248 | B anque
et
a ssurance
digitales
fraudeurs utilisent des comptes détenus par des tiers (des « mules ») qui, servent à faire transiter l’argent via leurs comptes. 574. Le phishing n’est pas juridiquement réprimé par un texte spécifique, mais il pourrait être sanctionné indirectement sur la base des fondements suivants : – les atteintes aux Systèmes de traitement automatisé de données (STAD) (articles 323-1 et suivants du Code pénal) ; – la collecte frauduleuse de données à caractère personnel (article 226-18 du Code pénal) ; – la contrefaçon des droits intellectuels figurant sur un site (marque, logos, pages Web, charte graphique, etc.) sanctionnée par le Code de la propriété intellectuelle ; – la prospection directe effectuée par courrier électronique non autorisé (spamming) telle que visée par l’article L. 34-5 du Code des Postes et des communications électroniques et réprimée à l’article R. 10-1 du Code des Postes et des communications électroniques, qui renvoie lui-même à l’article 226-18 du Code pénal ; – l’escroquerie et sa tentative (articles 313-1 à 313-3 du Code pénal) ; – l’usurpation d’identité (article 226-4-1 du Code pénal). 575. Un jugement du 21 septembre 2005 du Tribunal de grande instance de Paris est venu indirectement condamner la pratique du phishing sur le fondement de la contrefaçon. Un étudiant avait créé une copie servile – « rudimentaire » selon les termes du jugement – de la page d’enregistrement MSN ‒ Microsoft Network. Ce dernier souhaitait récupérer les données à caractère personnel de certains utilisateurs « harponnés » par des messages du délinquant sur des forums de discussion promouvant l’adresse de son site. Les victimes croyant se retrouver sur le vrai site MSN avaient alors été invitées à saisir leur identifiant et mot de passe. Se fondant sur la détention et l’usage illicites de la marque Microsoft, la reproduction et la diffusion non autorisées de la page d’enregistrement du site MSN Hotmail, le tribunal a condamné l’auteur de ce dispositif pour contrefaçon à 500 euros d’amende avec sursis. Les sanctions prononcées étaient faibles eu égard à la jeunesse du prévenu (20 ans) et à l’absence présumée de collecte illicite de données à caractère personnel677. 576. Un prévenu et son complice avaient tenté de commettre des escroqueries au préjudice de différentes banques en reproduisant, sur un site créé par le prévenu, leurs pages d’accueil afin de faire virer des sommes des comptes clients vers le compte du prévenu ou de son complice. La tentative avait échoué en raison de la vigilance des banques et du blocage du système. Le prévenu avait également accédé frauduleusement aux systèmes de traitement automatisé 677. TGI Paris, 21 sept. 2005, 31e ch., Microsoft Corporation c/ Robin B. : www.legalis.net ; Com. com. électr. 2006, comm. 37, note É. A. Caprioli.
de
la sécurité des systèmes d ’ information et de l ’ information
| 249
(STAD) d’une des banques et avait modifié des données contenues dans ce système, en ajoutant des relevés d’identité bancaire sur certains comptes et en modifiant le plafond de certains virements. 577. Le tribunal a déclaré le prévenu coupable de tentative d’escroquerie, de modification de données résultant d’un accès frauduleux à un STAD et d’accès frauduleux au même STAD et l’a condamné à de lourds dommages-intérêts (8 500 euros) pour avoir usurpé l’identité d’une grande banque française, ainsi qu’à un an d’emprisonnement avec sursis678. 578. Ainsi, le phishing constitue une menace au développement des services en ligne et des services financiers à distance. Certains organismes ont mis en place des recommandations ou des guides eu égard aux risques encourus pour les internautes. À titre d’exemple, nous retiendrons les initiatives de l’Observatoire de la cyber-consommation du Forum des droits sur l’Internet de janvier 2005679, ou encore l’initiative de la CNIL de novembre 2005 dans le cadre de l’opération « Audit de la banque en ligne – règles de bonnes pratiques pour les internautes et les professionnels » (disponible à l’adresse : http://www.cnil.fr). Il est également possible de signaler l’abus aux autorités sur la plateforme « pharos » (plateforme d’harmonisation, d’analyse de recoupement et d’orientation des signalements) à l’adresse suivante : www.internet-signalement.gouv.fr. Le traitement de ce signalement est réalisé par l’Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication (OCLCTIC). B.
Usurpation d’identité
579. Les activités bancaires et financières supposent l’anticipation de nombreux risques numériques : accès frauduleux aux services, mais aussi de plus en plus souvent des usurpations d’identité. On peut estimer à la suite d’un auteur que « l’identité susceptible d’être usurpée peut être celle qu’un individu a voulu se forger sur les réseaux de communication par l’intermédiaire d’un pseudonyme autant que celle dont il a hérité à sa naissance par l’état civil. Aussi, les conséquences indésirables de l’usurpation d’identité peuvent se faire sentir en ligne exclusivement, uniquement dans le monde physique ou bien conjointement en ligne et dans le monde physique »680.
678. TGI Paris, 13e ch., 2 sept. 2004, minist. public, Crédit Lyonnais et Caisse nationale du Crédit Agricole c/ Radhouan M. et autres, http://www.foruminternet.org/documents/jurisprudence/ lire.phtml?id=873. 679. V. le rapport de l’Observatoire de la cyber-consommation, « Les paiements sur l’Internet », 19 mai 2005, disponible sur : http://www.ladocumentationfrancaise.fr/var/storage/rapportspublics/054000319.pdf 680. V. avec intérêt, notamment pour les aspects de droit comparé : R. V. Gola, « Usurpation d’identité sur l’Internet : aspects de droit pénal comparé », RLDI, oct. 2016.
250 | B anque
1.
et
a ssurance
digitales
L’infraction
580. Face au développement d’un nouveau type d’infraction, non réprimé en droit français, selon le ministre de l’Intérieur « l’adaptation du droit passera aussi par la création de nouvelles formes d’incrimination. Il est aujourd’hui possible d’utiliser à des fins malveillantes l’identité d’une personne physique ou morale sur Internet pour ouvrir des comptes de messagerie, pour accéder à un site, pour créer un site, pour envoyer des spams. Je veux que l’usurpation d’identité sur Internet soit punie par la loi comme un délit, passible d’un an d’emprisonnement et de 15 000 euros d’amende »681. 581. Ainsi, faute de disposer d’un délit adapté à ce nouveau fléau, le délit d’usurpation d’identité a été intégré dans le Code pénal avec la création de l’article 226-4-1682. Cet article du Code pénal dispose : « le fait d’usurper l’identité d’un tiers ou de faire usage d’une ou plusieurs données de toute nature permettant de l’identifier en vue de troubler sa tranquillité ou celle d’autrui, ou de porter atteinte à son honneur ou à sa considération, est puni d’un an d’emprisonnement et de 15 000 euros d’amende. Cette infraction est punie des mêmes peines lorsqu’elle est commise sur un réseau de communication au public en ligne683 ». 582. La circulaire émise pour présenter certaines dispositions de la loi a proposé une liste – non exhaustive – de ces « données de toute nature » parmi lesquelles : le pseudonyme, le numéro de Sécurité sociale, le numéro de téléphone, l’adresse électronique ou encore le numéro de compte bancaire684. 2.
Applications jurisprudentielles
583. La jurisprudence récente illustre l’application de ce texte. Le 21 novembre 2014, le Tribunal correctionnel de Paris a condamné une femme à deux ans de prison avec sursis ainsi qu’à 50 000 euros de dommages et intérêts et 26 500 euros au titre des frais de justice pour avoir porté atteinte à la réputation de deux anciens compagnons et de leurs entourages personnel et professionnel respectifs. Elle avait tenu de multiples propos diffamants ou menaçants par SMS, courriers électroniques et sur les réseaux sociaux où elle avait créé des faux profils en reprenant les noms exacts ou modifiés ou encore 681. Communiqué du ministère de l’Intérieur du 14 février 2008. 682. A. Lepage, « Le délit d’usurpation d’identité : questions d’interprétation », JCP éd. G 2011, 913 ; F. Mattatia, « L’usurpation d’identité sur Internet dans tous ses états », Rev. sc. crim. 2014, v. p. 331. 683. Loi n° 2011-267 du 14 mars 2011 d’orientation et de programmation pour la performance de la sécurité intérieure, JO 15 mars 2011, p. 4582. Sur ce délit, v. M. Quéméner, Établissements financiers et cyberfraudes, RB Édition, 2011. 684. Circ. n° JUSD1121169C, 28 juill. 2011, relative à la présentation des dispositions de droit pénal général et de procédure pénale de la loi n° 2011-267 du 14 mars 2011 d’orientation et de programmation pour la performance de la sécurité intérieure : BO Justice, 31 août 2011.
de
la sécurité des systèmes d ’ information et de l ’ information
| 251
le pseudonyme de la victime, de son associée et de leur entreprise et leur photo ainsi qu’en publiant des propos injurieux. Ayant reconnu partiellement les faits, elle a été condamnée pour violence (article 222-11 et suivants du Code pénal), appels téléphoniques malveillants (article 226-16 du Code pénal) et usurpation d’identité (article 226-4-1 du Code pénal). Le tribunal accorde notamment 20 000 euros de dommages et intérêts pour préjudice moral à l’entreprise de la victime au motif que la société a été victime « d’une usurpation d’identité en vue de porter atteinte à son honneur ou à sa considération en utilisant un réseau de communication au public en ligne » et qu’une « telle infraction cause un préjudice particulièrement grave à cette société, les termes utilisés mettant en cause son sérieux et sa probité »685. 584. Le Tribunal correctionnel de Paris a condamné le 18 décembre 2014 un prévenu à une amende de 3 000 euros pour usurpation d’identité et introduction frauduleuse de données. Profitant d’une faille de sécurité sur le site Internet officiel d’une personne publique, le prévenu avait créé un faux site similaire au site officiel qui permettait aux internautes de publier au nom de cette dernière des communiqués au contenu diffamatoire et injurieux. Sur l’usurpation d’identité, le Tribunal avait retenu que les éléments du faux site (nom, photo, charte graphique, etc.) ne pouvaient que conduire l’internaute à opérer une confusion avec le site officiel. En outre, le prévenu avait permis de multiplier les possibilités de visionnage du site « d’une façon exponentielle » en l’adressant à 4 000 contacts sur Twitter qui avaient pu faire de même686. 585. Une jeune femme, fille d’un homme qui était la cible réelle de l’auteur de l’infraction, a été victime d’une usurpation d’identité de ses nom et prénom pour constituer le nom de domaine d’un site Internet. Selon l’arrêt du 12 août 2016 rendu par le TGI de Paris, « la mise en ligne du site “www…fr”, (…) est constitutive du délit défini à l’article 226-4-1 du Code pénal, en ce que ce site – créé sous les noms et prénom de Madame Y. et exploitant différents clichés qui la représentent pour illustrer, en les détournant de leur contexte de fixation, une mise en scène infamante de sa personnalité et de celle de son père – a pour objet, à l’évidence, de nuire à la requérante en salissant sa réputation sur Internet et en exploitant la calomnie ainsi jetée publiquement sur elle pour satisfaire la vindicte de Monsieur Z. contre son père ». En outre, les adresses mail et postale de la jeune femme et de son père avaient été divulguées. Le tribunal lui a donné gain de cause sur le fondement de l’usurpation d’identité, mais il a rejeté le fondement du harcèlement. Il convient de retenir que « la mise en ligne de ce site est donc constitutive d’une atteinte manifestement illicite aux droits de la personnalité de la demanderesse ». La suppression complète et définitive du site Internet en cause a été ordonnée. La sanction prononcée est de 8 000 euros de dommages
685. TGI Paris, 24e ch. corr. 1, 21 nov. 2014, n° 10183000010 et n° 13311000700 ; Com. com. électr. 2015, comm. 85, É. A. Caprioli. 686. TGI Paris, 13e ch. corr., 18 déc. 2014, n° 12010064012 : Juris-Data n° 2014-032729 ; Com. com. électr. 2015, comm. 37, note É. A. Caprioli.
252 | B anque
et
a ssurance
digitales
et intérêts en réparation de l’usurpation d’identité et de 3 000 euros au titre de l’article 700 du Code de procédure civile687. 586. Dans un arrêt de la Cour d’appel de Paris du 10 octobre 2014, l’usurpation d’identité d’un dirigeant d’entreprise a été reconnue. Le prévenu, son ancien associé, avait créé des fausses adresses e-mails, de faux profils Facebook688 et de fausses annonces dans le but de nuire au dirigeant d’entreprise à la suite d’un différend commercial. Le prévenu avait commencé par utiliser la messagerie électronique auquel il avait « normalement accès » et dont il avait ensuite modifié les paramètres d’accès. Par la suite, il avait créé à partir de ses coordonnées de fausses adresses de messageries électroniques ainsi que des faux profils Facebook sur lesquels il avait publié des propos diffamatoires et insultants. Par ailleurs, il avait passé de fausses annonces sur des sites de rencontres et des sites de vente entre particuliers. Le prévenu est condamné à dix mois d’emprisonnement et 30 000 € de dommages et intérêts. La partie civile avait établi « la réalité du préjudice économique, découlant directement de la commission de l’infraction » en rapportant la preuve de la perte de clients et un refus d’embauche du fait des photos et informations sur des sites Internet véhiculant une image très négative d’elle689. 587. Si l’établissement financier peut donc, en tant que personne morale, invoquer une usurpation d’identité à l’égard de toute personne qui reproduirait son site (dans une optique de « phishing » par exemple)690, il doit également prévoir les mesures permettant d’identifier les clients en vertu de ses obligations sur la connaissance client (Know Your Customer). Il s’agit d’un préalable nécessaire pour tous ceux qui entendent signer par voie électronique en agence, chez le client ou dans les contrats à distance. La vérification de l’identité, ou des identifiants si le client est déjà connu, est indispensable. Il en va de même de leur enregistrement et de l’inscription de leurs nom et prénom dans le certificat d’identification électronique qu’il soit standard (utilisable à plusieurs reprises pendant une durée d’un, deux ou trois ans) ou à usage unique. Au final, ce qu’il importe c’est de pouvoir vérifier la signature du contrat. La phase d’authentification des clients et des prospects est une étape cruciale et indispensable à toutes les opérations de banques et d’assurance digitales (v. partie I, chapitre II).
687. La décision est disponible sur le site : www.legalis.net 688. L’usurpation d’identité par la création de faux profils sur des réseaux sociaux peut être sanctionnée sur le fondement de l’atteinte à la vie privée et du droit à l’image (TGI Paris, 17e ch. civ., 24 nov. 2010, Com. com. électr. 2011, comm. 28, note A. Lepage). 689. CA Paris, 10 oct. 2014, n° 13/7387 ; Com. com. électr. 2015, comm. 9, note É. A. Caprioli. 690. L’application de l’article 226-4-1 du Code pénal au bénéfice des personnes morales victimes d’usurpation d’identité nous semble particulièrement nécessaire. Or, cet article est positionné au sein du Code pénal dans un titre relatif aux atteintes à la personne humaine.
de C.
la sécurité des systèmes d ’ information et de l ’ information
| 253
Fraude aux « faux ordres de virement internationaux » (FOVI)
588. Les « faux ordres de virement internationaux » se multiplient dans la vie des affaires et causent des pertes financières importantes qui, en 2014, étaient estimées à 300 millions d’euros691. Également appelé « fraude au Président », son mécanisme repose sur une usurpation d’identité. Le fraudeur se fait passer pour une personne haut placée (dirigeant de l’entreprise, directeur financier, etc.) ou pour un prestataire connu auprès d’un salarié de l’entreprise et sollicite de sa part la réalisation d’un ordre de virement. Les fonds sont en général destinés à un pays étranger, la demande doit être traitée en urgence et il est indiqué au salarié que l’opération est très confidentielle. Pour parvenir à ses fins, le fraudeur s’est au préalable renseigné de façon approfondie sur le fonctionnement de l’entreprise. Le fraudeur peut ainsi cibler les bons interlocuteurs et crédibiliser sa demande. Les chances de voir les plaintes pour escroquerie ou usurpation d’identité aboutir étant faibles ‒ les fraudeurs étant souvent basés à l’étranger ‒ la responsabilité de la banque est de plus en plus recherchée par les entreprises soucieuses d’obtenir le remboursement des sommes détournées. 1.
La responsabilité de la banque
589. Un virement réalisé à la suite de manœuvres frauduleuses peut être considéré comme dépourvu de consentement à l’opération et donc non autorisé (CMF, art. L. 133-7). L’établissement financier a alors l’obligation de rembourser ses clients si l’opération est signalée dans les treize mois suivant la date de débit, ce délai pouvant être contractuellement fixé pour les professionnels (CMF, art. L. 133-18 et L. 133-24). Cette obligation trouve également son fondement dans le contrat de dépôt, l’article 1937 du Code civil prévoyant que la dépositaire (la banque) ne doit restituer la chose déposée (les fonds) qu’à celui qui la lui a confiée (le client) ou à celui qui a été indiqué pour le recevoir (le bénéficiaire effectif d’un virement). 590. Ainsi, les juridictions ont-elles pu considérer que « l’exécution d’un ordre de virement qui n’émane pas du titulaire du compte engage la responsabilité de la banque indépendamment même de toute faute dans l’exécution de ses obligations contractuelles et légales »692. 591. Un virement réalisé à la suite de manœuvres frauduleuses peut également révéler une négligence de la banque au regard de son obligation générale de vigilance. Cette obligation impose de détecter toute « anomalie apparente » dans le cadre de l’exécution des ordres de paiement. Fondée sur la responsabilité civile693, elle ne doit pas être confondue avec l’obligation de vigilance prévue aux 691. Chiffres du ministère de l’Intérieur au 15 décembre 2014, « L’arnaque au président ou escroquerie aux faux ordres de virement (FOVI) » : http://www.police-nationale.interieur. gouv.fr/ 692. CA Paris, pôle 5, ch. 6, 19 févr. 2015, n° 13/21614 : Juris-Data n° 2015-003669. 693. Cass. com., 28 avr. 2004, n° 02-15.054 : Juris-Data n° 2004-023445 ; Bull. civ. IV, 2004, n° 72.
254 | B anque
et
a ssurance
digitales
articles L. 561-5 et suivants du Code monétaire et financier, qui visent la détection de transactions portant sur le blanchiment de capitaux (v. partie I, chapitre III, section I) et dont les manquements ne peuvent être sanctionnés que par les autorités de contrôle. L’« anomalie apparente » peut être considérée comme une notion floue dans le cadre d’une fraude : comment la détecter lorsque des manœuvres frauduleuses ont été élaborées afin de rendre une apparence de normalité à une opération qui ne l’est pas ? La situation s’apprécie dans son ensemble. 592. Un jugement du Tribunal de commerce de Paris du 30 octobre 2014 a retenu la négligence de la banque à la suite de virements frauduleux réalisés dans une entreprise. Un fraudeur s’était fait passer, au moyen d’un courrier électronique, pour la dirigeante de l’entreprise auprès d’une responsable administrative en utilisant une adresse électronique contenant le nom et le prénom de la directrice. Il lui avait demandé de passer des ordres de virement dans le cadre d’une offre publique d’achat d’une société basée à Chypre « strictement confidentielle ». La banque rejetait le premier ordre de virement de la salariée qui n’était pas revêtu de la signature de la dirigeante qui avait le pouvoir pour effectuer ce type d’acte. La salariée adressait alors à la banque un ordre rectificatif qui avait été communiqué par le fraudeur contenant le nom de la directrice et une signature manuscrite. Ce virement était validé par la banque après un contreappel téléphonique réalisé auprès de la salariée. Dans cette décision, le tribunal retenait la responsabilité de la banque en considérant qu’elle avait commis une faute en faisant preuve de négligence, de légèreté et de manque de vigilance (absence de comparaison de la signature de l’ordre avec celle figurant dans le dossier client, validation par téléphone auprès de la salariée qui n’avait pas de pouvoir en ce sens, montant inhabituellement élevé au bénéfice d’une société étrangère ne faisant pas partie des clients habituels de la société)694. 593. Un arrêt de la Cour d’appel de Paris du 19 février 2015, portant sur un virement effectué par téléphone et confirmé par fax, constitue un bon exemple des points de vigilance que la banque doit avoir : les erreurs sur l’adresse du titulaire du compte, la signature « foncée et entourée de plusieurs petits points n’apparaissent pas sur le reste du document, laissant penser à une technique de reproduction par scanner », le numéro incomplet du compte à débiter et ne comportant pas l’identification bancaire par l’IBAN, l’absence de preuve de vérifications lors des appels de l’identité du correspondant, l’absence d’appel au numéro de téléphone déclaré par le client, l’existence de deux virements d’un montant anormalement élevé 695. La fraude ne signifie pas forcément qu’il y a un défaut de vigilance de la banque mais elle peut être l’occasion de révéler d’autres manquements, comme les lacunes des services de la banque en matière de sécurité. 694. T. com. Paris, 6e ch., 30 oct. 2014, n° 2013075398, SAS Etna Industrie c/ CIC ; RDBF 2015, comm. 112, F.-J. Crédot et T. Samin, v. p. 36-38. 695. CA Paris, pôle 5, ch. 6, 19 févr. 2015, n° 13/21614.
de
la sécurité des systèmes d ’ information et de l ’ information
| 255
594. Dans un jugement du Tribunal de commerce de Paris du 9 avril 2015, les juges ont rejeté partiellement la demande d’un client de faire condamner BNP Paribas au remboursement de deux virements réalisés par la comptable de l’entreprise à partir du service de virement électronique. BNP Paribas avait mis en place une solution de virement baptisée NETCASH : le virement était effectué sur Internet et validé par un fax de confirmation du client. Lors d’une réunion entre BNP Paribas et le chef comptable d’une société, ce dernier avait évoqué le non-fonctionnement du service pour des virements hors Union européenne. Un e-mail du même jour confirmait au client qu’il serait recontacté pour trouver une solution. Cinq jours plus tard, une personne se présentant comme un salarié de BNP Paribas contactait par téléphone la comptable de l’entreprise pour résoudre le problème. Afin de tester l’efficacité de l’intervention, deux virements étaient réalisés à destination des États-Unis et de Chypre. La société était ensuite recréditée des sommes correspondantes. Quelques jours plus tard, deux nouveaux virements sont ordonnés par la comptable toujours à la demande de l’escroc. Ces virements ne seront jamais remboursés. Le Tribunal a considéré que la banque n’avait pas commis de faute en exécutant les virements puisqu’ils ont été ordonnés par Internet dans le cadre d’une procédure sécurisée et confirmés par fax : l’examen du fax ne constitue qu’un simple contrôle et le client ne peut se prévaloir des défauts affectant le fax pour contester les virements. En revanche, les juges ont considéré que « le recours au service télématique s’est avéré totalement inadapté » et que « BNP a donc concouru par sa négligence et des conseils inappropriés au préjudice de son client ». La banque est ainsi condamnée au remboursement du 3e virement. Le 4e reste à la charge du client en raison de ses propres imprudences (notamment le fait d’avoir ordonné le 4e virement sans que le 3e ait été préalablement remboursé)696. 595. L’établissement financier pourra s’exonérer de sa responsabilité en prouvant notamment la négligence du client. À titre d’exemple, pour les moyens de paiement revêtus de « dispositif de sécurité personnalisé »697, le client a pour obligation de prendre « toute mesure raisonnable » pour en préserver la sécurité (articles L. 133-4 et L. 133-15 du CMF). Dans le cas du virement en ligne, la négligence pourrait être reconnue à l’encontre du titulaire du compte lorsqu’il laisse à l’évidence ses identifiants à proximité de son ordinateur, dans son smartphone ou encore lorsqu’ils sont connus par des personnes non habilitées pour ce type d’opération. Toutefois, il reviendra à la banque de rapporter la preuve de la négligence du client dans la protection de ses identifiants.
696. T. com. Paris, 9 avr. 2015, n° 2014004916, SAS Swarowski France c/ SA BNP Paribas : Juris-Data n° 2015-024600 ; RDBF 2015, comm. 112, F.-J. Crédot et T. Samin ; Com. com. électr. 2015, comm. 102, v. p. 38 à 42, obs. É. A. Caprioli. 697. Ce dispositif s’entend « de tout moyen technique affecté par un prestataire de services de paiement à un utilisateur donné pour l’utilisation d’un instrument de paiement. Ce dispositif, propre à l’utilisateur de services de paiement et placé sous sa garde, vise à l’authentifier ».
256 | B anque
et
a ssurance
digitales
596. La Cour d’appel de Paris a jugé qu’une banque qui réalise un virement de 240 000 euros sans en avoir reçu l’ordre est responsable de plein droit et, à ce titre, elle doit rembourser son client des montants débités. En application de l’article 1937 du Code civil, l’exécution des faux ordres de virement n’est pas un paiement valable dès lors que les fonds ont été adressés à une personne qui n’avait pas le pouvoir de les recevoir. La banque n’avait pas été en mesure de rapporter la preuve que l’ordre de virement émanait du client, personne avec laquelle elle avait été en communication téléphonique. Le numéro de téléphone qu’elle avait appelé en Angleterre ne correspondait pas à celui dont la banque disposait. En tant que dépositaire des fonds, la banque a l’obligation de restituer les fonds698. 597. Le 2 octobre 2014, la Cour d’appel de Chambéry a rejeté la demande d’indemnisation formée par le client d’une banque qui estimait que cette dernière avait commis une faute en autorisant l’émission à partir de ses comptes bancaires de 3 virements prétendument frauduleux. Selon la cour d’appel, la banque n’a commis aucune faute dans la mesure où « l’authenticité des virements ne peut être démontrée que par l’utilisation combinée du code confidentiel et du numéro d’identifiant que seul le client détient » et où le contrat rappelle au client « qu’il doit veiller particulièrement à la conservation confidentielle de son code d’accès ». La cour d’appel souligne que le contrat stipulait que « toutes les opérations effectuées avec le code d’accès sont réputées avoir été effectuées par le client et/ou avec son consentement » et que les éléments en sa possession, y compris ceux des investigations pénales, ne permettent pas d’imputer une faute à la banque699. 2.
La sécurisation de l’accès
598. La sécurité apparaît comme un élément essentiel du point de vue de l’établissement financier sur qui pèse la charge de la preuve en cas de contestation de l’opération de paiement (CMF, art. L. 133-23). 599. Afin de prévenir, les risques associés à ces pratiques délictueuses, la Fédération des banques françaises ainsi que le MEDEF avec l’Office central pour la répression de la grande délinquance financière (OCRGDF) de la Police judiciaire ont publié en janvier 2015 un guide sur « les ordres de virements avec neuf réflexes de sécurité » et un livret de conseils intitulé, « Prévention des risques de fraudes aux entreprises »700. Il reste aux entreprises et aux banques à sensibiliser leurs personnels en ce sens et à durcir leurs procédures de contrôle des ordres de virements et de communication avec les clients. 698. CA Paris, Pôle 5, 6e ch., 18 déc. 2014, Juris-Data n° 2014-032119, LEDB 2015, n° 2, Note R. Routier ; RDBF 2015, comm. 112, F.-J. Crédot et T. Samin, v. p. 37. 699. CA Chambéry, 2e ch., 2 oct. 2014, n° 13/02403. 700. https://www.creditmutuel.fr/bcmne/fr/banques/telechargements/guide-securite-fraudeordres-virement.pdf ; http://www.idfo-tic.com/wp-content/uploads/2015/08/DAEJ-n%C2%B0087-du-04-aout-2015_Pr%C3%A9vention-de-risques-de-fraudes-aux-entreprises_Annexe_ OCRGDF.pdf.
de
la sécurité des systèmes d ’ information et de l ’ information
| 257
600. Afin de pouvoir lutter efficacement contre tout type de fraude, il semblerait important que les banques et les entreprises puissent conserver les numéros de téléphone des appels entrants et les adresses IP, spécialement lorsque ces adresses ne sont pas des données à caractère personnel701. Le futur pack de conformité pour le secteur bancaire, à l’image de ce qui existe chez les assureurs702, serait avisé d’apporter des précisions sur ces points, dans la mesure où la lutte contre la fraude devrait être abordée. D.
Les fuites d’information
601. Parmi les risques relatifs aux atteintes aux données constituant le patrimoine informationnel de l’entreprise, les fuites d’information représentent une part importante des attaques numériques. S’agissant des vols et fuites d’informations, le baromètre du Club des experts de la sécurité de l’information et du numérique (CESIN)703 indique que les entreprises interrogées estiment à 48 % avoir un risque d’exposition fort alors que seulement 28 % d’entre elles ont subi ce type d’attaque. Les atteintes peuvent être externes mais aussi internes. Afin de pallier les risques liés aux fuites d’information, les directions de la sécurité et RSSI installent des solutions dites de « Data Loss/Leak Prevention » (DLP) pour les fuites et les pertes d’informations704. 1.
« Data Loss Prevention » (DLP) : un moyen de protection des informations de l’entreprise
602. Le développement de la cybercriminalité a entraîné la prévention des fuites d’information qu’elles soient volontaires ou involontaires. Les solutions de DLP sont de nature logicielle, technique et organisationnelle. Elles visent à identifier, surveiller et protéger le patrimoine informationnel d’une entreprise ou d’une organisation, et ce peu importe que les informations soient en cours d’utilisation ou qu’elles soient archivées, stockées sur un serveur ou sur un support mobile (smartphone, ordinateur portable, tablette, clé USB)705. En pratique, les solutions de DLP se développent de plus en plus afin de prévenir les fuites internes d’informations et certaines entreprises se sont interrogées sur leur encadrement juridique.
701. CA Rennes, ch. com., 28 avr. 2015, n° 14/05708, SARL Cabinet Peterson c/ SARL Groupe Logisneuf, SARL C-Invest, SARL European Soft : Juris-Data n° 2015-020534 ; Com. com. électr. 2015, comm. 64, É. A. Caprioli. 702. Autorisation unique n° AU-039 : CNIL Délib. n° 2014-312, 17 juill. 2014 portant autorisation unique de traitements de données à caractère personnel ayant pour finalité la lutte contre la fraude à l’assurance mise en œuvre par les organismes d’assurance, de capitalisation, de réassurance, d’assistance et par les intermédiaires d’assurance : JO 31 juill. 2014. 703. http://www.cesin.fr/publications/document/display/121. 704. Dans la pratique, on retrouve les deux expressions. 705. V. le référentiel de bonnes pratiques de l’AFNOR, « Prévention et gestion de la fuite d’informations », BP Z90-001, déc. 2014.
258 | B anque
2.
et
a ssurance
digitales
Une première jurisprudence sur la pratique des DLP
603. La Cour d’appel de Paris, à l’occasion d’une décision du 12 mai 2016706, a annulé la sanction disciplinaire d’un salarié (licenciement). En contravention avec la charte informatique de son employeur (une grande banque française), ce dernier avait envoyé à partir de son poste de travail vers son e-mail personnel trois messages contenant cinq pièces jointes non chiffrées. Or, il s’agissait de documents professionnels identifiés comme étant « confidentiel ». La découverte des faits a été réalisée au moyen du dispositif de DLP. La Cour d’appel de Paris retient que le système de protection n’avait pas pour unique objet la sécurité du système d’information, mais qu’il servait également au contrôle de l’activité des salariés. 604. Selon les termes de la décision de la cour : « les systèmes de filtrage et de collecte d’information mis en place en application de l’article 4 de la charte d’utilisation des moyens de communication électronique concernent, s’agissant des messages sortants, qui sont l’objet du litige, un contrôle anti-viral, un filtrage des messages à destination d’un utilisateur ou d’un serveur manifestement hostile, ou encore des messages dont la taille est trop importante, et donc un filtrage s’exerçant en amont, et par ailleurs la collecte d’informations sur l’identification du compte de l’utilisateur, les coordonnées du destinataire ainsi que le volume, le format et la nature des pièces jointes. Il ressort des explications données par l’employeur en comité d’établissement que le système DLP ajoute à ces contrôles celui d’un “système de filtrage des méls sortants… afin de détecter d’éventuelles fuites d’informations ou données sensibles”. L’outil de sécurité du système d’information met donc en œuvre non plus seulement un contrôle anti-viral, du caractère hostile du destinataire, de la taille des messages ou encore du volume et de la nature des pièces jointes, ayant pour objet de bloquer certains messages, mais bien un contrôle de l’objet et du contenu même des messages et des pièces qui y sont jointes s’exerçant a posteriori. Il s’agit par conséquent d’un changement de finalité du contrôle caractérisant une modification substantielle du filtrage et de la collecte d’informations opérées par la (banque), nécessitant dès lors une déclaration modificative auprès de la CNIL, peu important à cet égard que l’article 4 de la charte prévoit la possibilité pour la (banque) de mettre en œuvre “plus généralement tout filtrage nécessaire pour préserver la sécurité du système d’information” ». 605. Ainsi, un tel changement nécessitait une déclaration modificative auprès de la CNIL et qu’en l’absence de cette déclaration et d’une information du comité d’entreprise, les données collectées au moyen de cet outil (le DLP) constituent des preuves illicites devant être écartées des débats. Le licenciement a été jugé sans cause réelle et sérieuse.
706. CA Paris, pôle 6, ch. 9, 12 mai 2016, n° 14/10477.
de 3.
la sécurité des systèmes d ’ information et de l ’ information
| 259
Quels enseignements retenir ?
606. Certes, si les outils de DLP ont pour but principal de protéger les informations, ils servent aussi à contrôler les salariés malveillants ou maladroits, et le cas échéant, à les sanctionner. En effet, les salariés sont susceptibles d’être les auteurs de la fuite comme c’était le cas dans cette affaire. Ceci explique pourquoi de tels systèmes de sécurité doivent faire l’objet de formalités préalables auprès de la CNIL et d’une information des instances représentatives du personnel. Il conviendra d’ajouter que leur utilisation impose de vérifier si la charte informatique l’autorise ; à défaut, une modification de la charte (annexée au règlement intérieur de l’entreprise)707 s’impose ! D’ailleurs, la charte informatique de la banque était relativement ancienne (à tout le moins avant l’introduction de solutions de DLP) et contenait des stipulations très générales et inadaptées aux moyens mis en œuvre. Pour motiver sa décision, la Cour a comparé la finalité des contrôles indiqués dans la charte informatique avec la finalité déclarée de l’outil afin de mettre en exergue le fait que la charte ne prévoyait pas la finalité de contrôle de l’activité des salariés par l’outil de DLP. De plus, dans un PV du comité d’entreprise, la banque affirmait : « il ne s’agit pas d’un outil de contrôle de l’activité des salariés. DLP est un outil de détection des fuites d’informations… ». En outre, la charte indiquait que la société peut mettre en œuvre « plus généralement tout filtrage nécessaire pour préserver la sécurité du système d’information », ce qui était très nettement insuffisant. 607. En tout état de cause, il est recommandé de réviser régulièrement la charte informatique si l’on entend assurer correctement la sécurité du patrimoine informationnel de l’entreprise et sanctionner les abus ; une révision tous les cinq ans semble une périodicité raisonnable. De plus, la mise en place d’un nouvel outil de sécurité (ex. : DLP, déchiffrement de flux https ; SOC) implique donc d’évaluer l’étendue de ses finalités ainsi que ses incidences techniques et juridiques. À défaut, l’entreprise risque de voir ses sanctions disciplinaires invalidées et ses traitements de données à caractère personnel non conformes aux règles relatives à la protection des données ! E.
Ransomware ou l’avènement de la prise d’otage numérique
608. La cybercriminalité se développe constamment que ce soit de façon quantitative ou qualitative. La société Symantec dans son rapport annuel de 2016 sur l’évolution des menaces informatiques dans le monde708 a souligné l’augmentation de plus de 36 % des logiciels malveillants par rapport à 2014 (en 10 ans, on serait passé d’environ 22 000 à 430 millions de logiciels malicieux). Cela peut aussi se traduire par du piratage de données plus ou moins sensibles comme, par exemple, Ashley Madison (site de rencontres extra-conjugales avec 37 millions d’utilisateurs concernés) en août 2015, où 9,7 gigaoctets de données piratées se sont retrouvés sur le dark Web ou le fabricant de jouets connectés 707. V. supra partie I, chapitre IV, section I - § 1. 708. https://www.symantec.com/fr/fr/security_response/publications/threatreport.jsp
260 | B anque
et
a ssurance
digitales
VTech fin 2015 où les noms, les adresses mail, les mots de passe chiffrés, la question ainsi que les réponses « secrètes », les adresses postales, mais également des photos d’enfants ou l’historique des messages envoyés à leurs parents ont été recueillis (soit 6,3 millions de profils d’enfants, dans le monde dont 1,2 million d’enfants français) sans parler des 500 millions de comptes Yahoo piratés en 2014. Paralysant le système d’information d’un hôpital aux USA en février 2016, les pirates ont réclamé une rançon de 3,4 millions de dollars en bitcoins en contrepartie du déblocage des données de ce centre médical709. Force est de constater que l’atteinte aux données médicales est largement dépassée, l’enjeu ici touchait à la sécurité des personnes. Fort heureusement, le système d’information du centre fonctionne de nouveau normalement. 609. OS Microsoft, Mac, Linux, Androïd, Apps, tous les terminaux (Ordinateurs fixes et mobiles, téléphones portables et smartphones, tablettes, IOT) et tous les systèmes sont visés par des « malwares ». Il n’en demeure pas moins que c’est bien la recrudescence des « ransomwares » qui marque cette année. Toujours selon Symantec, le nombre de ransomwares a augmenté de 35 % en 2016, dans lesquels, les cybercriminels utilisent le chiffrement pour leurs prises en otage des données des particuliers et des entreprises. Pour la France, le baromètre de la cyber-sécurité des entreprises de janvier 2016 du Club des experts de la sécurité de l’information et du numérique710 constate que 61 % des entreprises interrogées ont été victimes de demandes de rançons. On a recensé 391 000 attaques de ce type en France ! Et maintenant les ransomwares commencent à se propager sur les téléphones mobiles. 1.
Les contours du « Ransomware »
610. Le ransomware est un logiciel malveillant qui a la particularité de prendre en « otage » des données d’une entité en les chiffrant ou de bloquer l’accès à une machine à tout utilisateur. Pour déchiffrer les données avec une clé cryptographique ou disposer de l’équipement ou de la clé permettant de déverrouiller la machine, la victime doit verser une somme d’argent, qui, le plus souvent, s’effectue à l’aide de Bitcoins. En mars 2016, l’AFP a été victime de deux tentatives d’extorsion avec le ransomware Locky711 qu’elle a déjouées sans payer la rançon et en portant plainte. Mais, il convient de souligner que l’AFP avait pris des précautions en amont qui lui ont permis de recouvrer ses données (ex. : conservation des données off line). À côté de ces procédés reposant sur du chiffrement, il existe d’autres procédés apparentés, sans utilisation de produits cryptographiques qui, par exemple, orientent la victime vers des numéros gratuits mais qui sont en réalité surtaxés ou de faux techniciens supports de Microsoft qui imitent des pages d’erreurs et bloquent l’ordinateur avec une prise 709. http://www.lesechos.fr/17/02/2016/lesechos.fr/021704417085_des-hackers-prennent-enotage-le-systeme-informatique-d-un-hopital.htm 710. http://www.cesin.fr/publications/document/display/121 711. Ce malware est apparu en février 2016. V. sur ce malware le blog de Korben : http://korben. info/locky-quil-y-a-a-savoir-malware-moment.html
de
la sécurité des systèmes d ’ information et de l ’ information
| 261
de contrôle à distance par le biais de Team Viewer. Parmi les ransomwares les plus connus, on peut citer Cryptowall (actuellement la V.4.0) ou TeslaCrypt, et plus récemment Samsam qui s’attaque aux serveurs utilisant Jboss. 2.
Risques juridiques
611. Les risques juridiques sont de natures diverses. Parmi eux, on citera non seulement les pertes de données à caractère personnel, mais également la préservation de la sécurité des données à caractère personnel afin qu’elles ne soient pas déformées, endommagées ou que des tiers non autorisés y aient accès (article 34 de la loi du 6 janvier 1978) sous peine de sanctions de la CNIL (ex. : avertissement et amende) ou de sanctions pénales (article 226-17 du Code pénal : 300 000 euros d’amende et 5 ans de prison). 612. Ce risque a pris de la consistance lorsqu’un groupe de hackers a divulgué progressivement des données médicales de plus de 15 000 personnes qu’il avait piratées au laboratoire Labio car ce dernier avait refusé de payer les 20 000 euros demandés. Cependant, avec le nouveau règlement européen712, applicable à compter de mai 2018, tous les responsables de traitement des entreprises auront l’obligation de notifier les violations de données personnelles, contrairement à la loi de 1978 actuellement en vigueur qui ne vise que les fournisseurs de services de communications électroniques en vertu de l’article 34 bis, introduit suite à l’ordonnance du 24 août 2011713. Selon l’article 33 du RGPD, cette notification doit intervenir dans les 72 heures à compter de sa connaissance auprès de l’autorité de contrôle et lorsque la violation est susceptible d’engendrer un risque élevé pour les droits et libertés de la personne, la notification à la personne concernée doit s’opérer dans les meilleurs délais (article 34 du RGPD). 3.
Parades juridiques
613. Le droit n’est pas sans réponse. En effet, le Code pénal dispose d’un arsenal apte à répondre à ces menaces. À ce titre, il sera envisageable de réprimer les atteintes aux systèmes d’information visées aux articles 323-1 et 323-2 du 712. Règlement n° 2016/679/UE, règlement général sur la protection des données, JOUE n° L. 119, 4 mai 2016, p. 1, cf. partie I, chapitre II. 713. Ordonnance n° 2011-1012 du 24 août 2011 relative aux communications électroniques ; v. « Paquet Télécom » avec la directive n° 2009/140/CE du Parlement européen et du Conseil du 25 novembre 2009 modifiant les directives n° 2002/21/CE relative à un cadre réglementaire commun pour les réseaux et services de communications électroniques, n° 2002/19/CE relative à l’accès aux réseaux de communications électroniques et aux ressources associées, ainsi qu’à leur interconnexion, et n° 2002/20/CE relative à l’autorisation des réseaux et services de communications électroniques ; et avec la directive n° 2009/136/CE du Parlement européen et du Conseil du 25 novembre 2009 modifiant la directive n° 2002/22/CE concernant le service universel et les droits des utilisateurs au regard des réseaux et services de communications électroniques, la directive n° 2002/58/CE concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques et le règlement n° 2006/2004/CE relatif à la coopération entre les autorités nationales chargées de veiller à l’application de la législation en matière de protection des consommateurs.
262 | B anque
et
a ssurance
digitales
Code pénal : introduction, maintien frauduleux dans un système d’information, altération du fonctionnement du SI. Les sanctions varient entre 2 et 5 ans d’emprisonnement et entre 60 000 et 150 000 euros d’amende (sauf si c’est un SI de l’État, les sanctions sont plus fortes). Mais pour le ransomware, ce sera plutôt l’article 323-3 du Code pénal qui jouera : « le fait d’introduire frauduleusement des données » dans un SI, « d’extraire, de détenir, de reproduire, de transmettre, de supprimer ou de modifier frauduleusement les données qu’il contient », voire l’article 323-3-1 qui permet de sanctionner l’offre, l’importation, la détention, la mise à disposition ou la cession de programmes malveillants. De plus, ces infractions sont encore plus sévèrement sanctionnées dès lors que la préparation s’effectue en groupe ou qu’elles sont commises en bandes organisées, ce qui est souvent le cas des attaques de type ransomware (ex. : près de 325 millions de dollars ont profité au même groupe de cybercriminels avec cryptoWall 3.0). Enfin, signalons un autre délit plus sévèrement réprimé mais dont les éléments constitutifs sont difficiles à établir dans le cas du ransomware : l’extorsion de fonds (article 312-1 du Code pénal)714 ou le chantage715. 614. Les plaintes pénales, lorsqu’elles aboutissent à des poursuites judiciaires, durent plusieurs années avant qu’une condamnation n’intervienne. Or, pour y parvenir, encore faut-il, d’une part, identifier le (ou les) délinquant(s) qui se trouve(nt) souvent hors du territoire français et européen et à partir de plusieurs points d’un réseau et, d’autre part, réunir les éléments de l’ (ou des) infraction(s). Mais, au final, on constate que les tribunaux sanctionnent encore peu ce type d’activité criminelle. Le mal étant fait, les victimes paient souvent sans porter plainte (sans aucune garantie d’accéder à leurs données !), ce qui ne facilite pas la tâche des services de police. Or, certains spécialistes préconisent de ne pas payer la rançon pour différentes raisons : en premier lieu, la victime est en prise avec un criminel qui vole des fichiers et réclame une rançon ; en deuxième lieu, même si la victime paye, elle n’a aucune garantie de récupérer ses données qui peuvent rester chiffrées ; en troisième lieu, payer incite les criminels à renouveler une pratique qui a généré facilement de l’argent. 615. Si des mesures de sécurité techniques existent, notamment logicielles (telles que Malwarebytes et les solutions développées par des sociétés de sécurité informatique) ou de sécurité (analyse « Forensics », mettre à jour et entretenir ses systèmes, utiliser un anti-virus à jour et un pare-feu, procéder au nettoyage, au reformatage et à la restauration des données), la meilleure reste l’anticipation : procéder à la sauvegarde régulière des fichiers et données hors réseau ou sur un 714. « L’extorsion est le fait d’obtenir par violence, menace de violences ou contrainte soit une signature, un engagement ou une renonciation, soit la révélation d’un secret, soit la remise de fonds, de valeurs ou d’un bien quelconque. L’extorsion est punie de sept ans d’emprisonnement et de 100 000 euros d’amende ». 715. « Le chantage est le fait d’obtenir, en menaçant de révéler ou d’imputer des faits de nature à porter atteinte à l’honneur ou à la considération, soit une signature, un engagement ou une renonciation, soit la révélation d’un secret, soit la remise de fonds, de valeurs ou d’un bien quelconque. Le chantage est puni de cinq ans d’emprisonnement et de 75 000 euros d’amende ».
de
la sécurité des systèmes d ’ information et de l ’ information
| 263
support sécurisé et à la sensibilisation et au contrôle des utilisateurs. Plusieurs recommandations ont été établies pour éviter d’être infecté par les cryptoransomwares, mais surtout, il ne faut pas omettre de souscrire une assurance cyber-risques adaptée716 ! F.
Le vol de données
616. La question de la qualification de vol de données se pose depuis l’adoption de la loi Godfrain en 1988. En principe, le vol suppose la soustraction de la chose, alors que, dans le numérique, la chose (le bien incorporel) demeure ; ces données sont reproduites de façon illicite ou non autorisée. D’où la proposition doctrinale de consacrer le « vol-reproduction » à côté du « vol-soustraction ». La question vient tout juste d’être tranchée par la Cour de cassation dans une affaire qui concernait une extraction et une reproduction de données se trouvant dans le SI d’un opérateur d’importance vitale. 617. En utilisant le moteur de recherche Google, un blogueur a pu accéder « fortuitement » au serveur extranet de l’Agence nationale de sécurité sanitaire de l’alimentation, de l’environnement et du travail (ANSES). Malgré la découverte ultérieure d’un système d’authentification (identifiant et mot de passe), il a poursuivi sa navigation et il a téléchargé une quantité importante de documents. L’ANSES avait découvert cette attaque à la suite de la publication d’un article accompagné d’une partie de ces documents, lesquels étaient destinés à un usage restreint. L’enquête interne au sein de l’ANSES permettait de découvrir que 8 000 fichiers avaient été exfiltrés en deux jours. En parallèle, les enquêteurs découvraient l’existence d’un second article accompagné de documents publié sous le nom de « Bluetouff » qui affirmait détenir 7,7 gigaoctets de documents traitant de questions de santé publique. L’adresse IP a été localisée au Panama sur un serveur informatique hébergeant une solution VPN d’une société fondée et dirigée par le blogueur qui était alors poursuivie en justice. En première instance, la relaxe totale était prononcée717. 618. Après appel du Parquet, la cour d’appel a confirmé la relaxe du blogueur, mais uniquement pour l’accès frauduleux au STAD. En effet, elle a considéré que, outre le manque d’éléments probants, l’accès avait été permis par une « défaillance technique concernant l’identification existant dans le système ». Cependant, elle a condamné le prévenu à une amende de 3 000 euros pour le maintien frauduleux dans un STAD et vol de fichiers informatiques718. La cour confirme que les deux délits d’introduction et de maintien frauduleux sont distincts. La jurisprudence a statué en ce sens dès 1994 : « la loi incrimine également le maintien irrégulier dans un système de la part de celui qui y serait
716. J.-L. Santoni, « Cybercriminalité. Le ransomware est-il assurable ? », Expertises 2016, p. 219. 717. TGI Créteil, 11e ch. corr., 23 avr. 2013 : Com. com. électr. 2013, comm. 96, É. A. Caprioli. 718. CA Paris, pôle 4, ch. 10, 5 févr. 2014, n° 13/04833 : Com. com. électr. 2014, comm. 40, É. A. Caprioli.
264 | B anque
et
a ssurance
digitales
rentré par inadvertance ou de la part de celui qui, y ayant régulièrement pénétré, s’y serait maintenu frauduleusement »719. 619. Pour la Cour d’appel, le prévenu a « parfaitement reconnu qu’après être arrivé “par erreur” au cœur de l’extranet de l’ANSES, avoir parcouru l’arborescence des répertoires et être remonté jusqu’à la page d’accueil, il avait constaté la présence de contrôles d’accès et la nécessité d’une authentification par identifiant et mot de passe ; qu’il est ainsi démontré qu’il avait conscience de son maintien irrégulier dans le système de traitement automatisé de données visité où il a réalisé des opérations de téléchargement de données à l’évidence protégées ; que les investigations ont démontré que ces données avaient été téléchargées avant d’être fixées sur différents supports et diffusées ensuite à des tiers ; qu’il est, en tout état de cause, établi qu’Olivier L. a fait des copies de fichiers informatiques inaccessibles au public à des fins personnelles à l’insu et contre le gré de leur propriétaire ; que la culpabilité d’Olivier L. sera donc retenue des chefs de maintien frauduleux dans un système de traitement automatisé de données et de vol de fichiers informatiques au préjudice de l’ANSES ». 620. Enfin, la Cour de cassation a validé la décision d’appel en rejetant le pourvoi. Elle a retenu que le blogueur s’est « maintenu dans un système de traitement automatisé de données après avoir découvert que celui-ci était protégé et a soustrait des données qu’il a utilisées sans le consentement de leur propriétaire »720. Cette décision de la Haute Cour doit être mise en parallèle avec le nouvel article 323-3 du Code pénal721 opéré par la loi du 13 novembre 2014 relative à la lutte contre le terrorisme. Cet article réprime désormais le fait « (…) d’extraire, de détenir, de reproduire, de transmettre » frauduleusement les données contenues dans tout type de système d’information (STAD). Cette modification du Code pénal consacre indirectement le vol de données dès lors que cet article figure dans les atteintes aux systèmes d’information, contrairement à l’article 311-1 du Code pénal sur le vol. Et finalement, on peut se demander si le législateur n’a pas souhaité distinguer le vol de données du vol d’un bien corporel722. Au demeurant, la nouvelle infraction présente plusieurs intérêts étant donné qu’elle est plus sévèrement réprimée que le vol « classique » et qu’elle réprime les fuites d’information. Cette infraction est sanctionnée par trois ans d’emprisonnement et 45 000 euros d’amende alors que l’atteinte au STAD est réprimée par cinq ans d’emprisonnement et 150 000 euros d’amende723.
719. CA Paris, 5 avr. 1994 : D. 1994, inf. rap. p. 130 ; JCP éd. E, 1995, I, 461, obs. M. Vivant et C. Le Stanc. 720. Cass. crim., 20 mai 2015, n° 14-81.336, Juris-Data n° 2015-011834 ; Com. com. électr. 2015, comm. 74, obs. É. A. Caprioli. 721. Loi n° 2014-1353 du 13 novembre 2014 renforçant les dispositions relatives à la lutte contre le terrorisme, JO 14 nov. 2014, p. 19162. 722. « Rapport fait au nom de la commission des lois constitutionnelles, de la législation et de l’administration générale de la république sur le projet de loi (n° 2110) renforçant les dispositions relatives à la lutte contre le terrorisme », 22 juill. 2014. 723. L’amende a été augmentée avec la loi n° 2015-912 du 24 juillet 2015, (art. 4) sur le renseignement.
de
la sécurité des systèmes d ’ information et de l ’ information
| 265
621. Comme nous l’avons vu plus haut, il existe d’autres textes plus généraux pouvant être appliqués à la répression des atteintes (ou des tentatives comme avec le ransomware724) aux systèmes des banques et des assurances [escroquerie, contrefaçon (de marque, de site, etc.) ou encore l’usurpation d’identité (article 226-4-1 du Code pénal)] sur lesquels on peut s’appuyer pour sanctionner des délits comme ceux relatifs au « phishing » (v. partie I, chapitre IV, section III, B). 622. Il convient de ponctuer notre propos par une réflexion plus générale sur l’efficacité et l’effectivité du dispositif pénal. S’agissant des textes en vigueur, on constate qu’il n’y a plus de faille majeure dans notre système depuis l’introduction de la répression des fuites d’informations (article 323-3 du Code pénal) et la prochaine transposition de la directive n° 2016/943/UE du Parlement européen et du Conseil du 8 juin 2016 sur le secret des affaires725 qui étend les moyens d’action de l’entreprise à des informations, jusque-là non protégées. Reste à souhaiter que le texte de transposition ne se contente pas de prévoir des sanctions civiles, mais qu’il dotera également notre système de sanctions pénales. Pourtant la réalité judiciaire ne nous paraît pas être à la hauteur des dommages causés aux entreprises que ce soit en termes financier, humains ou en termes d’image. Bref, si le dispositif pénal semble complet au niveau des investigations judiciaires, des quantums des peines encourues, en revanche, les peines prononcées restent très souvent faibles, voire symboliques. La réponse judiciaire doit correspondre aux attentes des victimes, qu’elles soient banques ou assurance, mais plus généralement toute entreprise.
SECTION IV OBLIGATIONS RELATIVES À LA SÉCURITÉ DES SYSTÈMES D’INFORMATION 623. Face au développement des risques et des menaces générées par le numérique, les obligations relatives à la sécurité des systèmes d’information s’étoffent. Certaines de ces obligations se traduisent par des textes de nature légale et réglementaire (§ 1), alors que d’autres relèvent de la catégorie des normes ou des contrats (§ 2).
724. V. partie I, chapitre IV, section III. E 725. Directive n° 2016/943/UE du Parlement européen et du Conseil du 8 juin 2016 sur la protection des savoir-faire et des informations commerciales non divulgués (secrets d’affaires) contre l’obtention, l’utilisation et la divulgation illicites ; S. Schiller, « Secret des affaires et juristes d’entreprises », JCP éd. E et A n° 35, 1er sept. 2016, 1460 ; S. Marcellin et T. Manoir de Juay, Le secret des affaires, LexisNexis, 2016.
266 | B anque
et
a ssurance
digitales
§ 1 – Principaux textes et leurs applications
624. Les banques et les assurances ont des obligations strictes en termes de sécurisation des données qu’elles collectent auprès de leurs clients et qu’elles traitent dans leurs systèmes. Cependant, en cas d’atteinte aux systèmes d’information et aux données qu’ils contiennent ou plus généralement d’incidents de sécurité, les entreprises des secteurs de la banque et de l’assurance, à l’instar des autres entreprises, bénéficient d’un dispositif répressif de droit commun qui leur permet d’engager des poursuites sur le plan pénal comme nous avons pu l’analyser supra. Les incidents de sécurité sont des événements qui portent atteinte à l’une des trois composantes de la sécurité des systèmes d’information : la disponibilité, la confidentialité ou l’intégrité. On citera à titre d’exemples l’utilisation illégale d’un mot de passe pour se connecter, le vol d’équipements informatiques, ou encore le vol de données ou les intrusions dans un système, dans un fichier ou dans une application, etc. À ce titre, selon l’ANSSI dans son glossaire, « l’intrusion est le fait, pour une personne ou un objet, de pénétrer dans un espace (physique, logique, relationnel) défini où sa présence n’est pas souhaitée »726. La réglementation impose des obligations de sécurisation des systèmes d’information. Les principaux textes seront présentés ainsi que leurs applications par les tribunaux et les autorités de régulation, lorsqu’elles existent. A.
Obligations dans le cadre de la protection des données à caractère personnel
625. Les banques et les assurances sont des responsables de traitement, puisqu’elles fixent la finalité et les moyens des traitements mis en place dans le cadre de leurs activités. À ce titre, en application de la loi du 6 janvier 1978, l’article 34 les assujettit, en leur qualité de responsable de traitement727 à une obligation de sécurité vis-à-vis des données à caractère personnel qu’elles traitent : « le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès ». Cet article existe depuis l’origine de la loi « Informatique et libertés » en 1978. On retrouve cette obligation de sécurité aussi bien dans la Convention du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel de 1981728 que dans la directive
726. http://www.ssi.gouv.fr/entreprise/glossaire/i/ 727. Cet article figure au chapitre V de la loi « Obligations incombant aux responsables de traitement et droit des personnes ». 728. Convention STCE n° 108, 28 janv. 1981 : https://rm.coe.int/CoERMPublicCommonSearch Services/DisplayDCTMContent?documentId=0900001680078b39. V. l’article 7 – Sécurité des données : « Des mesures de sécurité appropriées sont prises pour la protection des données à caractère personnel enregistrées dans des fichiers automatisés contre la destruction accidentelle ou non autorisée, ou la perte accidentelle, ainsi que contre l’accès, la modification ou la diffusion non autorisés ».
de
la sécurité des systèmes d ’ information et de l ’ information
| 267
n° 95/46/CE du 24 octobre 1995729. On ne s’étonnera donc pas de la voir figurer en bonne place dans le règlement RGPD du 27 avril 2016 ; une section est consacrée à la « Sécurité des données à caractère personnel » (art. 32 à 34). 626. Généralement, l’obligation de sécuriser les données personnelles s’apprécie comme une obligation de moyens, voire de moyens renforcés. On observera qu’aux termes de la dernière phrase de l’article 17-1 de la directive n° 1995/46/ CE, non reprise dans la loi de 1978 : « ces mesures doivent assurer, compte tenu de l’état de l’art et des coûts liés à leur mise en œuvre, un niveau de sécurité approprié au regard des risques présentés par le traitement et de la nature des données à protéger ». Dans le dispositif légal actuel, outre les sanctions de la CNIL (amende d’un montant maximum de 150 000 euros, blocage du traitement, avertissement, publicité de la sanction, etc.), pénalement la sanction prévue en cas de manquement est de cinq ans d’emprisonnement et de 300 000 euros d’amende. La loi pour une République numérique a augmenté la sanction que peut prononcer la formation restreinte de la CNIL à un montant maximum de 3 000 000 euros730. Si le responsable de traitement est une personne morale, l’amende pourra être multipliée par cinq731. S’agissant de la délégation de cette responsabilité qui pèse sur le responsable de traitement, elle ne peut pas être déléguée, spécialement à un sous-traitant. Au contraire, le responsable de traitement, reste redevable de cette obligation de sécurisation des données alors même que les prestations de sécurité ou d’hébergement sont assurées par le sous-traitant. Selon l’article 35, alinéa 2, « toute personne traitant des données à caractère personnel pour le compte du responsable du traitement est considérée comme un sous-traitant au sens de la présente loi ». De plus, il doit s’assurer que le sous-traitant présente « des garanties suffisantes pour assurer la mise en œuvre des mesures de sécurité et de confidentialité mentionnées à l’article 34. Cette exigence ne décharge pas le responsable du traitement de son obligation de veiller au respect de ces mesures. » (Article 35, alinéa 3, de la loi du 6 janvier de 1978). La directive n° 95/46 contient une disposition équivalente732. C’est pourquoi, afin de pallier l’absence de sanction pénale à l’encontre du prestataire, il est toujours important que la banque 729. Directive n° 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, JOCE n° L. 281, 23 nov. 1995, p. 31. V. l’article 17, « Sécurité des traitements » : « 1. Les États membres prévoient que le responsable du traitement doit mettre en œuvre les mesures techniques et d’organisation appropriées pour protéger les données à caractère personnel contre la destruction accidentelle ou illicite, la perte accidentelle, l’altération, la diffusion ou l’accès non autorisés, notamment lorsque le traitement comporte des transmissions de données dans un réseau, ainsi que contre toute autre forme de traitement illicite. Ces mesures doivent assurer, compte tenu de l’état de l’art et des coûts liés à leur mise en œuvre, un niveau de sécurité approprié au regard des risques présentés par le traitement et de la nature des données à protéger ». 730. Loi n° 2016-1321 du 7 octobre 2016, JO 8 oct. 2016, v. l’article 65 qui modifie l’article 47 de la loi du 6 janvier 1978. 731. C. pén., art. 226-17. 732. Art. 17 : « (…) 2. Les États membres prévoient que le responsable du traitement, lorsque le traitement est effectué pour son compte, doit choisir un sous-traitant qui apporte des
268 | B anque
et
a ssurance
digitales
ou l’assurance introduise des clauses contractuelles. D’ailleurs, l’alinéa 4 de l’article 35 dispose : « le contrat liant le sous-traitant au responsable du traitement comporte l’indication des obligations incombant au sous-traitant en matière de protection de la sécurité et de la confidentialité des données et prévoit que le sous-traitant ne peut agir que sur instruction du responsable du traitement ». Dans la banque et l’assurance, la plupart des contrats de soustraitance informatique contiennent des dispositions en conformité avec cet article. D’ailleurs, le règlement européen prévoit la même chose. 627. En pratique, la CNIL a prononcé un avertissement envers la filiale d’une banque par une délibération n° 2012-176 du 21 juin 2012 en vertu du manquement à l’obligation d’assurer la sécurité et la confidentialité des données du fait du partage du système d’information entre plusieurs entités au sein du groupe. Suite à une fusion, une de ces entités n’avait que des activités médias. Les journalistes avaient accès aux données des clients du groupe bancaire733 et ces faits étaient relatés dans un article publié dans le journal. Ces données bancaires étaient confidentielles et, par conséquent, protégées par le secret bancaire. Les salariés du journal n’avaient pas vocation à avoir accès aux informations des clients bancaires. La formation restreinte de la CNIL considère ces données comme sensibles et en grand nombre et que le manquement était particulièrement grave. Elle condamne ce manque d’étanchéité pris sans égard pour la conformité bancaire734. La décision prononce un avertissement contre le prestataire de services du groupe bancaire en application de l’article 45 de la loi de 1978 ; elle a été rendue publique sur le site de la CNIL et sur celui de Légifrance. 628. Par une délibération du 7 août 2014, la CNIL a prononcé un avertissement public à l’encontre de la société Orange pour manquement à son obligation de sécurité en vertu de l’article 34 de la loi de 1978. À la suite de la notification à la garanties suffisantes au regard des mesures de sécurité technique et d’organisation relatives aux traitements à effectuer et qu’il doit veiller au respect de ces mesures. 3. La réalisation de traitements en sous-traitance doit être régie par un contrat ou un acte juridique qui lie le sous-traitant au responsable du traitement et qui prévoit notamment que : – le sous-traitant n’agit que sur la seule instruction du responsable du traitement, – les obligations visées au paragraphe 1, telles que définies par la législation de l’État membre dans lequel le sous-traitant est établi, incombent également à celui-ci. 4. Aux fins de la conservation des preuves, les éléments du contrat ou de l’acte juridique relatifs à la protection des données et les exigences portant sur les mesures visées au paragraphe 1 sont consignés par écrit ou sous une autre forme équivalente ». 733. Dans la délibération, il est fait état des informations suivantes : « actions, comptes en Suisse et projets d’optimisation fiscale », « des fichiers nominatifs, tamponnés par le fisc », « des protestations des clients mécontents » ou encore une « liste nominative de 400 clients ayant acheté de l’or ». Selon l’article, ces journalistes ont ainsi pu avoir libre accès à des « renseignements confidentiels, de relevés d’identité bancaire, de contrats d’assurance, de courriels privés, de conseils fiscaux, de transactions ou d’achats de titres ». 734. Délibération n° 2012-176 du 21 juin 2012 portant avertissement à l’encontre de la société européenne de traitement de l’information (groupe Crédit Mutuel – CIC), disponible sur : http://www.cnil.fr/fileadmin/documents/approfondir/deliberations/Formation_contentieuse/ D2012-176_EURO_INFORMATION.pdf
de
la sécurité des systèmes d ’ information et de l ’ information
| 269
CNIL d’une violation de données à caractère personnel (des données clients avec un accès illicite à plus de 1,3 million de données), la CNIL a diligenté trois contrôles sur place aux termes desquels elle a constaté : qu’aucun audit de sécurité sur l’application technique ayant subi l’atteinte n’avait été réalisé préalablement à sa mise en production, que les communications de fichiers clients au prestataire technique se faisaient de manière non sécurisée et qu’enfin, aucune clause spécifique de sécurité et de confidentialité des données ne liait le sous-traitant secondaire. La CNIL a alors considéré que l’insuffisance des mesures de sécurité mises en œuvre a contribué à la réalisation du risque, à savoir l’accès non autorisé d’un tiers aux données à caractère personnel des clients735. 629. Dans le prolongement de cet avertissement public de la CNIL, le 30 décembre 2015736, le Conseil d’État a confirmé la sanction. En premier lieu, il affirme que le respect de la procédure de notification d’une violation de données à caractère personnel ne fait pas obstacle à ce qu’une sanction soit prononcée pour manquement à l’obligation de sécurité. En deuxième lieu, le Conseil rappelle que le recours à des sous-traitants ne décharge pas le responsable de traitement de ses obligations en la matière. Dans cette perspective, il relève : l’absence d’audit de sécurité des sous-traitants d’Orange, l’utilisation de moyens de communication non sécurisés, les mentions contractuelles insuffisantes et l’absence de suivi des dispositions contractuelles à destination du second prestataire. En confirmant l’analyse de la CNIL, cet arrêt indique clairement la nécessité pour le responsable de traitement de s’assurer de l’effectivité de la sécurité des données personnelles qui doit être garantie par ses sous-traitants. D’une part, l’audit de sécurité paraît incontournable et un soin particulier devra être apporté aux clauses relatives à la protection des données personnelles dans les contrats de sous-traitance, y compris dans l’hypothèse où interviendraient des sous-traitances en cascade. 630. Dans une délibération du 5 novembre 2015, la CNIL a prononcé une sanction pécuniaire publique de 50 000 euros à l’encontre de la société Optical Center pour manquement à son obligation de sécurité en se fondant sur les articles 34 et 35 de la loi. À la suite d’une plainte, un premier contrôle de la CNIL avait abouti à une mise en demeure de la société Optical Center lui enjoignant, entre autres, d’assurer la sécurité et la confidentialité des données. Suspectant une mise en conformité partielle, la CNIL a procédé à un second contrôle. Outre la durée excessive de conservation des données, la sanction se fonde sur la persistance de manquements à la sécurité des données dont l’absence de politique de gestion des mots de passe (pour les accès aux comptes clients et aux postes des salariés), leur vulnérabilité (robustesse insuffisante) et les lacunes du contrat de
735. Délibération n° 2014-298 du 7 août 2014. Délibération de la formation restreinte n° 2014-298 du 7 août 2014 prononçant un avertissement à l’encontre de la société Orange, disponible à l’adresse : http://www.legifrance.gouv.fr/affichCnil.do?id=CNILTEXT000029406662 736. CE 30 déc. 2015, affaire Orange, 10e / 9e SSR, n° 385019, « Procès équitable et obligation d’information de la CNIL », AJDA 2016, p. 644.
270 | B anque
et
a ssurance
digitales
sous-traitance (aucune clause sur la sécurité en général et plus particulièrement sur la sécurité des données à caractère personnel)737. Récemment, à la suite d’un contrôle réalisé en ligne par la CNIL sur le site de la société Ricard, la formation restreinte de cette dernière a prononcé un avertissement public738, ayant constaté que la société avait manqué à son obligation de veiller à la sécurité et à la confidentialité des données. Il était question des données à caractère personnel de milliers de clients, comprenant les noms, prénoms, adresses et numéros de cartes bancaires accessibles sur le site. La CNIL a rappelé que l’existence d’une sous-traitance (hébergement et gestion du site) n’exonérait pas la société Ricard de ses obligations légales telles qu’énoncées à l’article 34 de la loi. La CNIL rajoute que le seul fait de constater l’absence de mise en œuvre de mesures visant à garantir la sécurité des données suffit à caractériser le manquement à l’obligation de sécurité sans qu’il ne soit nécessaire de prouver un quelconque préjudice pour la personne concernée. 631. Il est rare que la sanction porte sur un seul manquement à la loi du 6 janvier 1978, car souvent le manquement à l’obligation de sécurité est un manquement parmi d’autres. Pour étayer notre propos, on se reportera avec intérêt à une sanction récente de la CNIL. Dans cette affaire, la société Brandalley vendait en ligne des produits de prêt-à-porter, de beauté et de maison, neufs et d’occasion à l’attention des consommateurs. En janvier 2015, la CNIL a effectué, un contrôle sur place auprès de la société, notamment les traitements concernant la gestion des comptes clients et prospects (plusieurs millions de comptes). De nombreux manquements à la loi ont été relevés et la présidente de la CNIL a mis en demeure la société de prendre les mesures adéquates afin de se mettre en conformité avec la loi « Informatique et Libertés ». Or, les manquements ont perduré. D’où l’ouverture d’une procédure. La formation restreinte de la CNIL a prononcé une sanction pécuniaire de 30 000 euros rendue publique pour les manquements suivants : défaut de demande d’autorisation pour un traitement de lutte contre la fraude et les transferts vers des sous-traitants hors Union européenne (Maroc et Tunisie), non-définition d’une durée de conservation et pas de purge, défaut d’infos sur les cookies, défaut de sécurité et de confidentialité dans la mesure où la société n’avait pas mis en œuvre de protocole sécurisé (ex. : « https ») sur les pages du site sur lesquelles transitaient des données personnelles739. 632. Le règlement européen encadrant la protection des données à caractère personnel du 27 avril 2016 (v. partie I, chapitre II) prévoit un certain nombre de 737. Délibération de la formation restreinte n° 2015-379 du 5 novembre 2015, prononçant une sanction pécuniaire à l’encontre de la société Optical Center, disponible à l’adresse : http://www.cnil.fr/fileadmin/documents/approfondir/deliberations/Formation_ contentieuse/2015-379_sanction_OPTICALCENTER.pdf 738. Délibération de la formation restreinte n° 2016-108 du 21 avril 2016 prononçant un avertissement (public) à l’encontre de la société Ricard : www.cnil.fr/sites/default/files/atoms/ files/deliberation-formation-restreinte-avertissment-public-ricard_ananonymisee.pdf 739. Délibération de la formation restreinte n° 2016-204 du 7 juillet 2016 prononçant une sanction pécuniaire à l’encontre de la société Brandalley.
de
la sécurité des systèmes d ’ information et de l ’ information
| 271
règles strictes conduisant à appuyer cette obligation de sécurisation (analyse de risques, traçabilité des mesures prises, documentation, ou encore la notification des violations de données personnelles) sans toutefois en modifier les principes. Une fois qu’il sera entré en vigueur (mai 2018), ce règlement est censé remplacer la loi « Informatique et Libertés » actuelle. En tout état de cause, la sécurité et la confidentialité des données personnelles sont des problématiques centrales du recours aux solutions de « Cloud computing ». B.
Obligations dans le cadre de la protection des intérêts de la Nation
1.
Obligations issues de la loi de programmation militaire740
633. Si les textes issus de la loi de programmation militaire et ses décrets d’application741 trouvent leur inspiration dans la directive SRI dont le projet a été publié en 2013, le sujet était déjà à l’ordre du jour dans le projet de directive n° 2013/40/UE742. Son considérant n° 4 disposait : « il existe plusieurs infrastructures critiques dans l’Union, dont l’arrêt ou la destruction aurait un impact transfrontalier significatif. Compte tenu de la nécessité de renforcer la capacité de protection des infrastructures critiques au sein de l’Union, il est devenu manifeste que les mesures de lutte contre les cyberattaques devraient s’accompagner de sanctions pénales sévères, reflétant la gravité de ces attaques. Une infrastructure critique pourrait s’entendre comme un point, un système ou une partie de celui-ci, situé dans des États membres, qui est indispensable au maintien des fonctions vitales de la société, de la santé, de la sûreté, de la sécurité et du bien-être économique ou social des citoyens, comme les centrales électriques, les réseaux de transport et les réseaux publics, et dont l’arrêt ou la destruction aurait un impact significatif dans un État membre du fait de la défaillance de ces fonctions ». S’agissant des principes édictés en matière de recherche d’un haut niveau de sécurité pour les réseaux et systèmes d’information dans l’Union européenne, en ce y compris les opérateurs d’importance vitale, on peut se reporter au Livre blanc « Défense et sécurité nationale » et son fondement juridique dans la directive n° 2016/1148 du Parlement et du Conseil du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de
740. Loi n° 2013-1168 du 18 décembre 2013 relative à la programmation militaire pour les années 2014 à 2019 et portant diverses dispositions concernant la défense et la sécurité, JO 19 déc. 2013. 741. Décret n° 2015-349 du 27 mars 2015 relatif à l’habilitation et à l’assermentation des agents de l’autorité nationale de sécurité des systèmes d’information et pris pour l’application de l’article L. 2321-3 du Code de la défense, JO 29 mars 2015 ; Décret n° 2015-350 du 27 mars 2015 relatif à la qualification des produits de sécurité et des prestataires de services de confiance pour les besoins de la sécurité nationale, JO 29 mars 2015 ; Décret n° 2015-351 du 27 mars 2015 relatif à la sécurité des systèmes d’information des opérateurs d’importance vitale et pris pour l’application de la section II du chapitre II du titre III du livre III de la première partie de la partie législative du Code de la défense, JO 29 mars 2015. 742. Directive n° 2013/40/UE du Parlement européen et du Conseil du 12 août 2013 relative aux attaques contre les systèmes d’information et remplaçant la décision-cadre n° 2005/22, JOUE n° L. 218, 14 août 2013, p. 8.
272 | B anque
et
a ssurance
digitales
sécurité des réseaux et des systèmes d’information (SRI) dans l’Union743. Ce texte devra être transposé par les États membres au plus tard le 9 mai 2018. On peut estimer qu’avec la loi et les règlements adoptés, la France aura quasiment réalisé l’intégration des dispositions de la directive en droit interne. Cette directive entend que le niveau de sécurité soit garanti et opérationnel au sein du marché intérieur. Le champ d’application de la directive est étendu aux opérateurs de services essentiels et les fournisseurs de service numérique (dont les places de marché en ligne, les moteurs de recherche en ligne et les services d’informatique en nuage). Les dispositions adoptées posent et renforcent également les obligations de surveillance, de suivi, de consultation et de coordination des actions menées dans l’objectif d’un niveau de sécurité élevé commun (en instituant un réseau des Centres de réponse aux incidents de sécurité informatique). 2.
Principales obligations à la charge des OIV
634. En France, la loi n° 2013-1168 du 18 décembre 2013 relative à la programmation militaire pour les années 2014 à 2019 et portant diverses dispositions concernant la défense et la sécurité nationale définit les règles à respecter en la matière pour les opérateurs d’importance vitale (OIV). Les législations spécifiques – européennes et nationales telles que dans le domaine bancaire par exemple – restent cependant applicables si un niveau de sécurité équivalent à celui recherché par ladite directive est atteint. D’un point de vue opérationnel, les acteurs nouvellement concernés devraient anticiper l’évolution à venir et s’assurer que leurs différents documents (ex. : Politique de sécurité des systèmes d’information, Plan de reprise d’activité, Plan de continuité d’activité ainsi que les procédures et directives associées) répondent aux exigences que le législateur français va fixer : « La doctrine nationale de réponse aux agressions informatiques majeures repose sur le principe d’une approche globale fondée sur deux volets complémentaires : – systèmes d’information de l’État, des opérateurs d’importance vitale et des industries stratégiques, couplée à une organisation opérationnelle de défense de ces systèmes, coordonnée sous l’autorité du Premier ministre, et reposant sur une coopération étroite des services de l’État, afin d’identifier et de caractériser au plus tôt les menaces pesant sur notre pays ; – une capacité de réponse gouvernementale globale et ajustée face à des agressions de nature et d’ampleur variées faisant en premier lieu appel à l’ensemble des moyens diplomatiques, juridiques ou policiers, sans s’interdire l’emploi gradué de moyens relevant du ministère de la Défense, si les intérêts stratégiques nationaux étaient menacés »744.
743. JOUE n° L. 194, 19 juill. 2016, p. 1. 744. Livre blanc Défense et sécurité nationale, Direction de l’information légale et administrative (DILA), 2013, p. 106-107.
de
la sécurité des systèmes d ’ information et de l ’ information
| 273
635. Ils ont introduit dans le Code de la défense un certain nombre d’obligations relatives à la sécurisation des systèmes d’information des « opérateurs d’importance vitale » ainsi que « les opérateurs publics ou privés qui participent à ces systèmes ». Ces textes ont une incidence, directe ou indirecte sur les acteurs de la banque et de l’assurance digitales, à savoir ceux qui sont déclarés comme étant des « Opérateurs d’importance vitale » ainsi que leurs prestataires. Des obligations pèsent sur ces entités, car celles qui ne les respectent pas risquent une sanction de 150 000 euros pour les dirigeants et 750 000 euros d’amende pour les personnes morales745. 636. Elles doivent : – respecter à leur frais les règles de sécurité fixées par le Premier ministre – il s’agit en l’occurrence de l’ANSSI – qui peut prescrire que « les opérateurs mettent en œuvre des systèmes qualifiés de détection des événements », exploités sur le territoire national « susceptibles d’affecter la sécurité de leurs systèmes d’information » conformément aux articles L. 1332-6-1, R. 1332-41-1 et R. 1332-41-3 du Code de la défense. Cette obligation implique de réaliser une cartographie des systèmes d’information internes et externes considérés comme d’importance vitale et dont la liste devra être communiquée à l’ANSSI en vertu de l’article R. 1332-41-2 du Code de la défense. Obligation également applicable aux « opérateurs publics ou privés qui participent à ces systèmes », l’opérateur d’importance vitale devra prendre les mesures nécessaires « notamment par voie contractuelle, pour garantir l’application » de ces dispositions746 ; – surtout, pour les opérateurs d’importance vitale, « informent sans délai le Premier ministre des incidents affectant le fonctionnement ou la sécurité » de leurs systèmes d’information (article L. 1332-6-2 du Code de la défense). La notification devra intervenir dès la prise de connaissance de l’incident, des compléments d’informations pouvant ensuite être fournis au fur et à mesure selon le résultat des investigations menées747 ; – de soumettre leurs « systèmes d’information à des contrôles » pour vérifier le niveau de sécurité et le respect de ces règles748 étant entendu que l’ANSSI aura le pouvoir de saisir les autorités judiciaires afin de voir sanctionner le non-respect de ces mesures749 ; – enfin, « pour répondre aux crises majeures menaçant ou affectant la sécurité des systèmes d’information, le Premier ministre peut décider des mesures que les opérateurs mentionnés aux articles L. 1332-1 et L. 1332-2 doivent mettre en œuvre (article L. 1332-6-4 du Code de la défense) ». 745. 746. 747. 748. 749.
V. l’article L. 1 332-7 du Code de la défense. V. les articles L. 1 332-6-1, R. 1 332-41-2 et R. 1 332-41-19 du Code de la défense. V. l’article R. 1 332-41-19 du Code de la défense. V. les articles L. 1 332-6-3 et R. 1 332-41-12 du Code de la défense. V. les articles L. 1 332-7 et R. 1 332-41-23 du Code de la défense.
274 | B anque
et
a ssurance
digitales
637. Les secteurs d’activité d’importance vitale sont les suivants : activités civiles de l’État ; activités judiciaires ; activités militaires de l’État ; alimentation ; communications électroniques, audiovisuel et information ; énergie ; espace et recherche ; finances ; gestion de l’eau ; industrie ; santé ; transports750. Un ou plusieurs arrêtés sectoriels à paraître précisent les obligations applicables (article R. 1332-41-1 du Code de la défense)751. C.
Les notifications des failles de sécurité
638. Le sujet des notifications des failles de sécurité, et des violations de données à caractère personnel est apparu en Europe avec ce que l’on a appelé le « Paquet Télécom »752. On parle à ce propose d’incidents de sécurité que l’on peut définir, à la suite de Mme Sabine Marcellin, comme « un évènement intéressant la sécurité de l’information, qui est indésirable ou inattendu, et présente une probabilité forte de menacer la sécurité de l’information et de compromettre les opérations liées
750. Ces secteurs d’activité sont définis par l’arrêté du 2 juin 2006 fixant la liste des secteurs d’activité d’importance vitale et désignant les ministres coordonnateurs desdits secteurs, JO 4 juin 2006, p. 8502. 751. Arrêté du 10 juin 2016 fixant les règles de sécurité et les modalités de déclaration des systèmes d’information d’importance vitale et des incidents de sécurité relatives au soussecteur d’activités d’importance vitale « Produits de santé » JO 23 juin 2016 ; Arrêté du 17 juin 2016 fixant les règles de sécurité et les modalités de déclaration des systèmes d’information d’importance vitale et des incidents de sécurité relatives au secteur d’activités d’importance vitale « Alimentation » JO 23 juin 2016 ; Arrêté du 17 juin 2016 fixant les règles de sécurité et les modalités de déclaration des systèmes d’information d’importance vitale et des incidents de sécurité relatives au secteur d’activités d’importance vitale « Gestion de l’eau » JO 23 juin 2016 ; Arrêté du 11 août 2016 fixant les règles de sécurité et les modalités de déclaration des systèmes d’information d’importance vitale et des incidents de sécurité relatives au soussecteur d’activités d’importance vitale « Approvisionnement en énergie électrique » JO 25 août 2016 ; Arrêté du 11 août 2016 fixant les règles de sécurité et les modalités de déclaration des systèmes d’information d’importance vitale et des incidents de sécurité relatives au soussecteur d’activités d’importance vitale « Approvisionnement en hydrocarbures pétroliers » JO 25 août 2016 ; Arrêté du 11 août 2016 fixant les règles de sécurité et les modalités de déclaration des systèmes d’information d’importance vitale et des incidents de sécurité relatives au sous-secteur d’activités d’importance vitale « Approvisionnement en gaz naturel » JO 25 août 2016 ; Arrêté du 11 août 2016 fixant les règles de sécurité et les modalités de déclaration des systèmes d’information d’importance vitale et des incidents de sécurité relatives au sous-secteur d’activités d’importance vitale « Transport aérien » JO 25 août 2016 ; Arrêté du 11 août 2016 fixant les règles de sécurité et les modalités de déclaration des systèmes d’information d’importance vitale et des incidents de sécurité relatives au sous-secteur d’activités d’importance vitale « Transports maritime et fluvial » JO 25 août 2016 ; Arrêté du 11 août 2016 fixant les règles de sécurité et les modalités de déclaration des systèmes d’information d’importance vitale et des incidents de sécurité relatives au soussecteur d’activités d’importance vitale « Transports terrestres » JO 25 août 2016 ; Arrêté du 28 novembre 2016 fixant les règles de sécurité et les modalités de déclaration des systèmes d’information d’importance vitale et des incidents de sécurité relatives au secteur d’activités d’importance vitale « Finances » et pris en application des articles R. 1332-41-1, R. 1332-41-2 et R. 1332-41-10 du Code de la défense, JO 3 décembre 2016. 752. É. A. Caprioli et I. Cantero, « Les données à caractère personnel au cœur de la sécurité et des libertés numériques », MagSecur 2012, n° 36, p. 29.
de
la sécurité des systèmes d ’ information et de l ’ information
| 275
à l’activité de l’organisation »753. Historiquement, c’est dans l’État de Californie aux États-Unis d’Amérique que ce type d’obligation (de révélation des violations de sécurité ou « data breach notification ») est apparu en premier avec une loi du 12 février 2002. Cette loi est intervenue après la dissémination de données relatives aux salaires de 200 000 fonctionnaires. Ainsi, en cas de vol ou de perte de données, l’entité victime a l’obligation de notifier la violation de sécurité à son régulateur, voire directement aux personnes titulaires de ces données, puisque, in fine, les risques qui pèsent sur elles sont le vol et l’usurpation d’identité, et donc une large palette de fraudes. En terme économique, selon le Ponemon Institute en 2009754, la notification représenterait environ 202 dollars US par incident et par client. Mais plus grave encore, ce sont les risques juridiques que représente la mise en jeu de la responsabilité des entités victimes ou des actions de groupe engagées à leur encontre (« class action »). Ensuite, la grande majorité des États américains s’est dotée de législations identiques à celle de la Californie. Puis, ce sont d’autres États comme l’Autriche qui se sont inspirés du texte précurseur. 639. Le considérant n° 12 de la directive relative aux attaques informatiques755 mentionne : « la détection et la notification des menaces et des risques liés aux cyberattaques, ainsi que de la vulnérabilité des systèmes d’information à cet égard, sont des éléments pertinents pour prévenir les cyberattaques et y répondre de manière efficace, et pour améliorer la sécurité des systèmes d’information. Prévoir des mesures incitant à notifier les failles en matière de sécurité pourrait y contribuer. Les États membres devraient s’efforcer de prévoir les possibilités de détecter et de notifier de manière légale des failles en matière de sécurité ». 640. Ces mesures étaient déjà prévues dans la proposition de directive sur la sécurité des réseaux et des informations du 7 février 2013, ainsi que dans la proposition de règlement sur la protection des données à caractère personnel du 25 janvier 2012. En outre, la directive souligne in fine du considérant n° 26 que « les États membres sont encouragés à prévoir, dans le cadre de leur droit national, des mesures pertinentes permettant d’engager la responsabilité des personnes morales, lorsque celles-ci n’ont de toute évidence pas assuré un niveau de protection suffisant contre les cyberattaques ». Une telle recommandation n’est pas anodine, elle devrait conduire les banques et les assurances à une vigilance extrême quant à la sécurisation efficace de leurs SI.
753. S. Marcellin, « Cybersécurité : notifications des incidents de sécurité », Banque & Droit, n° 161, mai-juin 2015, p. 7. 754. V. US Cost of Data Breach Study. V. égal. P. Agosti et F. Coupez, « Sécurisation des systèmes d’information : la pression juridique s’accroît, les sanctions financières aussi » : www. journaldunet.com 755. Directive n° 2013/40/UE du Parlement européen et du Conseil du 12 août 2013 relative aux attaques contre les systèmes d’information et remplaçant la décision-cadre n° 2005/222/ CE, JOUE n° L. 218, 14 août 2013, p. 8. Adoption par le Parlement européen d’une nouvelle directive relative aux attaques visant les systèmes d’information, Com. com. électr. 2013, comm. 120, note É. A. Caprioli.
276 | B anque
et
a ssurance
digitales
641. Les directives du « Paquet Télécom », la directive n° 2009/136/CE du Parlement européen et du Conseil du 25 novembre 2006756 et la directive n° 2009/140/CE du Parlement européen et du Conseil du 25 novembre 2009757 ont mis en lumière deux aspects très importants pour la sécurité des SI. En premier lieu, l’obligation de notification prévue dans ce « paquet » s’adresse à deux catégories très particulières d’acteurs économiques : d’une part, les opérateurs fournissant un accès à un réseau de communications électroniques au public (téléphonie, accès à l’Internet, messagerie électronique, etc.) et, d’autre part, les opérateurs fournissant ledit réseau en lui-même. En second lieu, c’est à partir de 2009, que la Commission européenne a souhaité étendre ces obligations de notification à tous les acteurs économiques, dès lors qu’ils traitent des données à caractère personnel. Cela devait s’opérer à l’occasion de la mise à jour de la directive n° 1995/46 qui est devenue le 27 avril 2016, le RGPD758. Ainsi, cela permettrait de faire converger cette obligation d’un texte européen avec l’obligation de notification telle qu’elle existe déjà dans quelques États membres (ex. : Allemagne). 642. En l’occurrence, les deux directives du « Paquet Télécom » prennent en compte, pour l’une, la protection et la sécurité des réseaux en eux-mêmes avec la notification des failles de sécurité, et l’autre, la protection des données à caractère personnel759 et l’obligation de notifier les violations de données à caractère personnel pour les fournisseurs « au public de services de communications électroniques sur les réseaux de communications électroniques ouverts au public, y compris ceux prenant en charge les dispositifs de collecte de données et d’identification »760. Chacune de ces deux obligations de notification dispose d’un régime juridique spécifique, même si au final on peut considérer que les failles de sécurité sont plus générales et qu’elles englobent les violations de données à caractère personnel, alors que le contraire n’est pas vrai.
756. Directive n° 2009/136/CE du Parlement européen et du Conseil du 25 novembre 2006, JOUE n° L. 337, 18 déc. 2009, p. 11. 757. Directive n° 2009/140/CE du Parlement européen et du Conseil du 25 novembre 2006, JOUE n° L. 337, 18 déc. 2009, p. 37. 758. V. ainsi le considérant 59 de la directive n° 2009/136/CE : « L’intérêt des utilisateurs à être informés ne se limite pas, à l’évidence, au secteur des communications électroniques, et il convient dès lors d’introduire de façon prioritaire, au niveau communautaire, des exigences de notification explicites et obligatoires, applicables à tous les secteurs ». 759. Y. Poullet, « Une nouveauté en matière de protection des données : la réglementation des “Security Breaches” au détour d’une modification de la directive e-privacy », RDTI, n° 40/2010, p. 103 et s. 760. C’est ce qui figure à l’article 34 bis de la loi du 6 janvier 1978, suite à la modification opérée par l’ordonnance n° 2011-1012 du 24 août 2011 (art. 38).
de
la sécurité des systèmes d ’ information et de l ’ information
| 277
643. Les deux directives devaient être transposées dans les États membres avant le 25 mai 2011. Or, c’est l’ordonnance du 24 août 2011 qui a opéré la transposition. Nous n’examinerons, cependant, que la notification des failles de sécurité (1), étant précisé que cette obligation concerne, à titre principal761 les fournisseurs d’accès à l’Internet, les opérateurs de téléphonie mobile et leurs MVNO (« Mobile Virtual Network Operator »)762. D’un autre côté, il faut examiner les notifications des failles de sécurité telles qu’elles résultent de la loi de programmation militaire et de la directive SRI récemment publiée (2). 1.
Les notifications des failles de sécurité dans l’ordonnance du 24 août 2011
644. Parallèlement à l’obligation de notification des violations de données à caractère personnel, une autre obligation a été créée : la notification des atteintes à la sécurité ou perte d’intégrité ayant eu un impact significatif sur le fonctionnement des réseaux ou des services. Cette nouvelle obligation s’inscrit dans le cadre de la transposition de la directive n° 2009/140/CE du 25 novembre 2009 modifiant la directive « cadre » n° 2002/58/CE et sa transposition a été réalisée par l’ordonnance n° 2011-1012 du 24 août 2011763 complétée par le décret n° 2012-488 du 13 avril 2012764 modifiant les obligations des opérateurs de communications électroniques conformément au nouveau cadre réglementaire européen. 645. Une telle obligation est distincte de l’obligation figurant à l’article 34 bis de la loi du 6 janvier 1978, en ce sens qu’elle est applicable à tous les types de données (y compris celles à caractère personnel). De la sorte, elle est strictement circonscrite à la sécurité des infrastructures (réseaux de communications publics ou des services de communications électroniques accessibles au public). S’agissant du critère d’application de la notification, il faut que la violation ait un impact significatif sur le fonctionnement des réseaux et des services. La réglementation impose également une obligation de sécurité à la charge des opérateurs.
761. V. pour une application extensive : CA Paris, 14e ch., sect. B, 4 févr. 2005, n° 04/20259, SA BNP Paribas c/ Sté World Press Online : Juris-Data n° 2005-268442. V. É. A. Caprioli, La qualité de fournisseur d’accès à l’Internet : un nouveau risque juridique pour l’entreprise : www.caprioliavocats.com. La question de l’application de l’obligation se pose notamment aux entreprises qui offrent un point d’accès à l’Internet via une borne Wifi aux visiteurs (ex. : hôpitaux), clients (ex. : banques ou entreprises de distribution rapide de nourriture) ou prospects dans les halls ou accueil. Tout va dépendre de la qualification qui sera donnée : fournisseur d’accès à l’Internet ouvert au public ou non. 762. Pour un commentaire de l’ordonnance sur ce point, v. É. A. Caprioli : Com. com. électr. 2011, comm. 116. 763. Sur l’ordonnance, v. Com. com. électr. 2011, comm. 116, note É. A. Caprioli ; C. Chassigneux, Com. com. électr. 2011, étude 23. 764. JO 15 avr. 2012, p. 6919.
278 | B anque a.
et
a ssurance
digitales
Obligation de notification765
646. La notification doit intervenir dès que l’opérateur a « connaissance » d’une telle atteinte de sécurité ou perte d’intégrité auprès : – du ministre de l’Intérieur (qui en informera le ministre chargé des Communications électroniques, le cas échéant) ; – de l’ANSSI en tant qu’autorité nationale de défense des Systèmes d’Information (fonction conférée par le décret n° 2011-170 du 11 février 2011) dans l’hypothèse où l’atteinte à la sécurité / la perte d’intégrité « résulte ou est susceptible de résulter d’une agression informatique »766. L’information porte sur les causes et les conséquences des atteintes à la sécurité/ la perte d’intégrité et des mesures prises pour éviter leur renouvellement. Le ministre de l’Intérieur dispose de la possibilité de demander à l’opérateur d’informer le public à cette occasion. Ainsi, « la notification à l’Autorité nationale de défense des systèmes d’information n’est prévue que dans les hypothèses où l’atteinte à la sécurité ou la perte d’intégrité seraient susceptibles de résulter d’une agression informatique. Il est également prévu, dans le cadre d’une coopération entre les pays membres de l’Union européenne, de prévenir les services compétents des pays qui seraient éventuellement concernés par les atteintes survenues. Des mesures particulières sont enfin prises au profit des utilisateurs handicapés qui doivent pouvoir profiter des tarifs abordables et de produits et services adaptés (D. n° 2012-488, 13 avr. 2012, art. 8, créant CPCE, art. D. 98-13)767 ». L’information sera ensuite transmise à l’Agence européenne chargée de la sécurité des réseaux et de l’information (ENISA) ainsi qu’aux États de l’Union européenne où la faille serait susceptible d’avoir « un impact significatif ». b.
Le contenu de l’obligation de sécurité
647. Le Code des Postes et des communications électroniques contient désormais de nouvelles dispositions sur la sécurité qui pèsent sur les opérateurs en matière : – de secret des correspondances et de neutralité768 ; 765. É. A. Caprioli, « Les décrets n° 2012-436 et 2012-488 relatifs au nouveau cadre réglementaire européen en matière de notifications des violations des données personnelles et des failles de sécurité », Com. com. électr. 2012, comm. 138. 766. CPCE, art. D. 98-5, III : « Dès qu’il en a connaissance, l’opérateur informe le ministre de l’intérieur de toute atteinte à la sécurité ou perte d’intégrité ayant un impact significatif sur le fonctionnement de ses réseaux ou de ses services. Ce dernier en informe le ministre chargé des Communications électroniques ainsi que les services de secours et de sécurité susceptibles d’être concernés. Lorsque l’atteinte à la sécurité ou la perte d’intégrité résulte ou est susceptible de résulter d’une agression informatique, l’opérateur en informe également l’autorité nationale de défense des systèmes d’information ». 767. É. A. Caprioli, « Les décrets n° 2012-436 et 2012-488 relatifs au nouveau cadre réglementaire européen en matière de notifications des violations des données personnelles et des failles de sécurité », art. préc., v. n° 3 in fine. 768. CPCE, art. D. 98-5 I.
de
la sécurité des systèmes d ’ information et de l ’ information
| 279
– de traitement des données à caractère personnel en assurant la protection de l’intégrité et de la confidentialité de ces données par exemple en prenant des mesures de protection adéquates et mettant en œuvre une politique de sécurité769 ; – de sécurité des communications électroniques770. 648. À cette fin, le ministre chargé des Communications électroniques en vertu de l’article L. 33-10 du Code des Postes et des communications électroniques peut « imposer à tout opérateur de soumettre ses installations, réseaux ou services à un contrôle de leur sécurité et de leur intégrité, effectué par un service de l’État ou un organisme qualifié indépendant désigné par le ministre chargé des Communications électroniques et de lui en communiquer les résultats ». 649. Par ailleurs, conformément à l’article D. 98-5 III du Code des Postes et des communications électroniques, l’opérateur doit procéder à une double information de ses clients : – « des services existants permettant, le cas échéant, de renforcer la sécurité des communications » (CPCE, art. D. 98-5 III, al. 2) ; – lorsqu’il existe « un risque particulier de violation de la sécurité du réseau, l’opérateur informe les abonnés de ce risque ainsi que de tout moyen éventuel d’y remédier et du coût que cela implique » (CPCE, art. D. 98-5 III, al. 3). 2.
Les notifications dans la directive Sécurité des réseaux informatiques et la LPM
650. Une proposition de directive concernant la sécurité des réseaux et de l’information (SRI) avait été publiée le 7 février 2013771. Finalement, cette directive n° 2016/1148 du Parlement européen et du Conseil concernant des mesures destinées à assurer un niveau commun de sécurité des réseaux et des systèmes d’information dans l’Union a été publiée en date du 6 juillet 2016772. Entre-temps, la loi de programmation militaire (LPM) a anticipé le dispositif pour imposer de nouvelles obligations de sécurité aux opérateurs d’importance vitale. Cependant, la directive devra être complétée dans la mesure où elle ne vise pas que les OIV ; elle s’étend également aux moteurs de recherche, aux plateformes de commerce électronique. Ainsi, « un régime spécial de la notification d’incident est créé à destination des Opérateurs d’Importance Vitale, puisqu’en vertu du nouvel article L. 1332-6-2 du Code de la défense, ceux-ci sont tenus d’informer
769. CPCE, art. D. 98-5 II. 770. CPCE, art. D. 98-5 III. 771. COM (2013) 48 final, n° 2013/0027 : http://ec.europa.eu. V. É. A. Caprioli, « Publication d’une proposition de directive européenne concernant la sécurité des réseaux et de l’information (SRI) », Com. com. électr. 2013, comm. 48. 772. JOUE n° L. 194, 19 juill. 2016, p. 1.
280 | B anque
et
a ssurance
digitales
sans délai le Premier ministre des “incidents affectant le fonctionnement ou la sécurité des systèmes d’information” »773. 651. Le décret en Conseil d’État n° 2015-351 du 27 mars 2015 a créé l’article R. 1332-41-10 du Code de la défense afin de préciser les conditions et limites d’application de ces nouvelles dispositions774 : « Les opérateurs d’importance vitale communiquent à l’Agence nationale de la sécurité des systèmes d’information les informations relatives aux incidents affectant la sécurité ou le fonctionnement de leurs systèmes d’information d’importance vitale. Les opérateurs communiquent les informations dont ils disposent dès qu’ils ont connaissance d’un incident et les complètent au fur et à mesure de leur analyse de l’incident. Ils répondent aux demandes d’informations complémentaires de l’Agence nationale de la sécurité des systèmes d’information concernant l’incident. Le Premier ministre précise par arrêté, en distinguant le cas échéant selon le secteur ou le type d’activité de l’opérateur, les informations qui doivent être communiquées, les modalités de leur transmission ainsi que les types d’incident auxquels s’applique l’obligation prévue à l’article L. 1332-6-2. Lorsque l’arrêté n’est pas publié, il est notifié aux personnes ayant besoin d’en connaître ». D’autres obligations de sécurité pèsent sur les OIV, spécialement lorsqu’ils sont dans le secteur de la banque775 et de l’assurance. 3.
La DSP 2
652. L’obligation de notification des incidents de sécurité est renforcée via la directive sur les services de paiement dite « DSP 2 » pour les prestataires de services de paiement (« PSP »). Le texte prévoit, en effet, qu’en « cas d’incident opérationnel ou de sécurité majeur, les prestataires de services de paiement informent sans retard injustifié l’autorité compétente dans l’État membre d’origine du prestataire de services de paiement » (article 96). Le PSP devra notifier « sans retard injustifié », les utilisateurs des services de paiement « lorsque l’incident a ou est susceptible d’avoir des répercussions sur les intérêts financiers de ses utilisateurs de services de paiement » et les informer « des mesures disponibles qu’ils peuvent prendre pour atténuer les effets dommageables de l’incident ». L’autorité compétente devra communiquer « sans retard injustifié les détails importants de l’incident à l’ABE776 et à la BCE777 ». 773. É. A. Caprioli, « La loi de programmation militaire et sécurité de l’information », Com. com. électr. 2014, comm. 50. Selon l’article L. 1 332-6-2 du Code de la défense : « Les opérateurs mentionnés aux articles L. 1332-1 et 1332-2 informent sans délai le Premier ministre des incidents affectant le fonctionnement ou la sécurité des systèmes d’information mentionnés au premier alinéa de l’article L. 1 332-6-1 ». 774. JO 29 mars 2015. 775. V. S. Marcellin, « Cybersécurité : notifications des incidents de sécurité », Banque & Droit, n° 161, mai-juin 2015, p. 7. 776. Autorité bancaire européenne. 777. Banque centrale européenne.
de
la sécurité des systèmes d ’ information et de l ’ information
| 281
653. Cette obligation doit être mise en parallèle avec l’obligation de notifier les violations de données à caractère personnel, applicable pour l’instant aux opérateurs de communications électroniques, conformément à l’article 34 bis de la loi « Informatique et Libertés », modifiée suite à l’ordonnance du 24 août 2011, obligation étendue à tout responsable de traitement (et soustraitant) indépendamment de son activité en vertu du règlement européen sur la protection des données à caractère personnel du 27 avril 2016 (v. partie I, chapitre II). D.
Obligations de sécurité dans le règlement général de l’AMF
654. Le règlement général de l’AMF est applicable aux entreprises qui offrent une prestation de compte conservateur. Ce règlement contient les articles 322-12 et suivants du livre III, titre II, chapitre II, qui traitent de la sécurité informatique778. Les articles 322-17 et 322-18 concernent les moyens informatiques et disposent successivement : « le teneur de compte-conservateur établit et maintient opérationnels des systèmes et procédures permettant de sauvegarder la sécurité, l’intégrité et la confidentialité des informations de manière appropriée eu égard à la nature des informations concernées » et « le teneur de compte-conservateur établit et maintient opérationnels des plans de continuité de l’activité afin de garantir, en cas d’interruption de ses systèmes et procédures, la sauvegarde de ses données et fonctions essentielles et la poursuite de ses activités de tenue de compte-conservation ou, en cas d’impossibilité, afin de permettre la récupération en temps utile de ces données et fonctions et la reprise en temps utile de ses activités »779. 655. Ces obligations imposent que les procédures soient formalisées par écrit (PCA, politique de sécurité, procédure d’habilitation d’accès aux systèmes d’information ; ainsi que la « mise en place d’indicateurs de suivi de la qualité et la sécurité de la production informatique, ainsi qu’un suivi des incidents avec leur gravité, leur origine et leur plan d’éradication »780). § 2 – Normes techniques et mesures de sécurité
656. Prendre des mesures de sécurisation suffisantes suppose que la banque ou l’assurance soit conforme à un état de l’art, à une norme technique de référence qui est appliquée dans un domaine donné de la sécurité des systèmes d’information. Or, lorsqu’on parle de sécurité numérique dans la banque (ou dans l’assurance), on pense immanquablement à différentes méthodes comme Marion, Melisa, CRAMM ou encore pour une méthode plus récente Mehari781. Or, il ne sera pas question dans cet ouvrage de procéder à l’analyse détaillée 778. S. Marcellin, « Cybersécurité : notifications des incidents de sécurité », Banque & Droit, n° 161, mai juin 2015, v. spéc. p. 12. 779. Le règlement est disponible sur le site de l’AMF : www.amf-france.org 780. S. Marcellin, « Cybersécurité : notifications des incidents de sécurité », art. préc., v. p. 12. 781. Méthode harmonisée d’analyse des risques, dont la dernière version date de janvier 2010.
282 | B anque
et
a ssurance
digitales
de tous les textes des méthodes d’audit des SI782. On retiendra toutefois, celles qui, bien que non spécifiques à la banque ou à l’assurance, demeurent les plus emblématiques : d’une part, les normes ISO/EIC 27001 à 27006 sur le management de la sécurité des systèmes d’information783. Avec la norme ISO 27001, maîtriser les risques implique au préalable de disposer d’une analyse des risques, mais aussi, pour que cela perdure, de suivre une méthode « roue de Deming » avec une démarche d’amélioration continue de type PDCA (« Plan, Do, Check, Act »), ce qui correspond à : planifier, réaliser, vérifier, ajuster. Ou bien, pour la gestion des risques de sécurité des systèmes d’information, il y a aussi la méthode EBIOS (Expression des besoins et identification des objectifs de sécurité), développée et mis à jour par l’ANSSI depuis 1995784, qui est conforme au RGS et aux normes ISO 27001, 27500 et 31000. 657. Plus globalement, la sécurité numérique se compose d’outils et de services, sur la base et en application desquels les meilleures pratiques prennent corps dans un milieu professionnel donné comme ceux de la banque ou de l’assurance. Pour la sécurité des échanges et des sites Internet, de nombreux établissements, à l’image d’autres entreprises dans d’autres secteurs d’activité, utilisent des certificats d’authentification de sites Web, des firewalls, des connexions sécurisées en mode SSL (« Secure sockets layer ») ou en TLS (« Transport layer security »), ce dernier protocole ayant été développé par l’IETF (« Internet engineering task force »). A.
Application des normes professionnelles785
658. Les normes professionnelles ont pour but de garantir la fiabilité et la qualité de services ; ces normes sont censées refléter l’état de l’art technique, ce qui pose la question de leur valeur juridique786. 659. En principe, une norme est facultative ce que corrobore l’article 17, alinéa 1er, du décret n° 2009-697 du 16 juin 2009787 : « les normes sont d’application volontaire ». Elles n’ont donc pas de force contraignante. La 782. V. A. Carlier, Stratégie appliquée à l’audit des SI, Lavoisier, 2006. 783. ISO/IEC 27001 – Management de la sécurité de l’information, disponible sur le site : http://www.iso.org/iso/fr/home/standards/management-standards/iso27001.htm ; A. FerandezToro, Management de la sécurité de l’information, Eyrolles, 2016, 3e éd. 784. La méthode EBIOS (Expression des besoins et identification des objectifs de sécurité) est une méthode de gestion des risques qui a été élaborée à l’ANSSI, disponible gratuitement sur le site : http://www.ssi.gouv.fr/guide/ebios-2010-expression-des-besoins-et-identification-desobjectifs-de-securite/. Cette méthode est notamment préconisée par la CNIL pour les analyses des risques informatiques. V. CNIL, « Étude d’impact sur la vie privée » (EIVP) ; « Privacy Impact Assessment » (PIA), juin 2015 : https://www.cnil.fr/sites/default/files/typo/document/CNILPIA-1-Methode.pdf 785. FNTC, « Guide normes et labels de la dématérialisation », 2013, disponible sur le site : https://fntc-numerique.com/upload/file/guides-fntc/Guide_Normes_et_Labels.pdf 786. Sur les normes, v. A. Penneau, Règles de l’art et normes techniques, LGDJ, coll. Bibl. dr. pr., 1989. 787. Article 17 du décret n° 2009-697 du 16 juin 2009 relatif « à la normalisation », JO 17 juin 2009.
de
la sécurité des systèmes d ’ information et de l ’ information
| 283
jurisprudence a suivi cette position : « le seul fait de ne pas se conformer à une norme que certains professionnels ont librement décidé d’instaurer entre eux sans qu’elle s’impose en droit à tous les opérateurs du marché ne peut être constitutif de concurrence déloyale (…) »788. De plus, le non-respect d’une norme facultative ne peut donner lieu à l’engagement de la responsabilité civile ou pénale du professionnel789. Le Conseil d’État790, puis la Cour de cassation dans un arrêt du 20 décembre 1978791, ont confirmé ce principe. 660. Cependant, le fait de respecter une norme technique constitue un indicateur utile quant à l’appréciation de la diligence du professionnel. La Cour de cassation a jugé : « Attendu, enfin que la cour d’appel énonce à juste titre que la norme NF P 45 201 n’avait pas à l’époque des faits, de caractère réglementaire, elle constituait néanmoins l’expression de l’état de l’art et de sécurité minimum qui s’imposait à l’ensemble des professionnels »792. D’autres décisions plus récentes vont dans le même sens793. 661. Toutefois, une norme peut devenir obligatoire de deux façons : d’une part, par la voie réglementaire794 et de seconde part, par le biais du contrat conformément à l’article 1103 du Code civil (ancien article 1134)795. Concernant les archives publiques, un arrêté du 4 décembre 2009 a complété le cadre juridique. Ainsi, depuis le décret n° 2009-1124 du 17 septembre 2009 relatif à la compétence et aux coopérations entre services d’archives publics et de la coopération entre les administrations pour la collecte, la conservation et la
788. Cass. com., 23 avr. 2003, n° 01-10.623, Juris-Data n° 2003-018865. 789. A. Penneau, « Respect de la norme et responsabilités civile et pénale de l’homme de l’art », LPA n° 18, p. 28, 1er févr. 1998. 790. CE, sect., 29 mai 1970, Société Lamaraud et Cie et Perron, n° 73885, Rec. Lebon, p. 1104, précisant qu’« aucune stipulation des clauses contractuelles n’a rendu applicable au marché l’alinéa 1.545 de la norme Afnor p. 03001 ». 791. Cass. civ. 3e, 20 déc. 1978, Gaz. Pal. 1979, 1, p. 118-119 : « (u)ne cour d’appel ne s’est pas contredite en énonçant qu’à défaut de stipulation spéciale du marché relativement aux effets de la double réception, il était d’usage pour les contractants de se référer à la norme Afnor p. 03001 mais qu’en l’absence de référence contractuelle à cette norme, celle-ci, n’ayant pas de valeur légale ou réglementaire, ne pouvait suppléer le silence des parties ». 792. Cass. civ. 3e, 4 févr. 1976, Bull. civ. III, n° 49. 793. CA Aix-en-Provence, 15 sept. 2016, pour l’application de la norme d’élaboration des constats d’huissier par voie électronique : « Un tel acte ne peut être effectué par un huissier de justice qu’à la condition de respecter la norme NF Z67-147 de septembre 2010, dont les articles 4.2.1 et 4.2.2 détaillent sur 2 pages entières un certain nombre de travaux ; or le procès-verbal de constat sur internet effectué le 4 août 2011 à la requête de M. X. sur le site http://www. anastacia-beachwear.com de la société ANASTACIA ne comporte aucune mention de ces travaux obligatoires tels que la mention de l’adresse IP qui identifie le matériel, la suppression des caches avant consultation, la vérification que l’ordinateur est connecté un serveur PROXY, la preuve de l’existence de liens hypertextes vers les pages litigieuses, la suppression des cookies, et l’heure de début, ce qui démontre une violation de cette norme puisque l’huissier de justice s’est contenté de faire usage du moteur de recherches Google comme tout un chacun ». 794. V. l’article 17, alinéa 2, du décret n° 2009-697 du 16 juin 2009 relatif « à la normalisation » (JO 17 juin 2009), qui dispose que « toutefois, les normes peuvent être rendues d’application obligatoire par arrêté signé du ministre (…) ». 795. « Les contrats légalement formés tiennent lieu de loi à ceux qui les ont faits ».
284 | B anque
et
a ssurance
digitales
communication des archives publiques peuvent être confiées à des prestataires externes sous réserve d’une procédure d’agrément. Conformément à un arrêté du 4 décembre 2009796, ces prestataires de services d’archivage doivent respecter certaines normes (AFNOR) : la NF Z 40-350 pour l’archivage papier ; la NF Z42-013 pour l’archivage électronique (de mars 2009). 662. S’agissant à présent du contrat, il peut donner force obligatoire au respect d’une norme technique entre les parties. Dès lors, son non-respect sera analysé comme un manquement contractuel et la responsabilité du fautif pourra être engagée, spécialement si c’est un prestataire de services. 663. Si l’on se place du point de vue du risque de non-conformité dans le secteur bancaire et financier, il est important de souligner que l’article 10 p) de l’arrêté de l’arrêté du 3 novembre 2014797, intitulé « Risque de non-conformité » indique « le risque de sanction judiciaire, administrative ou disciplinaire, de perte financière significative ou d’atteinte à la réputation, qui naît du non-respect de dispositions propres aux activités bancaires et financières, qu’elles soient de nature législative ou réglementaire, nationales ou européennes directement applicables, ou qu’il s’agisse de normes professionnelles et déontologiques, ou d’instructions des dirigeants effectifs prises notamment en application des orientations de l’organe de surveillance ». Ainsi, ce texte établit clairement, en reprenant une rédaction identique à celle de l’article 4P du CRBF n° 97-02, que le non-respect des normes professionnelles et déontologiques constitue un risque de non-conformité. 664. Dans un autre domaine d’application (les signatures électroniques et les certificats associés), on peut citer la Politique d’acceptation commune (PAC) du CFONB798, qui « définit, pour la communauté bancaire, des critères communs de qualité et de sécurité pour des familles de certificats susceptibles d’être utilisés par une application bancaire. La PAC propose une classification selon 3 niveaux liés à la gestion du risque supporté par les applications utilisatrices. Les critères sont d’ordres techniques et juridiques et précisent les engagements et responsabilités respectifs des différents acteurs (autorité de certification ‒ AC, gestionnaire d’application, utilisateurs…) »799. B.
Le standard PCI DSS
665. Lorsqu’on se situe dans le cadre de la sécurité des paiements par carte, la norme incontournable est PCI DSS (« Payment Card Industry Data Security Standard »). Elle a été initialement développée en septembre 2006 par le PCI Security Standards Council réunissant des grands réseaux d’émetteurs de cartes 796. JO 12 déc. 2009, p. 21505. 797. JO 5 nov. 2014. 798. Comité français d’organisation et de normalisation bancaires (CFONB). La PAC actuellement en vigueur est la V. 3.1 du 29 septembre 2015. Elle est disponible à l’adresse suivante : http://www.cfonb.org/fichiers/20160324171128_CFONB_PAC_V3.1_FR.pdf 799. V. CFONB, FAQ sur la Politique d’acceptation commune (PAC), Version 1.1.
de
la sécurité des systèmes d ’ information et de l ’ information
| 285
comme Visa International, MasterCard Worldwide et American Express800. La dernière version est régulièrement mise à jour : actuellement, il s’agit de la version 3.1 du 15 avril 2015. L’objectif était de renforcer la sécurité des données des titulaires de cartes et de faciliter l’adoption de mesures de sécurité uniformes au niveau planétaire. 666. Le respect de la norme PCI DSS est imposé par le biais des contrats qui sont conclus entre les banques et les commerçants (et les fournisseurs de services de paiement). Des audits réguliers sont obligatoires. « Elle s’organise en douze “conditions” qui relèvent des six domaines suivants801 : 1. 2. 3. 4. 5. 6.
Création et gestion d’un réseau sécurisé ; Protection des données des titulaires de cartes de crédit ; Mise à jour d’un programme de gestion des vulnérabilités ; Mise en œuvre de mesures de contrôle d’accès strictes ; Surveillance et tests réguliers des réseaux ; Gestion d’une politique de sécurité des informations ».
Le manquement aux exigences de la norme peut avoir pour sanction maximale le retrait de l’agrément du réseau de l’émetteur de la carte et d’importantes pénalités financières prévues au contrat. 667. La CNIL a adopté une recommandation sur le traitement des données relatives à la carte de paiement en matière de vente ou de fourniture de services à distance, le 14 novembre 2013. Concernant la conformité de ces traitements aux articles 34 et 35 de la loi et à l’état de l’art, la délibération cite comme exemple la norme PCI DSS : « les responsables de traitements utilisent uniquement des services de paiement en ligne sécurisés et conformes à l’état de l’art et à la réglementation applicable. À cet égard, seuls les dispositifs conformes à des référentiels reconnus en matière de sécurisation de données relatives à la carte au niveau européen ou international (par exemple le standard PCI DSS) doivent être utilisés. Le responsable doit également s’assurer de la conformité du traitement aux exigences des articles 34 et 35 de la loi du 6 janvier 1978 modifiée, au travers notamment de la mise en œuvre d’une démarche de gestion des risques de manière à déterminer les mesures de sécurité organisationnelles et techniques nécessaires »802. L’article 5 de la délibération traite des mesures de sécurité, dont l’authentification renforcée du titulaire de la carte.
800. Il existe également la norme PA DSS, « Payment Application Data Security Standards » relative aux spécifications des logiciels utilisés. 801. É. A. Caprioli, Signature électronique et dématérialisation, LexisNexis, 2014, v. n° 46. 802. Délibération n° 2013-358 du 14 novembre 2013 portant adoption d’une recommandation concernant le traitement des données relatives à la carte de paiement en matière de vente de biens ou de fourniture de services à distance et abrogeant la délibération n° 2003-034 du 19 juin 2003, v. https://www.legifrance.gouv.fr/affichCnil.do?id=CNILTEXT000028276388 La délibération a été publiée le 7 décembre 2013 sur : www.legifrance.gouv.fr
286 | B anque
et
a ssurance
digitales
668. Cette norme originaire des grands réseaux nord-américains entend sécuriser les systèmes d’information des entreprises de commerce électronique proposant les paiements par carte en ligne, ainsi que des prestataires de services de paiement. Mais le contrôle de la conformité du SI à la norme génère des coûts importants. Au surplus, le respect des exigences de sécurité ne garantit pas que le SI d’une entreprise certifiée PCI DSS ne fera pas l’objet d’une atteinte quelconque (intrusion, altération et/ou extraction, reproduction de données…), dès lors que la conformité s’apprécie au moment de l’audit. Or, par définition, une faille de sécurité et/ou une violation de données à caractère personnel (numéro de carte…) entraîne un constat implacable : le commerçant ou le prestataire n’était plus conforme à la norme PCI DSS. En conséquence de quoi, le certifié risque de se voir retirer son précieux sésame. 669. Pour illustrer ce point, on citera « l’exemple en avril 2012 de la compromission chez Global Payments de données non nominatives de 1,5 million de cartes à piste magnétique distribuées aux États-Unis est ainsi marquant. Cette société a évalué dans ses comptes un coût total de 84,4 millions de dollars du fait de la compromission, incluant les investigations nécessaires, les audits pour rétablir la conformité PCI DSS, les pénalités financières des émetteurs de carte, le coût des assurances sur la protection de l’identité fournie gratuitement aux victimes, etc. »803. 670. Les banques et les assurances digitales, que leurs services soient distribués en ligne ou dans une relation physique (agences, points de vente, domicile) relèvent de secteurs économiques qui manipulent des données particulièrement sensibles, à caractère personnel, couvertes par le secret bancaire ou médical. Leurs SI, ainsi que les données qu’ils traitent, doivent être sécurisés, ce qui implique qu’un soin spécifique et exigeant soit porté à la confidentialité et aux divers contrôles d’accès. C’est pourquoi les banques et les assurances sont assujetties à des obligations nombreuses et très strictes en termes de sécurité de l’information et du numérique.
803. É. A. Caprioli (ss dir.), I. Cantero, I. Choukri, P. Agosti et F. Coupez, La banque en ligne et le droit, RB Édition, 2014, v. p. 56-57.
CHAPITRE V Les aspects contractuels de l’assurance et de la banque digitale 671. De nombreux clients recourent régulièrement aux services de banque ou d’assurance digitales, que les services bancaires soient en ligne ou constituées en agences bancaires, ou sur le lieu de vente en présence physique. Le souci de protéger le client se manifeste particulièrement dans le domaine des contrats bancaires et des contrats d’assurance conclus par voie digitale dans la mesure où il s’agit de contrats d’adhésion804, les clauses étant rédigées par les seules banques ou les assurances. Or, l’utilisation du support digital peut constituer un vivier de clauses abusives à cette utilisation. Les conditions contractuelles relatives à la banque et à l’assurance digitales restent régies par le droit commun des contrats805. Au préalable, elles doivent donc être portées à la connaissance et acceptées par les clients. Le cadre juridique a été modifié (section I) et certaines clauses ont évolué (section II).
SECTION I LE CADRE JURIDIQUE APPLICABLE À LA BANQUE DIGITALE § 1 – Droit de la consommation et banque digitale
672. L’exercice de l’activité bancaire peut, en elle-même, conduire à l’identification de clauses abusives au sein des contrats bancaires. Certains points comme le support durable (v. supra partie I, chapitre I, section III), les clauses abusives (v. supra partie I, chapitre I, section V) ou l’authentification (v. supra partie I, chapitre IV, section II) constituent des éléments importants à prendre en compte, spécialement lorsqu’il s’agit d’un espace de banque en ligne. 804. V. Ledoux, « Le nouveau déséquilibre significatif dans les contrats d’adhésion », Journal des sociétés, sept. 2016, p. 10 ; Th. Revet, « Les critères du contrat d’adhésion », D. 2016, 1771. 805. L’objectif de ce chapitre n’est pas de préciser les clauses particulières pour un contrat portant sur un produit ou un service financier mais de déterminer les conditions relatives à la digitalisation qui doivent figurer dans les documents contractuels.
288 | B anque
et
a ssurance
digitales
673. Le pouvoir discrétionnaire du juge de la consommation pour se saisir d’office du caractère abusif ou non d’une clause constitue une inconnue dans le traitement des litiges portant sur la banque et l’assurance digitales. Ainsi, en matière de clause abusive, la directive n° 93/13/CEE du 5 avril 1993, mais surtout la jurisprudence de la CJCE qui en a été retirée, ont permis progressivement une extension des pouvoirs du juge quant à l’examen du caractère abusif d’une clause. 674. Ainsi, l’arrêt de la CJCE du 4 juin 2009 affirme que le juge national est tenu d’examiner d’office le caractère abusif d’une clause contractuelle dès qu’il dispose des éléments de droit et de fait nécessaires à cet effet806. On notera que cette obligation du juge national n’est pas limitée par le délai de forclusion comme l’a précisé la CJCE dans un arrêt du 21 novembre 2002807 suite aux interrogations du Tribunal d’instance de Vienne808. 675. Cependant, la CJUE dans un arrêt du 21 février 2013809 vient de préciser que le juge qui se saisit d’office sur le caractère abusif des clauses figurant dans un contrat doit tout de même respecter le principe du contradictoire. À ce titre, il doit donc en informer les parties et leur donner la possibilité d’en débattre
806. CJCE, 4 juin 2009, aff. C-243/08, D. 2009. 2312, note G. Poissonnier ; ibid. 2010, pan. 169, obs. N. Fricero ; ibid. 797, obs. E. Poillot : JCP éd. G 2009, n° 42, p. 33, note G. Paisant ; JCP éd. E 2009, n° 42, p. 26, note L. Raschel ; Gaz. Pal. 2010, 421, obs. S. Piedelièvre : « Le juge national est tenu d’examiner d’office le caractère abusif d’une clause contractuelle dès qu’il dispose des éléments de droit et de fait nécessaires à cet effet. Lorsqu’il considère une telle clause comme étant abusive, il ne l’applique pas, sauf si le consommateur s’y oppose. Cette obligation incombe au juge national également lors de la vérification de sa propre compétence territoriale ». 807. CJCE, 21 nov. 2002, aff. C-473/00 : Rec. CJCE 2002, I, p. 10875 ; Contrats, conc., consom. 2003, comm. 31, obs. G. Raymond ; JCP éd. E 2003, 321 : « La directive n° 93/13/CEE du Conseil, du 5 avril 1993, concernant les clauses abusives dans les contrats conclus avec les consommateurs, s’oppose à une réglementation interne qui, dans une action intentée par un professionnel à l’encontre d’un consommateur et fondée sur un contrat conclu entre eux, interdit au juge national à l’expiration d’un délai de forclusion de relever, d’office ou à la suite d’une exception soulevée par le consommateur, le caractère abusif d’une clause insérée dans ledit contrat ». 808. TI Vienne, 15 déc. 2000. 809. CJUE 21 févr. 2013, aff. C-472/11 : « 1) Les articles 6, paragraphe 1, et 7, paragraphe 1, de la directive n° 93/13/CEE du Conseil, du 5 avril 1993, concernant les clauses abusives dans les contrats conclus avec les consommateurs, doivent être interprétés en ce sens que le juge national qui a constaté d’office le caractère abusif d’une clause contractuelle n’est pas tenu, afin de pouvoir tirer les conséquences de cette constatation, d’attendre que le consommateur, informé de ses droits, présente une déclaration demandant que ladite clause soit annulée. Toutefois, le principe du contradictoire impose, en règle générale, au juge national qui a constaté d’office le caractère abusif d’une clause contractuelle d’en informer les parties au litige et de leur donner la possibilité d’en débattre contradictoirement selon les formes prévues à cet égard par les règles nationales de procédure. 2) Le juge national doit, afin de porter une appréciation sur le caractère éventuellement abusif de la clause contractuelle qui sert de base à la demande dont il est saisi, tenir compte de toutes les autres clauses du contrat ».
l es
aspects contractuels de l ’ assurance et de la Banque digitale
| 289
contradictoirement. Cet arrêt précise aussi que le juge doit « tenir compte de toutes les autres clauses du contrat ». Ainsi, le juge doit-il se saisir d’office même sur les clauses sur lesquelles il n’est pas saisi par les parties. 676. Cette interprétation est renforcée par l’article L. 141-4 du Code de la consommation810. Il permet au juge de soulever d’office toutes les dispositions du Code de la consommation pour les litiges nés de son application. Ainsi, face à un processus de contractualisation électronique, un juge peut décider de rouvrir les débats en s’appuyant non sur une défaillance de procédé de signature électronique (Partie II, Chapitre IV), mais sur une mauvaise remise de l’exemplaire signé ou l’inexistence d’un bordereau de rétractation électronique. § 2 – La réforme du Code civil et la banque digitale
677. La réforme du droit des obligations811 poursuit deux objectifs : d’une part, la sécurité juridique en vue de rendre plus lisible et plus accessible le droit des contrats, le régime général et la preuve des obligations, mais aussi, d’autre part, le renforcement de l’attractivité du droit français. 678. Elle a un impact certain sur les contrats bancaires mais aussi de l’assurance, qu’ils soient ou non sous forme digitale812, sans pour autant les révolutionner. Le nouvel article 1105, alinéa 3, du Code civil dispose : « les règles générales s’appliquent sous réserve de [ces] règles particulières [à certains contrats] », ce qui signifie que le Code monétaire et financier, le Code des assurances et le Code de la consommation devront être pris en compte. Dès lors, les contrats conclus avec les consommateurs étant déjà largement encadrés par le Code de la consommation (v. partie I, chapitre I), ils devraient peu évoluer à l’aune de cette réforme. Il n’en va pas de même pour les contrats avec les clients
810. Issu de l’article 34 de la loi n° 2008-3 du 3 janvier 2008, JO 4 janv. 2008. 811. Ordonnance n° 2016-131 du 10 février 2016 portant réforme du droit des contrats, du régime général et de la preuve des obligations, JO 11 févr. 2016. V. notamment N. Molfessis, « Droit des contrats : que vive la réforme » ; JCP éd. G 2016, doctr. 180 ; A. Bénabent et L. Aynès, « Réforme du droit des contrats et des obligations : aperçu général », D. 2016, p. 434 ; D. Mazeaud, « Présentation de la réforme du droit des contrats », Gaz. Pal. 23 févr. 2016, n° 8, p. 15 ; M. Mekki, « L’ordonnance n° 2016-131 du 10 février 2016 portant réforme du droit des contrats, du régime général et de la preuve des obligations. Le volet droit des contrats : l’art de refaire sans défaire », D. 2016, p. 494. 812. V. en ce sens, J. Lasserre Capdeville, « Conséquence de la réforme du droit des obligations sur le droit bancaire – Étude prospective », JCP éd. E et A, 21 juill. 2016, 1434 ; J.-J. Daigre, « Le projet de réforme du droit des contrats et le droit bancaire et financier », Banque & Droit 2015, n° 164, éditorial ; M. Roussille, « La réforme du droit des obligations et tous ses dangers », RDBF 2015, alerte 13 ; J.-P. Bornet et P. Le Besnerais, « Libres propos sur l’ordonnance portant réforme du droit des contrats, du régime général et de la preuve des obligations », Banque & Droit, 2016, n° 166, p. 22 ; M. Boccara, E. Jouffin et M. Roussille, « Réforme du droit des contrats et du régime des obligations – Quelle incidence pour les banques ? », Banque & Droit 2016, n° 52, p. 52.
290 | B anque
et
a ssurance
digitales
professionnels, pour lesquels la liberté contractuelle est plus étendue813. Il en est ainsi concernant : – les obligations d’information précontractuelle (A) ; – les clauses abusives (B) ; – la révision pour imprévision (C). A.
Les obligations d’informations précontractuelles
679. Outre les obligations d’informations précontractuelles prévues dans le Code de la consommation, l’article 1112-1 du Code civil énonce désormais : « Celle des parties qui connaît une information dont l’importance est déterminante pour le consentement de l’autre doit l’en informer dès lors que, légitimement, cette dernière ignore cette information ou fait confiance à son cocontractant. Néanmoins, ce devoir d’information ne porte pas sur l’estimation de la valeur de la prestation. Ont une importance déterminante les informations qui ont un lien direct et nécessaire avec le contenu du contrat ou la qualité des parties. Il incombe à celui qui prétend qu’une information lui était due de prouver que l’autre partie la lui devait, à charge pour cette autre partie de prouver qu’elle l’a fournie. Les parties ne peuvent ni limiter, ni exclure ce devoir. Outre la responsabilité de celui qui en était tenu, le manquement à ce devoir d’information peut entraîner l’annulation du contrat dans les conditions prévues aux articles 1130 et suivants ». 680. Si ce devoir d’information est désormais consubstantiel de l’activité des professionnels de la banque814 ou de l’assurance, il n’est pas soumis aux mêmes limites qu’en droit de la consommation. En effet, cette information sera due quelles que soient les connaissances, la qualité (professionnel ou consommateur) ou la compétence des parties815. Certains auteurs restent circonspects : « il 813. M. Boccara, E. Jouffin et M. Roussille, art. préc. 814. Ex. : article L. 312-1-1 du Code monétaire et financier en matière d’ouverture de compte, en matière de crédit à la consommation…, ou encore en matière d’assurance de groupe, Cass. com., 3 déc. 2013, n° 12-23.976, LEDB févr. 2014, p. 1, n° 1. Cf. partie II, chapitre IV. 815. Et ce malgré le rapport remis au Président de la République relatif à l’ordonnance n° 2016-131 du 10 février 2016 portant réforme du droit des contrats, du régime général et de la preuve des obligations (JO 11 févr. 2016) : « Afin de ne pas susciter une insécurité juridique et de répondre aux inquiétudes des entreprises, ce devoir d’information ne porte pas sur l’estimation de la valeur de la prestation, conformément à la jurisprudence de la Cour de cassation (alinéa 2). Il est en outre subordonné à plusieurs conditions : l’importance déterminante de l’information pour le consentement de l’autre partie (la notion d’information déterminante étant définie à l’alinéa 3) ; la connaissance de l’information par le créancier ; l’ignorance de l’information par l’autre partie, cette ignorance devant être légitime et pouvant tenir aux relations de confiance entre
l es
aspects contractuels de l ’ assurance et de la Banque digitale
| 291
n’est pas impossible que, grâce à ce nouveau fondement juridique, on assiste au développement d’une jurisprudence où l’ignorance présumée ou légitime du contractant serait entendue de manière extensive »816. B.
Les clauses abusives
681. L’article 1171 du Code civil énonce : « Dans un contrat d’adhésion, toute clause qui crée un déséquilibre significatif entre les droits et obligations des parties au contrat est réputée non écrite. L’appréciation du déséquilibre significatif ne porte ni sur l’objet principal du contrat ni sur l’adéquation du prix à la prestation ». Un contrat d’adhésion s’entend comme « celui dont les conditions générales, soustraites à la négociation, sont déterminées à l’avance par l’une des parties » (C. civ., art. 1110, al. 2). Ainsi, quelle que soit la qualité du client, ces dispositions trouveront à s’appliquer, y compris pour les clients professionnels, ce qui impactera profondément la rédaction des contrats avec ces derniers. Certaines clauses pourraient être qualifiées d’abusives comme les clauses induisant les parties en erreur sur la gratuité d’un prêt817. C.
La théorie de l’imprévision
682. L’article 1195 du Code civil dispose : « Si un changement de circonstances imprévisible lors de la conclusion du contrat rend l’exécution excessivement onéreuse pour une partie qui n’avait pas accepté d’en assumer le risque, celle-ci peut demander une renégociation du contrat à son cocontractant. Elle continue à exécuter ses obligations durant la renégociation. En cas de refus ou d’échec de la renégociation, les parties peuvent convenir de la résolution du contrat, à la date et aux conditions qu’elles déterminent, ou demander d’un commun accord au juge de procéder à son adaptation. À défaut d’accord dans un délai raisonnable, le juge peut, à la demande d’une partie, réviser le contrat ou y mettre fin, à la date et aux conditions qu’il fixe ». 683. Il reprend le principe de la clause de hardship818. Notons, toutefois, que le juge ne dispose pas du pouvoir de fixer arbitrairement les nouvelles conditions économiques du contrat. Ce n’est qu’en cas de refus ou d’échec les cocontractants (ainsi le devoir de s’informer fixe-t-il la limite de l’obligation précontractuelle d’information). La règle de preuve posée au quatrième alinéa correspond à la solution dégagée en jurisprudence, les praticiens souhaitant consacrer explicitement dans la loi ce rappel du droit commun de la preuve. Le cinquième alinéa précise que le devoir d’information est une règle d’ordre public ». 816. J. Lasserre Capdeville, préc., n° 18. 817. J. Lasserre Capdeville, préc., n° 31. 818. M. Mekki, « Hardship et révision des contrats. Quelle méthode au service d’une harmonisation entre les droits ? », JCP éd. G 2010, doctr. 1219.
292 | B anque
et
a ssurance
digitales
d’une renégociation qu’une option est offerte aux parties : soit convenir de la résolution du contrat, soit demander au juge de déterminer à la place des parties les nouvelles conditions économiques.
SECTION II LES CLAUSES UTILES 684. Certaines clauses sont à prévoir qu’il s’agisse de se référer à un espace de banque en ligne ou au recours à une tablette dans une agence « physique » ou à des modalités d’authentification particulières. On pense ainsi à la convention de preuve, à la clause « Informatique et Libertés », à la clause de prérequis techniques. § 1 – Convention de preuve
685. La convention de preuve doit être entendue comme un accord exprès par lequel les parties modifient les règles normales de la preuve judiciaire, soit quant à la charge de la preuve, soit quant à la détermination des faits à prouver, soit quant à l’emploi des procédés de preuve. Elle a pour finalité de permettre aux parties d’aménager la manière dont elles vont démontrer les droits qu’elles peuvent être amenées à invoquer l’une contre l’autre, et éventuellement à faire valoir en justice. 686. Les règles probatoires énoncées en matière civile sont des règles supplétives par opposition à celles d’ordre public, c’est-à-dire que les parties pourront les aménager dans le cadre de la convention de preuve (qui figurera dans la convention de compte, dans la convention de banque ou d’assurance en ligne ou un autre document contractuel : contrat de crédit…). Mais, la liberté contractuelle est strictement encadrée dans ce domaine. Ainsi, la convention de preuve ne doit pas entraver les règles de procédure, ni paralyser le dispositif probatoire de l’autre partie, en l’empêchant, par exemple, de combattre la preuve que s’est constituée le professionnel. En effet, seuls les droits dont les parties ont la libre disposition peuvent être l’objet de telles conventions (C. civ., art. 1356, al. 1). La convention de preuve doit être adaptée aux besoins juridiques des clients de la banque ou de l’assurance digitales. 687. Le nouveau Code civil, dans son article 1368, dispose : « À défaut de dispositions ou de conventions contraires, le juge règle les conflits de preuve par écrit en déterminant par tout moyen le titre le plus vraisemblable ». Cet article écarte le pouvoir d’appréciation du juge pour déterminer lequel des actes l’emporte, lorsqu’il existe une convention de preuve. Si la licéité de ces conventions sur les procédés de preuve est incontestée, des réserves quant à leur validité peuvent naître de l’impossibilité de rapporter la preuve contraire. Il
l es
aspects contractuels de l ’ assurance et de la Banque digitale
| 293
importe que le client, consommateur ou professionnel819, soit admis à rapporter la preuve de la défaillance du système. En présence d’un consommateur, on pourra également considérer qu’il s’agit d’une clause abusive, conformément à l’article L. 212-1 du Code de la consommation. D’une façon plus générale, ces conventions de preuve trouveront, en droit français, leurs limites dans l’office du juge. La convention ne saurait, en effet, attribuer la plénitude de la force probante au procédé de preuve élu. Elle institue au mieux une présomption qui peut être renversée lors du débat judiciaire, sous le contrôle du juge820. 688. En analysant l’article 1368 du Code civil, on notera également le critère de vraisemblance de la preuve littérale en l’absence de convention valable entre les parties. Le juge détermine par tous moyens le titre le plus vraisemblable en cas de conflit de preuves littérales, sous réserve qu’aucun doute, ni qu’aucune dénégation ne soit intervenue à l’encontre des deux actes. 689. Ce type de convention permet d’éclairer le client sur les moyens de preuve dont les parties disposent et qu’il accepte. Cela permet, d’autre part, d’éviter toute contestation ultérieure ou du moins de décourager toute contestation non sérieuse. Elle facilite le travail du juge lorsqu’il devra apprécier la force probante des preuves électroniques produites (signature électronique d’une opération, authentification par OTP ‒ One Time Password, messages électroniques, horodatage…). 690. Les conventions de preuve ont l’avantage de renforcer le caractère loyal de la preuve électronique en réduisant en amont (sans toutefois le supprimer) le caractère unilatéral de certains modes de preuve grâce à l’accord préalable donné par le client (sous réserve de leur caractère équilibré). § 2 – Le descriptif des services
691. Une clause doit décrire de manière précise les étapes de la cinématique (de la présentation des documents ou des opérations) jusqu’à la phase de validation ou de signature d’un contrat (signature sur tablette, envoi d’un OTP SMS…), voire la phase d’archivage (partie II, chapitre I).
819. L’article 1356, alinéa 2, dispose : « Néanmoins, ils ne peuvent contredire les présomptions irréfragables établies par la loi, ni modifier la foi attachée à l’aveu ou au serment. Ils ne peuvent davantage établir au profit de l’une des parties une présomption irréfragable ». Cela signifie que, même en B2B, les conventions de preuve doivent permettre la contradiction. 820. En matière de force probante, v. la jurisprudence sur les compteurs (eau EDF), notamment Cass. civ. 1re, 4 janv. 1995, Bull. civ. I, 1995, n° 10, p. 7 : « (…) alors, d’autre part, que le seul fait que le compteur ait enregistré une consommation d’eau, même lorsque l’arrivée d’eau située dans la maison était fermée n’impliquait pas nécessairement un fonctionnement défectueux dudit compteur, cette circonstance pouvant résulter notamment d’une fuite sur les 40 mètres de canalisations séparant le compteur de la maison ; que, dès lors, le Tribunal, en considérant que Mme X.. avait rapporté la preuve qui lui incombait du fonctionnement défectueux du compteur, sans rechercher s’il n’existait pas une autre cause aux indications portées sur ce dernier, a manifestement violé l’article 1315 du Code civil ; (…) ».
294 | B anque
et
a ssurance
digitales
Il est important que l’ensemble des fonctionnalités soit détaillé sans omission pour informer au mieux les clients. § 3 – Obligations / responsabilités
692. Le descriptif des services doit permettre de qualifier au mieux les obligations du client mais aussi de l’établissement bancaire et financier ou de l’assurance et ainsi de déterminer l’étendue de leurs responsabilités respectives. Il est important de déterminer quelles sont les obligations qui peuvent être considérées comme étant de moyens, ainsi que celles de résultat. Notons ici que le droit de la consommation trouve également à s’appliquer, particulièrement les dispositions relatives aux clauses abusives telles que prévues à l’article L. 212-1 du Code de la consommation. Fréquemment, les établissements bancaires et financiers ou les assurances prévoient des exonérations de responsabilité relatives à l’utilisation des réseaux pour les échanges, ces derniers n’en ayant pas la maîtrise, ou encore celles relatives à l’utilisation de dispositifs de sécurité. § 4 – Les mesures de sécurité
693. Les aspects relatifs à la sécurité sont traités dans la partie I, au chapitre IV. § 5 – La clause « Informatique et Libertés » et la clause de secret bancaire
694. Ces clauses sont essentielles dans le cadre de l’équilibre de l’activité bancaire (partie I, chapitre II).
SECTION III L’INCLUSION DES STIPULATIONS RELATIVES À LA BANQUE ET À L’ASSURANCE DIGITALES 695. Dans l’immense majorité des cas, les stipulations sont intégrées dans les contrats standards (§ 1), notamment lorsque la souscription s’effectue en agence ou avec un commercial (assurance), voire en ligne. Toutefois, la convention de banque ou d’assurance en ligne peut être perçue fréquemment comme un service autonome et payant, soumis à des conditions contractuelles spécifiques (§ 2).
l es
aspects contractuels de l ’ assurance et de la Banque digitale
| 295
§ 1 – Inclusion des conditions de Banque en ligne (BEL) dans la convention de compte de dépôt
696. D’une part, les clauses envisagées en section II peuvent être intégrées dans les contrats standards, comme en cas de souscription par voie électronique d’un contrat en agence. D’autre part, le Code monétaire et financier prévoit, dans son article L. 312-1-1, des règles propres à la convention de compte de dépôt. Toutefois, il n’est fait état à aucun moment de dispositions relatives aux services de banque en ligne, mais uniquement aux « opérations relatives à la gestion d’un compte de dépôt »821. L’application de telles dispositions à la banque en ligne n’est donc obligatoire que dans l’hypothèse où le service de banque en ligne est un service standard. Il peut arriver que certains établissements bancaires et financiers cherchent à modifier les conditions contractuelles propres au service de banque en ligne (ou d’autres services comme les services de signature électronique) en recourant aux dispositions légales relatives aux modifications propres aux conventions de compte de dépôt. Ainsi, l’article L. 312-1-II du Code monétaire et financier dispose : « II. – Tout projet de modification de la convention de compte de dépôt est communiqué sur support papier ou sur un autre support durable au client au plus tard deux mois avant la date d’application envisagée. Selon les modalités prévues dans la convention de compte de dépôt, l’établissement de crédit informe le client qu’il est réputé avoir accepté la modification s’il ne lui a pas notifié, avant la date d’entrée en vigueur proposée de cette modification, qu’il ne l’acceptait pas ; dans ce cas, l’établissement de crédit précise également que, si le client refuse la modification proposée, il peut résilier la convention de compte de dépôt sans frais, avant la date d’entrée en vigueur proposée de la modification ». Cette technique – artificielle – est employée lorsque les établissements bancaires et financiers entendent ne pas requérir un nouveau consentement express de la part des titulaires de BEL pour une évolution du service. À ce titre, elle est critiquable et peut éventuellement être remise en cause. § 2 – Inclusion des dispositions de Banque en ligne (BEL) dans un document autonome
697. Le service de BEL peut également être un service autonome, souvent souscrit au moment de l’ouverture d’une convention de compte pour consulter via Internet les opérations effectuées sur un compte de dépôt (Partie II, Chapitre IV). De ce fait, la souscription d’une convention de BEL est souvent réalisée avec une
821. Ces aspects de banque en ligne ne constituent pas – en principe – un service de compte de dépôt.
296 | B anque
et
a ssurance
digitales
signature manuscrite (ou électronique) en agence. D’ailleurs, tant que l’entrée en relation d’un prospect ne sera pas totalement dématérialisée, on peut penser que la convention de BEL – nécessaire pour agir à distance – sera signée en agence.
PA R T I E I I OPÉRATIONS DE BANQUE ET D’ASSURANCE DIGITALES
698. La transformation digitale est partout ; elle innerve chaque pan de l’activité bancaire822, que cette transformation traite des modes d’entrée en relation, des supports de contractualisation (smartphone, tablette…) ou plus prosaïquement l’émergence du « Chief Digital Officer » en charge d’en superviser tous les aspects (souvent techniques et marketing). Tous les produits et services traditionnels de la banque et de l’assurance ont pris le virage du digital, qu’il s’agisse de la digitalisation des échanges (chapitre I), des opérations de paiement (chapitre II), de la banque en ligne (chapitre III) et, enfin, de la souscription de la quasi-totalité des produits ou services financiers dont seulement certains seront étudiés (chapitre IV).
822. V. notamment Ph. Vidal, N. Gorra, « Banque digitale : faire la course en tête », Rev. Banque n° 779-780, janv. 2015, p. 80.
CHAPITRE I Les principes de la digitalisation des documents 699. Toute la stratégie des banques est tournée vers le digital. Désormais, la majeure partie des produits bancaires ou d’assurance (contrat d’épargne, convention de banque…) est digitalisée/dématérialisée ou en passe de le devenir823. Mais cette situation n’a pas toujours été si favorable : dans les années 2000, malgré l’intégration de la preuve et de la signature électroniques dans le Code civil824, les projets bancaires de dématérialisation peinaient à démarrer. 700. Certaines initiatives d’acteurs bancaires ont fait jour, suite à certaines innovations du marché en 2006-2007, spécialement les certificats émis à la volée qui ont permis, de l’aveu du milieu bancaire, le décollage du secteur. Plus récemment, le secteur de l’assurance a suivi le même mouvement. 701. Toutefois, l’une des craintes majeures des acteurs reste de disposer d’écrits sous forme électronique dont la valeur juridique est équivalente à celle des écrits sur support papier. Le corpus législatif et réglementaire a été progressivement complété de telle façon qu’aujourd’hui, tous les produits bancaires et d’assurance (ou presque) peuvent être souscrits par voie électronique. Si les processus de contractualisation ne négligent en rien la phase d’établissement de l’écrit électronique (section I), il n’en va pas de même pour la phase de conservation de l’écrit (section II).
823. V. Cabinet Caprioli & Associés, ouvrage collectif, La banque en ligne et le droit, RB Édition, 2014. 824. V. É. A. Caprioli, Signature électronique et dématérialisation, LexisNexis, 2014 ; v. P. Catala, « Le formalisme et les nouvelles technologies », Rép. Defrénois, art. 37210, 2000 ; P.-Y. Gautier et X. Linant de Bellefonds, préc. ; J. Huet, « Vers une consécration de la preuve et de la signature électroniques », D. 2000, n° 6, chron., p. 95 et s. ; P. Leclercq, art. préc. ; A. Raynouard, « Adaptation du droit de la preuve aux nouvelles technologies de l’information et à la signature électronique », Rép. Defrénois n° 10, 2000, doctr., p. 593 et s. ; É. A. Caprioli, « La loi française sur la preuve et la signature électroniques dans la perspective européenne », JCP éd. G, 2000, I, 224 et « Écrit et preuve électroniques dans la loi n° 2000-230 du 13 mars 2000 », JCP éd. E 2000, Cah. dr. entr. n° 2, suppl. au n° 30, p. 1-11.
300 | B anque
et
a ssurance
digitales
SECTION I L’ÉTABLISSEMENT D’UN ÉCRIT ÉLECTRONIQUE § 1 – L’authentification / l’identification du client
702. La phase d’authentification du client constitue un préalable indispensable de tous les processus de contractualisation sous forme électronique que peuvent mettre en place les organismes financiers, bancaires ou assurantiels. Cette phase ne doit pourtant pas être confondue avec les obligations de connaissance de la clientèle (partie I, chapitre III). A.
L’identification « KYC » de l’auteur
703. Cette exigence de vérification d’identité est rappelée de manière forte en renvoyant à la notion d’authentification prévue dans la directive n° 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015 concernant les services de paiement dans le marché intérieur, modifiant les directives n° 2002/65/ CE, n° 2009/110/CE et n° 2013/36/UE et le règlement n° 1093/2010/UE qui indique : « authentification, une procédure permettant au prestataire de services de paiement de vérifier l’identité d’un utilisateur de services de paiement ou la validité de l’utilisation d’un instrument de paiement spécifique, y compris l’utilisation des données de sécurité personnalisées de l’utilisateur » (art. 4.29). 704. Or, le plus souvent, l’authentification s’appuie sur les données des clients collectées dans le cadre des procédures de connaissance client (« Know Your Customer ») pour des raisons de conformité légale (partie I, chapitre III). Les exigences de conformité légale et civiliste ne doivent pourtant pas être confondues même si le législateur européen a mêlé les deux dans le cadre de la directive n° 2015/849/UE du Parlement européen et du Conseil du 20 mai 2015 relative à la prévention de l’utilisation du système financier aux fins du blanchiment de capitaux ou du financement du terrorisme825, notamment parmi les facteurs de situations de risque plus élevés. L’annexe III compte parmi les facteurs de risques liés aux produits, aux services, aux transactions ou aux canaux de distribution : « c) [les] relations d’affaires ou transactions qui n’impliquent pas la présence physique des parties et qui ne sont pas assorties de certaines garanties telles qu’une signature électronique ». 705. La garantie relative à la signature électronique prévue dans cette annexe III devra être considérée comme équivalente à une vérification d’identité en face-àface (puisqu’il n’y aurait pas de présence physique des parties). Un lien est donc établi entre les deux typologies d’exigences. Notons, toutefois, que certaines signatures électroniques ne s’appuient pas sur des certificats nécessitant un réel face-à-face, mais uniquement sur la vérification de pièces justificatives. Dès 825. JOUE n° L. 141, 5 mai 2015, p. 73.
l es
principes de la digitalisation des documents
| 301
lors, le fait de recourir à une signature électronique ne doit pas être considéré automatiquement comme une garantie suffisante, les modalités de délivrance du certificat étant elles aussi essentielles. 706. L’identification électronique est définie dans le règlement n° 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur (eIDAS)826 comme « le processus consistant à utiliser des données d’identification personnelle sous une forme électronique représentant de manière univoque une personne physique ou morale, ou une personne physique représentant une personne morale » (art. 4.1)827. Mais l’identification électronique dont il s’agit ici et qui dispose d’un chapitre particulier (chapitre II) est relative aux identités électroniques délivrées par la puissance régalienne et non d’un service offert par une personne privée. Il est donc traité de la délivrance des moyens d’identification électronique relevant de la compétence nationale des États membres. L’objectif de ce chapitre du règlement eIDAS est d’indiquer les modalités de reconnaissance mutuelle des moyens d’identification étatiques (art. 6), reconnaissance effectivement applicable à compter du mois de septembre 2018. 707. Si le recours à l’identification électronique régalienne au sens du règlement eIDAS semble, pour l’heure, réservée aux services en ligne fournis par des organismes du secteur public, le règlement laisse ouverte la possibilité que ces moyens d’identification électronique soient également utilisés pour le secteur privé – a fortiori tels que la banque et l’assurance – dans un de ses considérants : « (17) Les États membres devraient encourager le secteur privé à utiliser, sur une base volontaire, aux fins de l’identification exigée par des services en ligne ou des transactions électroniques, les moyens d’identification électronique relevant d’un schéma notifié. La possibilité d’utiliser de tels moyens d’identification électronique permettrait au secteur privé de s’appuyer sur des fonctions d’identification et d’authentification électroniques déjà largement utilisées dans de nombreux États membres, au moins pour les services publics, et de faciliter l’accès des entreprises et des particuliers à leurs services en ligne transfrontaliers. Afin de faciliter l’utilisation transfrontalière de tels moyens d’identification électronique par 826. JOUE n° L. 257, 28 août 2014, p. 73 et s. Pour plus de détails, v. É. A. Caprioli, « Signature électronique et dématérialisation », LexisNexis, 2014. Concernant la proposition de règlement, É. A. Caprioli, P. Agosti, « La régulation du marché européen de la confiance numérique : enjeux et perspectives de la proposition de règlement européen sur l’identification électronique et les services de confiance », Com. com. électr. févr. 2013, p. 10 ; T. Piette-Coudol, « Une législation européenne pour la signature électronique (À propos du règlement européen sur l’identification électronique et les services de confiance) », Droit de l’immatériel, n° 84, juin. 2012, p. 78. 827. V. aussi l’article 4.2 : « moyen d’identification électronique : un élément matériel et/ou immatériel contenant des données d’identification personnelle et utilisé pour s’authentifier pour un service en ligne ».
302 | B anque
et
a ssurance
digitales
le secteur privé, la possibilité d’authentification prévue par un État membre devrait être accessible aux parties utilisatrices du secteur privé établies en dehors du territoire de cet État membre aux mêmes conditions que celles qui sont appliquées aux parties utilisatrices du secteur privé établies sur le territoire dudit État membre. Dès lors, en ce qui concerne les parties utilisatrices du secteur privé, l’État membre notifiant peut définir des conditions d’accès aux moyens d’authentification. Ces conditions d’accès peuvent indiquer si le moyen d’authentification relatif au schéma notifié est actuellement accessible aux parties utilisatrices du secteur privé »828. 708. L’article 86 de la loi829 pour une République numérique a intégré dans le Code des Postes et des communications électroniques un nouvel article L. 136 qui dispose : « La preuve de l’identité aux fins d’accéder à un service de communication au public en ligne peut être apportée par un moyen d’identification électronique. Ce moyen d’identification électronique est présumé fiable jusqu’à preuve du contraire lorsqu’il répond aux prescriptions du cahier des charges établi par l’autorité nationale de sécurité des systèmes d’information, fixé par décret en Conseil d’État. Cette autorité certifie la conformité des moyens d’identification électronique aux exigences de ce cahier des charges ». « II. – Dans les conditions prévues à l’article 38 de la Constitution, le Gouvernement est autorisé à prendre par ordonnances : 1° Toute mesure relevant du domaine de la loi afin de permettre de faciliter l’utilisation du processus d’identification électronique défini à l’article L. 136 du Code des postes et des communications électroniques par la personne concernée pour justifier de son identité et pour communiquer ou recevoir des informations
828. Par exemple, il pourra être utile de vérifier si le Schéma d’identification France Connect – réservé pour l’heure aux téléservices – et qui devrait être notifié à la Commission européenne, pourra être accessoirement utilisé par les établissements bancaires et financiers. En effet, France Connect fait partie de la stratégie d’État plateforme, et a été conçu, dans un premier temps, pour simplifier la relation usager/administration en France par le biais : • d’un système d’identification et d’authentification pouvant être reconnu par toutes les administrations offrant des services en ligne (impôts, CAF, sécurité sociale, mairie, etc.), afin de limiter la pratique consistant à créer un compte (identifiant/mot de passe) par administration ; • et d’un système permettant l’échange de données entre les diverses administrations afin d’éviter que ce dernier remette à une administration un document qu’une autre administration possède déjà (attestation de domicile, avis d’imposition, acte de naissance, etc.). Dans un second temps, l’extension de l’utilisation de France Connect aux organismes privés (banques, assurances…) est envisageable. 829. Loi n° 2016-1321 du 7 octobre 2016 pour une République numérique, JO 8 oct. 2016.
l es
principes de la digitalisation des documents
| 303
ou documents demandés ou délivrés par les autorités publiques ou dans le cadre de transactions commerciales ou d’échanges entre particuliers et professionnels ; 2° Toute mesure relevant du domaine de la loi afin d’adapter le cadre juridique existant ayant pour objet ou se rapportant à l’identification électronique et aux services de confiance par voie électronique au regard des dispositions du règlement n° 910/2014/UE du Parlement européen et du Conseil du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive n° 1999/93/ CE. Ces ordonnances sont prises dans un délai de douze mois à compter de la promulgation de la présente loi. Un projet de loi de ratification est déposé devant le Parlement dans un délai de trois mois à compter de la publication de chaque ordonnance ». Dès lors, l’identification électronique sur laquelle pourrait s’appuyer l’organisme bancaire, financier ou assurantiel pourrait, à l’avenir, être un moyen d’identification au sens du règlement eIDAS. À ce titre, il conviendra de déterminer la compatibilité des moyens d’identification du marché avec le référentiel européen830. B.
L’identification « civiliste » de l’auteur de l’acte
709. L’identification de l’auteur est une des conditions sine qua non de reconnaissance juridique de l’écrit sous forme électronique comme le rappelle utilement l’article 1366 du Code civil (anciennement article 1316-1 repris en substance) : « l’écrit électronique a la même force probante que l’écrit sur support papier, sous réserve que puisse être dûment identifiée la personne dont il émane et qu’il soit établi et conservé dans des conditions de nature à en garantir l’intégrité ». Le Code civil pose comme une des conditions de validité et de preuve des actes établis et conservés par voie électronique l’identification du signataire. À défaut d’identification fiable, le contrat pourra être considéré comme nul ou comme un simple commencement de preuve et à ce dernier titre, être combattu par tout élément de preuve contraire. 710. Il est donc nécessaire pour les organismes bancaires, financiers et assurantiels de s’appuyer sur des données d’identité fiables des clients. Celles-ci sont comprises dans les dossiers clients qu’ils détiennent. C’est pourquoi ces organismes ont un rôle déterminant à jouer dans le cadre de la délivrance des certificats électroniques, essentiels pour le recours à la signature électronique. Les certificats de signature électronique se définissent comme : « une attestation électronique qui associe les données de validation d’une signature électronique 830. Pour l’heure, France Connect ne relève pas du niveau substantiel ou élevé au sens du règlement eIDAS.
304 | B anque
et
a ssurance
digitales
à une personne physique et confirme au moins le nom ou le pseudonyme de cette personne (…) ». 711. Normalement, la tâche de délivrance des certificats, qu’ils s’agissent de certificats standards, c’est-à-dire ayant une durée de vie d’un à trois ans, ou des certificats « éphémères » ou « à usage unique » ou « à la volée » délivrés pour un laps de temps relativement court (de l’ordre de quelques minutes ou d’une session de temps) pendant lequel le client pourra signer un ou plusieurs documents selon les options retenues par l’organisme, n’est pas toujours effectuée directement831 par les organismes bancaires, financiers et assurantiels (ou leurs GIE), mais par des prestataires de services de confiance externes, entendus comme « une personne physique ou morale qui fournit un ou plusieurs services de confiance, en tant que prestataire de services de confiance qualifié ou non qualifié » (article 3.19 du règlement eIDAS). 712. Mais, au vu des schémas techniques et contractuels retenus par le marché, la gestion des données des clients et plus généralement de la relation client, nécessaires à l’établissement des certificats, reste à la charge des organismes bancaires, financiers et assurantiels. Ils jouent alors le rôle d’autorité d’enregistrement832. Ainsi, afin que la signature électronique permette de vérifier l’identité du signataire comme le texte le prévoit, il convient donc que la délivrance du certificat s’accompagne du respect de procédures d’enregistrement détaillées et de délivrance (ou de mise à disposition) qui seront à la charge des organismes bancaires, financiers et assurantiels, cette délivrance supposant l’identification préalable du client (la vérification de son identité). 713. Un des critères de la fiabilité et donc de la portée juridique de la signature se trouve dans les moyens mis en place pour authentifier le client avant la délivrance du certificat lui permettant réellement de signer. 714. L’article 33 de la loi « Informatique et Libertés »833 impose aux Prestataires de services de confiance (PSCo) de collecter les données à caractère personnel nécessaires à la délivrance et la conservation d’un certificat électronique directement auprès des personnes concernées. 715. Les données ne peuvent être traitées « que pour les fins en vue desquelles elles ont été recueillies », c’est-à-dire la délivrance et la conservation des certificats liés aux signatures électroniques. Aucune mention ne porte sur la révocation des certificats et leur renouvellement et ces opérations semblent devoir être assimilées à de simples fonctionnalités liées à la finalité principale « de gestion des 831. Mais, dans certains cas, les établissements bancaires et financiers peuvent internaliser ces prestations. 832. L’autorité d’enregistrement applique des procédures d’identification de personnes physiques ou morales. Elle dispose des informations personnelles et caractéristiques du demandeur de certificat. 833. Le RGPD (cf. partie I, chapitre II) devrait modifier ce fondement textuel.
l es
principes de la digitalisation des documents
| 305
certificats » (délivrance, révocation, vérification de la validité et conservation). En pratique, l’objectif recherché consiste à éviter une marchandisation des données au mépris du consentement de l’internaute834 et conserver l’utilité première des certificats qui est de permettre de rapporter la preuve de la vérification de l’identité d’un titulaire de certificat à un instant donné, c’est-à-dire au moment de la signature d’un acte. 716. Du fait de cette intrication des rôles entre le PSCo et l’organisme bancaire, financier ou assurantiel qui joue un rôle dans la délivrance des certificats, il convient de déterminer qui est responsable de traitement pour toutes les données personnelles qui sont collectées et exploitées pour la fourniture des services. Les prestataires doivent veiller à conserver les données pour une durée limitée dans le temps, liée à la validité du certificat, et le cas échéant, aux délais de conservation/prescription applicables (en moyenne six à dix ans). Ils sont tenus d’accomplir les formalités obligatoires auprès de la CNIL (déclarations, voire demandes d’autorisation en cas d’utilisation de procédés biométriques pour l’authentification), d’assurer la sécurité et la confidentialité des données conformément à l’article 34 de la loi « Informatique et Libertés » et de garantir les droits « Informatique et Libertés » (droit d’accès aux données traitées, droit d’opposition au traitement, droit de rectification/suppression des données). 717. En cas de manquements aux obligations prescrites, ils sont passibles de sanctions administratives de la CNIL, ainsi que des sanctions pénales prévues aux articles 226-16 et suivants du Code pénal (v. partie I, chapitre II). Ces éléments seront amenés à évoluer avec l’entrée en vigueur du règlement n° 2016/679/UE du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive n° 95/46/CE (règlement général sur la protection des données)835. 718. Une fois que le signataire a été identifié et sous la réserve de l’exécution des obligations d’information précontractuelle omniprésentes dans le domaine bancaire, financier et assurantiel (v. partie II, chapitre IV), la phase de conclusion du contrat proprement dite est initiée. § 2 – Les règles d’établissement de l’écrit sous forme électronique
719. L’établissement bancaire ou assurantiel devra veiller à ce que l’écrit sous forme électronique constatant le contrat respecte les exigences formulées aux articles 1366 et 1367, éventuellement aux articles 1174 et 1375, alinéa 4, du Code civil.
834. L. Marino et R. Perray, « Les nouveaux défis du droit des personnes : la marchandisation des données personnelles », in J. Rochfeld (ss dir.), Les nouveaux défis du commerce électronique, LGDJ, 2010, p. 61. 835. JOUE n° L. 119, 4 mai 2016, p. 1.
306 | B anque
A.
et
a ssurance
digitales
L’écrit requis à titre de preuve
720. En droit français, l’écrit constitue le moyen privilégié de la preuve depuis l’ordonnance de Moulins de février 1566. Il permet de préconstituer la preuve afin de disposer de documents attestant des engagements des parties dans l’hypothèse d’une contestation ultérieure. En matière civile, l’article 1359836 du Code civil reprend le contenu du texte de l’ordonnance de Moulins et prescrit la rédaction d’un écrit afin de prouver tout acte portant sur une chose (produit, service, etc.) d’une valeur supérieure à 1 500 euros837. 721. Notons que l’alinéa 2 de cet article prévoit que ces règles sont « sans préjudice de ce qui est prescrit dans les lois relatives au commerce », signifiant ainsi que les règles commerciales spécifiques, applicables entre commerçant, dérogent à ce principe du droit civil. 722. L’article 1366 du Code civil met en exergue les fonctions juridiques d’un écrit sous forme électronique pour valoir preuve en justice. Ainsi, ce dernier doit permettre que « puisse être dûment identifiée la personne dont il émane et qu’il soit établi et conservé dans des conditions de nature à en garantir l’intégrité ». 1.
L’identification de la personne
723. L’établissement d’un écrit sous forme électronique nécessite donc que l’identification de son auteur soit effectuée de la manière la plus précise possible. Plusieurs modes d’identification reposant sur des procédés électroniques existent et seront abordés infra (v. partie I, chapitre IV, section II). 2.
L’intégrité de l’écrit dans le temps
724. L’intégrité des écrits sous forme électronique est la clé de voûte du dispositif probatoire en matière électronique. Rappelons ici que, suivant les dispositions de l’article 1366 du Code civil, l’écrit doit être « conservé dans des conditions de nature à en garantir l’intégrité ». L’auteur, signataire de l’acte, doit être sûr que le document qu’il a signé (établissement), transmis et conservé est le même (contenu identique) que celui reçu et conservé, le cas échéant, par le (ou les) destinataire(s). On peut considérer que, pour respecter cette exigence fonctionnelle d’intégrité, toute modification du contenu d’un document devra être détectable lors de la vérification. À l’heure actuelle, l’intégrité d’un acte 836. Il dispose : « Hors les cas où la loi en dispose autrement, la preuve peut être apportée par tout moyen » et à l’article 1359 (alinéas 1 et 2) : « L’acte juridique portant sur une somme ou une valeur excédant un montant fixé par décret doit être prouvé par écrit sous signature privée ou authentique. Il ne peut être prouvé outre ou contre un écrit établissant un acte juridique, même si la somme ou la valeur n’excède pas ce montant, que par un autre écrit sous signature privée ou authentique ». 837. Il s’agissait du montant avant la modification de l’ordonnance portant réforme du droit des contrats et des obligations.
l es
principes de la digitalisation des documents
| 307
sous forme électronique est indissociablement liée à l’utilisation de la signature numérique ou plus précisément de son empreinte838. La notion d’intégrité est considérée techniquement comme la « caractéristique d’une information qui n’a subi aucune destruction, altération ou modification intentionnelle ou accidentelle »839. Par là, toute modification du contenu d’un document devra être immédiatement détectable. 725. En application de l’article 1366 du Code civil, l’intégrité de l’écrit sous forme électronique doit être garantie pendant toute la durée de sa conservation pour qu’il soit recevable en tant que preuve au même titre que l’écrit sur support papier. Ceci signifie que la conservation électronique doit garantir que l’acte archivé n’a subi aucune altération, ni modification qui n’ait été détectable et détectée. La preuve du respect de cette exigence juridique reposera sur la fiabilité du procédé d’archivage mis en place. C’est pourquoi toute modification du format initial du document archivé constitue une faille dans la garantie de l’intégrité au sens technique du terme (dès que l’on touche un « bit » d’un fichier l’intégrité technique risque en effet d’être perdue) et devra donc être assortie d’une description précise du processus utilisé afin de montrer que l’intégrité du contenu informationnel n’a pas été touchée. 726. En outre, l’intégrité du contenu informationnel doit être assurée. Trois critères840 doivent être remplis : – lisibilité du document ; – stabilité du contenu informationnel ; et – traçabilité des opérations sur le document. 727. À l’heure actuelle, l’intégrité d’un acte sous forme électronique est quasiindissociablement liée à l’utilisation de la signature numérique841 qui permet de vérifier cette fonction essentielle au moyen du certificat électronique associé à la clé privée ayant permis de signer. 728. Sur le plan technique, la signature numérique permet de s’assurer que lors de la transmission de l’acte juridique, l’acte reçu est bien intègre par rapport à celui qui a été signé par l’émetteur. Contrairement au papier où le lien est physique, la signature numérique est liée logiquement à l’acte. Son intégrité se confond ainsi avec le « hachage irréversible » de l’acte. Grâce à cette opération technique réalisée à l’aide du dispositif de signature, l’empreinte numérique ou 838. Pour de plus amples détails concernant l’intégrité, v. É. A. Caprioli, « Signature électronique et dématérialisation », préc. n° 84 et s. 839. Norme Afnor Z42-013, § 3.17, version de mars 2009. 840. V. « La conservation électronique des documents », une recommandation du « Forum des droits sur l’Internet », disponible à l’adresse : http://www.foruminternet.org/telechargement/ documents/reco-archivage-20051201.pdf 841. La signature numérique est un procédé technique de signature reposant sur le recours à d’un certificat à clé publique.
308 | B anque
et
a ssurance
digitales
« condensat » du document est réalisée de façon à assurer le caractère unique et propre au document de l’empreinte numérique. Le chiffrement avec la clé privée de signature (le code d’activation de cette clé est connu du seul signataire) et son déchiffrement par sa clé publique qui figure dans le certificat prouvera, quant à elle, l’identité du signataire par le biais du certificat. La comparaison de l’empreinte numérique déchiffrée et celle du document réalisé par le destinataire démontreront l’intégrité de l’acte reçu. Cet acte ou document sera ainsi réputé intègre depuis le moment de son établissement. Une fois la vérification opérée (manuellement ou par un service de validation), le document signé devra être « conservé dans des conditions de nature à en garantir l’intégrité ». B.
L’écrit requis à titre de validité de l’acte
729. Rappelons que le droit civil comporte des règles strictes susceptibles de faire obstacle à la conclusion des contrats par voie électronique842. Ainsi, notre système juridique a posé l’exigence de l’écrit pour certains actes sous seing privé (ex. : bail, crédit à la consommation, crédit immobilier, contrat de travail à durée déterminée, statuts de société, cession de brevets d’invention…) à titre de solennité843, même si la sanction n’est pas toujours la nullité de l’acte844. Ainsi, le premier alinéa de l’article 1174 du Code civil dispose désormais : « Lorsqu’un écrit est exigé pour la validité d’un contrat, il peut être établi et conservé sous forme électronique dans les conditions prévues aux articles 1366 et 1367 et, lorsqu’un acte authentique est requis, au deuxième alinéa de l’article 1369 ». Cet alinéa énonce donc qu’un écrit requis à titre de validité d’un acte juridique doit être établi, conservé et signé électroniquement suivant les dispositions des articles prévus à cet effet dans le domaine de la preuve. 730. Avec l’électronique, mot apparu pour la première fois dans le Code civil avec la loi du 13 mars 2000845, on peut désormais considérer que le nouveau formalisme électronique fait voler en éclat la fameuse distinction ad probationem/ ad validitatem qui distingue l’écrit exigé à titre de preuve à l’écrit exigé à titre de validité de l’acte. En effet, les articles 1366 et 1367 du Code civil constituent 842. M. Demoulin et E. Montéro, « Le formalisme contractuel à l’heure du commerce électronique », in « Commerce électronique : de la théorie à la pratique », Cahiers du CRID, n° 23, 2003, p. 172 et s. 843. P.-Y. Gautier, « Le bouleversement du droit de la preuve : vers un mode alternatif de conclusion des conventions », LPA, 5 mai 2000, p. 14 ; pour la Bourse, L. Ruet, « La réglementation de l’utilisation d’Internet dans la passation des ordres de Bourse », Com. com. électr. mars 2000, p. 9, n° 5. 844. Sur la diversité des sanctions relatives à un défaut de formalisme, v. notamment G. Couturier, « Les finalités et les sanctions du formalisme », Rép. Defrénois, 2000, art. 37209 ; X. Lagarde, « Observations critiques sur la renaissance du formalisme », JCP éd. G 1999, I, 170, p. 1767. 845. J. Huet : « Il aura fallu, toutefois, attendre le tournant du troisième millénaire pour que le droit soit ainsi renouvelé et que dans le Code civil le mot “électronique” fasse son apparition », in « Le Code civil et les contrats électroniques », 1804-2004, Le Code civil, Un passé, un présent ; un avenir, Université Panthéon-Assas (Paris II), Dalloz, 2004, p. 539.
l es
principes de la digitalisation des documents
| 309
le même fondement juridique pour régir les conditions d’établissement et de conservation des deux catégories d’exigence. D’éminents juristes prédisaient846 « ce qui a été fait pour l’écrit exigé ad probationem le sera bientôt pour l’écrit exigé ad validitatem ». Grâce à la transposition de la directive du 8 juin 2000, l’équivalence entre l’écrit papier et l’écrit électronique est en voie de devenir totale847 et parfaite848, l’unité est (enfin !) retrouvée. 731. Dès lors, le formalisme nécessaire à la protection du consentement de l’une des parties requiert les mêmes exigences que celui prévu pour la sécurité recherchée en matière de preuve. Ne doit-on pas en déduire que le formalisme électronique est plus sûr, plus fiable, voire plus protecteur, du fait de la distance, que le formalisme papier qui repose sur une fiction849 ? Toutefois, force est de constater que cette équivalence crée une importante différence entre les actes papier et les actes électroniques. L’unification des exigences de forme et de preuve dans l’électronique va à l’encontre du sacro-saint principe de neutralité technique et de la non-modification des règles de droit sous-jacentes à l’utilisation des nouveaux médias. Partant de ce constat, il n’y a qu’un pas pour admettre un glissement sensible vers une autonomie du droit des communications électroniques. 732. L’établissement et la conservation de l’écrit ad validitatem doivent donc permettre non seulement de garantir son intégrité dans le temps mais également de dûment identifier la personne dont il émane. Seule la signature électronique à clé publique permet d’assurer ces deux fonctions grâce à l’utilisation du certificat électronique. 733. Le second alinéa de l’article 1174 du Code civil dispose : « Lorsqu’est exigée une mention écrite de la main même de celui qui s’oblige, ce dernier peut l’apposer sous forme électronique si les conditions de cette apposition sont de nature à garantir qu’elle ne peut être effectuée que par lui-même ». L’affirmation selon laquelle la mention électronique ne peut être effectuée que par celui qui s’oblige devrait être comprise comme imposant uniquement que ce dernier en soit l’auteur. On peut penser que – pour rendre vraisemblable l’attribution d’une mention électronique à celui qui s’oblige – ce dernier devra, une fois la mention écrite ou plus exactement tapuscrite figurant dans le document, signer électroniquement le tout avec un dispositif technique fiable et conservé sous son contrôle exclusif. 846. J. Calais-Auloy et F. Steinmetz, Droit de la consommation, Dalloz, coll. Précis, 2003, 6e éd., v. n° 165, p. 182. 847. É. A. Caprioli, « Écrit et preuve électroniques dans la loi n° 2000-230 du 13 mars 2000 », JCP éd. E 2000, Cah. dr. entr. n° 2, p. 1 et s, n° 8. J. Passa, « Commerce électronique et protection du consommateur », D. 2002, p. 555 et s., v. n° 28. 848. M. Vivant, « Entre ancien et nouveau, une quête désordonnée de confiance pour l’économie numérique », Lamy Droit de l’informatique et des réseaux, juill. 2004, n° 171, p. 10. 849. Ph. Stoffel-Munck, « La réforme des contrats du commerce électronique », Com. com. électr. 2004, étude 30, n° 13-15, où l’auteur conclut à une certaine supériorité de l’électronique sur les protections découlant du manuscrit.
310 | B anque
et
a ssurance
digitales
734. En outre, l’article 1175 du Code civil énonce que seuls certains actes sous seing privés considérés comme des actes graves et où l’écrit est exigé pour leur validité sont exclus : – d’une part, ceux relatifs au droit de la famille et des successions (ex. : contrat de mariage, convention préalable au divorce par consentement mutuel) ; – d’autre part, les actes sous seing privés relatifs à des sûretés personnelles ou réelles, qu’ils soient civils ou commerciaux, tels que par exemple le cautionnement, le nantissement ou le privilège, etc.850. L’exclusion des sûretés personnelles est difficile à comprendre dès lors que l’article 1174 du Code civil valide les mentions écrites portées de la main de celui qui s’oblige sous forme électronique. Ces actes doivent être passés par écrit sur support papier avec les solennités requises pour la reconnaissance juridique de leur validité ou bien être constatés par un acte authentique. 735. Or, l’article 1175 précise une dérogation à l’exception pour les actes relatifs aux sûretés, en ces termes : « sauf s’ils sont passés par une personne pour les besoins de sa profession ». La formulation de l’exception prévue à l’article 9-2, c) de la directive du 8 juin 2000 était (pour une fois) plus claire : « les contrats de sûretés et garanties fournies par des personnes agissant à des fins qui n’entrent pas dans le cadre de leur activité professionnelle ou commerciale ». Il s’ensuit que les actes tels que le cautionnement commercial peuvent être dématérialisés dès lors que sont respectées les exigences posées à l’article 1174 du Code civil. C.
L’original sous forme électronique
736. Depuis l’ordonnance du 16 juin 2005851 prise en application de l’article 26 de la LCEN, la notion d’exemplaire original sous forme électronique a été introduite à l’article 1325, alinéa 5, du Code civil. Cette notion a été reprise suite à l’ordonnance du 10 février 2016 dans un article 1375, alinéa 4, du Code civil qui énonce : « l’exigence d’une pluralité d’originaux est réputée satisfaite pour les contrats sous forme électronique lorsque l’acte est établi et conservé conformément aux articles 1366 et 1367, et que le procédé permet à chaque partie de disposer d’un exemplaire sur support durable ou d’y avoir accès ». 737. En conséquence, les mêmes conditions d’identification de l’auteur et d’intégrité du contenu de l’acte devront être respectées pour l’établissement et la conservation de l’acte. L’acte original doit pouvoir être transmis (« push ») ou mis à disposition (« pull » pour y accéder sur le Web) des parties signataires. Dans ce contexte, c’est la signature électronique qui différencie les exemplaires
850. L’hypothèque pourra être sous forme électronique dès lors qu’elle est passée en la forme authentique. 851. Ordonnance n° 2005-674, 16 juin 2005, JO 17 juin 2005, p. 10342.
l es
principes de la digitalisation des documents
| 311
originaux des simples copies conformément à cet article. Néanmoins, selon la jurisprudence, un acte qui ne satisfait pas aux exigences de l’article 1375 peut valoir comme commencement de preuve par écrit852. 738. De plus, le support durable a été intégré au Code civil dans la réforme de 2016 (v. partie I, chapitre I, section III), sans que pour autant soit définie la notion issue du Code de la consommation. Cet instrument a, avant tout, pour fonction de stocker des informations adressées personnellement d’une manière permettant de s’y reporter aisément à l’avenir pendant un laps de temps suffisant et permettant la reproduction à l’identique des informations stockées. § 3 – La phase de signature électronique proprement dite A.
Le type de signature électronique utilisé
739. Les organismes bancaires, financiers ou assurantiels recourent à des procédés de signature électronique : celle-ci étant définie à l’article 1367 (ancien article 1316-4, alinéa 2) du Code civil comme « un procédé fiable d’identification garantissant son lien avec l’acte auquel elle s’attache » et plus spécifiquement la technique de signature numérique853 qui permet de garantir l’intégrité du document dans le temps. L’un des éléments ayant freiné le déploiement de la signature électronique a sans doute été la suite de ce deuxième alinéa : la fiabilité du procédé de signature électronique est « présumée, jusqu’à preuve contraire, lorsque la signature électronique est créée, l’identité du signataire assurée et l’intégrité de l’acte garantie, dans des conditions fixées par décret en Conseil d’État ». 740. Sous l’empire des anciennes dispositions, le décret n° 2001-272 du 30 mars 2001854 pris en application de l’article 1316-4 du Code civil précise, dans son article 2, les conditions qui permettant d’affirmer qu’un procédé de signature électronique est présumé fiable : « la fiabilité d’un procédé de signature électronique est présumée jusqu’à preuve contraire lorsque ce procédé met en œuvre une signature électronique sécurisée, établie grâce à un dispositif sécurisé de création de signature électronique et que la vérification de cette signature repose sur l’utilisation d’un certificat électronique qualifié »855. Plusieurs cours 852. Cass. civ., 29 janv. 1951, Bull. civ. I, n° 35, p. 28. 853. Focus sur la signature numérique, É. A. Caprioli, « Signature électronique et dématérialisation », préc. p. 78. 854. Décret n° 2001-272 du 30 mars 2001 pris pour l’application de l’art. 1316-4 du Code civil et relatif à la signature électronique, JO 31 mars 2001, p. 5070. 855. V. Cass. civ. 1re, 6 avril 2016, n° 15-10.732, JCP éd. G, 2016, 783, note É. A. Caprioli, au sujet de la signature électronique de l’adhésion en ligne à une assurance complémentaire. La Cour valide la signature électronique (à la volée) et refuse pour se faire d’examiner les exigences de la signature présumée fiable comme le demandait la demanderesse qui déniait sa signature : « Mais attendu que le jugement retient que la demande d’adhésion sous forme électronique a été établie et conservée dans des conditions de nature à garantir son intégrité, que la signature a été identifiée par un procédé fiable garantissant le lien de la signature électronique avec
312 | B anque
et
a ssurance
digitales
d’appel ont reconnu la valeur juridique de signature électronique « simple » d’un pouvoir. Par exemple, selon la Cour d’appel de Caen : « ll importe peu que les dispositions du décret du 30 mars 2001 n’aient pas été respectées dès lors qu’elles n’ont d’implication que sur la charge de la preuve, la fiabilité du procédé imposée par le décret (du 30 mars 2001) étant présumée jusqu’à preuve contraire, tandis que la signature électronique simple doit être démontrée par son auteur 856 ». Le nouvel article 1367 ne change quasiment pas l’ancienne formulation. Mais le décret sera révisé pour prendre en compte le Règlement eIDAS857. 741. De nombreux établissements ont cru bon d’attendre que toutes les briques techniques propres à l’établissement d’une signature électronique présumée fiable858 au profit du client final – à savoir une signature électronique sécurisée, un dispositif qualifié de création de signature et un certificat qualifié – soient réunies. Mais le coût relatif au déploiement de telles signatures ainsi que l’absence d’une offre de certificat et de dispositif de création de signature répondant à ces exigences avaient freiné les établissements bancaires et financiers. Or, le fait d’attendre des signatures électroniques présumées fiables pour lancer un produit ou un service financier ou d’assurance constituait une erreur souvent véhiculée par le marché. 742. Le Règlement eIDAS devrait changer la donne en prévoyant différents degrés de fiabilité, de la signature électronique dite « simple » à la signature électronique « qualifiée », en passant par la signature électronique « avancée », à savoir : – « signature électronique », des données sous forme électronique, qui sont jointes ou associées logiquement à d’autres données sous forme électronique et que le signataire utilise pour signer ; – « signature électronique avancée », une signature électronique qui satisfait aux exigences énoncées à l’article 26 [à savoir : a) être liée au signataire de manière univoque ; b) permettre d’identifier le signataire ; c) avoir été créée à l’aide de données de création de signature électronique que le signataire peut, avec un niveau de confiance élevé, utiliser sous son contrôle exclusif ; et d) être liée aux données associées
l’acte auquel elle s’attache, et que la demande d’adhésion produite à l’audience porte mention de la délivrance de ce document par la plate-forme de contractualisation en ligne Contraleo, permettant une identification et une authentification précise des signataires en date du 25 mai 2011 ; qu’ayant ainsi effectué la recherche prétendument omise, la juridiction de proximité a légalement justifié sa décision ». 856. V. CA Caen, 5 mars 2015, n° 13/03009, Com. com. électr. 2015, comm. 47, note É. A. Caprioli ; v. égal. CA Aix-en-Provence, 26 juin 2014, Com. com. électr. 2014, comm. 90, note É. A. Caprioli. 857. Selon le Rapport au Président de la République (JO 11 févr. 2016), ce décret devra être modifié « pour préciser que la signature électronique présumée fiable, prévue par le Code civil, est la signature “qualifiée” au sens du règlement ». 858. Il s’agissait avant le 1er juillet 2016 de la signature électronique sécurisée présumée fiable.
l es
principes de la digitalisation des documents
| 313
à cette signature de telle sorte que toute modification ultérieure des données soit détectable ; – « signature électronique qualifiée », une signature électronique avancée (en France on parlait de « signature électronique sécurisée » dans le Décret de 2001 – terminologie utilisée jusqu’au 1er juillet 2016) qui est créée à l’aide d’un dispositif de création de signature électronique qualifié, et qui repose sur un certificat qualifié de signature électronique. 743. Aux termes du règlement (article 25), « l’effet juridique d’une signature électronique qualifiée est équivalent à celui d’une signature manuscrite », ce qui n’est pas expressément prévu dans les nouvelles dispositions du Code civil français. Cela ne signifie pas pour autant que le recours à une signature électronique qualifiée dispenserait le signataire de rapporter la preuve lors d’une vérification d’écriture : elle serait – comme les signatures manuscrites – soumise aux articles 287 et 288-1 du Code de procédure civile859. Cela étant, « l’effet juridique et la recevabilité d’une signature électronique comme preuve en justice ne peuvent être refusés au seul motif que cette signature se présente sous une forme électronique ou qu’elle ne satisfait pas aux exigences de la signature électronique qualifiée ». 744. Pour disposer d’une signature électronique qualifiée, les Prestataires de services de confiance – eux-mêmes qualifiés – devront émettre des certificats qualifiés au sens de l’Annexe 1 du Règlement eIDAS. De plus, les dispositifs de création de signature devront eux aussi être qualifiés. Pour l’heure, la décision d’exécution n° 2016-650 du 25 avril 2016 est venue indiquer les normes applicables pour les dispositifs de création de signature électronique qualifiés « lorsque les données de création de signature électronique ou de cachet électronique sont conservées dans un environnement dont l’utilisateur a la gestion totale, mais pas nécessairement exclusive »860. 745. Allant au-delà des dispositions existantes, le Règlement eIDAS prévoit également : – les conditions entourant la vérification (article 33) et la conservation des signatures électroniques qualifiées (article 34) ;
859. J. Devèze, « Perserverare diabolicum. À propos de l’adaptation du droit de la preuve aux technologies de l’information par le décret n° 2002-1436 du 3 décembre 2002 », Com. com. électr. 2003, chron. 8. 860. D’autres actes d’exécution sont donc à prévoir au sujet des dispositifs de création de signature électronique qualifiée. Décision n° 2016/650 de la Commission du 25 avril 2016 établissant des normes relatives à l’évaluation de la sécurité des dispositifs qualifiés de création de signature électronique et de cachet électronique conformément à l’article 30, paragraphe 3, et à l’article 39, paragraphe 2, du règlement n° 910/2014/UE du Parlement européen et du Conseil sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur JOUE n° L. 109, 26 avr. 2016, p. 40.
314 | B anque
et
a ssurance
digitales
– ainsi que des dispositions particulières relatives à la signature électronique dans les services publics (article 27). Ainsi, les États membres ne peuvent exiger une signature plus fiable/sécurisée que la signature électronique qualifiée de la part de citoyens de l’Union européenne, en créant une hiérarchie des signatures pour ce secteur. 746. Une signature électronique n’a pas à être qualifiée ou bénéficier d’une présomption de fiabilité pour être reconnue par les tribunaux ; elle doit, par contre, convaincre le juge quant aux effets juridiques qui y sont attachés (identification du signataire, manifestation du consentement, intégrité du contenu). Il s’agit d’une différence notable entre les deux types de signature électronique : la charge de la preuve de la fiabilité de la signature électronique simple ou de la signature électronique avancée (c’est-à-dire sans présomption de fiabilité) relève de la personne qui entend bénéficier de ses effets. À ce titre, elle s’appuiera sur la documentation technique (Politique de Certification, Politique de Signature, Politique de Gestion de Preuve…) et la documentation contractuelle (CGU) ou encore sur tout autre élément comme un constat d’huissier de justice retraçant toutes les étapes du processus de contractualisation électronique861. À l’inverse, pour une signature électronique qualifiée, c’est à celui qui entend dénier ses effets de rapporter la preuve de l’absence de fiabilité ; la preuve devient diabolique ou négative862 car il s’agirait alors de remettre en cause des qualifications de produits et services délivrées désormais par l’ANSSI. 747. Dès lors que ce constat a été effectué, les organismes se sont tournés vers une nouvelle forme de signature électronique fondée sur des certificats à la volée ou « éphémères »863. Une réserve doit cependant être posée : ces solutions ne s’appliquent, en principe, qu’à l’occasion de transactions avec des clients connus et identifiés par l’établissement bancaire ou l’assurance qui peut s’engager sur leur identité (il joue souvent le rôle d’Autorité d’enregistrement) ou bien lorsque l’opération contractuelle s’effectue avec une rencontre physique. Ce certificat n’est valide que pour une durée limitée et la vérification de la validité du certificat en se référant à une Liste de Certificats Révoqués864 tenue par un Prestataire de Services de Confiance reste compliquée865, ou pour gérer en interne par la banque ou l’assurance. C’est pourquoi la vérification du certificat est contenue le 861. V. CA Caen, 5 mars 2015, n° 13/03009, Com. com. électr. 2015, comm. 47, note É. A. Caprioli ; CA Nîmes, 1er oct. 2015, Com. com. électr. 2016, comm 20, note É. A. Caprioli. 862. J. Larguier, « La preuve d’un fait négatif », RTD civ. 1953, p. 4. 863. Cf. partie sur l’authentification. 864. Une Liste de Certificats Révoqués permet de s’assurer qu’un certificat utilisé pour vérifier une transaction était bien valide au moment de la signature, l’absence de ce certificat sur la LCR permettant de le considérer comme valide. Mais avec des certificats valides pour seulement quelques minutes, la tenue et la mise à jour d’une telle LCR est techniquement infaisable. 865. La procédure de révocation du certificat doit être prévue lorsqu’un établissement bancaire ou assurantiel entend que son procédé de signature électronique soit conforme aux spécifications TS ETSI 102 042 « Policy requirements for certification Authorities issuing public key certificates » ou ETSI TS 101 456 « Policy requirements for certification Authorities issuing qualified certificates ». Cette procédure bien qu’inutile lorsqu’il est fait recours à un certificat à usage unique, est à implémenter par les PSCo.
l es
principes de la digitalisation des documents
| 315
plus souvent avec le contrat signé électroniquement, avec le certificat, le jeton d’horodatage ainsi que d’autres éléments permettant d’identifier le client et l’opération au sein d’un fichier de preuve. La notion de fichier de preuve n’est pas définie juridiquement, mais a fait son apparition dans certaines jurisprudences866; il a pour objet d’établir que les vérifications ont été effectuées au moment de la signature (horodatage et scellement du fichier) conformément aux articles 1366 et 1367 du Code civil. Ce fichier de preuve devra être conservé dans le temps de manière intègre et fiable867, il devrait être accessible uniquement en cas de litige. 748. De plus, le considérant 52 du règlement européen intègre également la signature électronique centralisée (« remote electronic signature »), c’est-àdire l’activité à distance868 comme les signatures électroniques « à la volée », ce qui constituera une réelle avancée pour le marché dans l’attente d’une reconnaissance de ce type de signature dans les normes techniques. Ainsi, le modèle technique sur lequel est fondé actuellement le marché de la confiance numérique appliqué au monde bancaire, financier ou de l’assurance se verrait confirmé par le Règlement eIDAS. Selon certains, un point reste en suspens : les signatures électroniques fondées sur un certificat à la volée pourront-elles être qualifiées de Signatures électroniques qualifiées (SEQ) ou de Signatures électroniques avancées (SEA) ? B.
Les fonctionnalités attendues de la signature électronique
1.
L’identification du signataire
749. La question de l’identification du signataire de l’acte est essentielle869. Cette identification peut être effectuée : • à distance en recourant à des pièces justificatives (ex. : copie d’une pièce d’identité, facture EDF…) que le signataire transmettra par voie postale ou électronique. Celles-ci peuvent être vérifiées de manière plus ou moins
866. CA Nancy, ch. civ. 2, 14 févr. 2013, É. A. Caprioli, « Première décision sur la preuve et la signature électroniques d’un contrat de crédit à la consommation », Com. com. électr. 2013, étude 11 ; JCP éd. G 2013, n° 18, comm. 497 ; CA Douai, 8e ch., 1re sect, 2 mai 2013, É. A. Caprioli, Com. com. électr. 2014, comm. 22. V. les développements en partie II, chapitre IV. 867. « Entretien avec Éric A. Caprioli », JCP éd. G 2009, act. 251. 868. « La création de signatures électroniques à distance, système dans lequel l’environnement de création de signatures électroniques est géré par un prestataire de services de confiance au nom du signataire, est appelée à se développer en raison de ses multiples avantages économiques. Toutefois, afin que ces signatures électroniques reçoivent la même reconnaissance juridique que les signatures électroniques créées avec un environnement entièrement géré par l’utilisateur, les prestataires offrant des services de signature électronique à distance devraient appliquer des procédures de sécurité spécifiques en matière de gestion et d’administration et utiliser des systèmes et des produits fiables, notamment des canaux de communication électronique sécurisés, afin de garantir que l’environnement de création de signatures électroniques est fiable et qu’il est utilisé sous le contrôle exclusif du signataire (…) » ; v. F. Leroy, « Trustworthy Systems Supporting Server Signing », Document de travail CEN, inédit. 869. Cf. partie II, chapitre I, section I - § 2. A. 1.
316 | B anque
et
a ssurance
digitales
poussée (en allant du simple contrôle de cohérence des pièces à un scoring de leur vraisemblance/pertinence) ; • en face-à-face lors d’une rencontre présentielle avec un représentant (autorité d’enregistrement, bureau d’enregistrement870) du Prestataire de services de confiance871 avec une vérification d’identité à partir d’une pièce d’identité valide. 2.
La manifestation du consentement
750. L’autre fonctionnalité attendue de la signature électronique a trait à la manifestation du consentement. En effet, la signature apposée sur un écrit atteste la volonté du signataire d’adhérer aux dispositions y figurant. Or, une signature n’assure l’efficacité juridique d’un écrit que si son mode de production est délibéré et conscient. Un auteur872 a fait remarquer la contrainte d’ordre psychologique de l’écrit papier et son rôle quant à l’attention du signataire sur la portée juridique de son geste. En effet, celui qui s’apprête à se lier juridiquement prend conscience de son engagement au moment de signer l’écrit qui solennise l’acte. 751. Ainsi, concernant la signature électronique, la manifestation du consentement aux obligations qui découlent de l’acte s’opère par l’activation d’un dispositif de création de signature laquelle peut prendre la forme d’un clic sur un bouton « Signer », suivi selon les hypothèses d’un autre clic sur un bouton « Confirmer la signature » au terme d’un procédé de contractualisation en ligne ou encore par la saisie d’un mot de passe à usage unique (« One Time Password » ‒ OTP873) au moment de la signature ou encore le fait d’effectuer le geste de signer sur une tablette numérique874. D’autres moyens sont également envisageables en fonction des cinématiques que les organismes bancaires, financiers et assurantiels pourraient décider de mettre en œuvre. 752. De plus, le projet de contrat doit être présenté au client de manière à ce que toutes les clauses qu’il contient soient lisibles, et ce sans que l’on puisse remettre en cause le fait que certains champs soient cachés. Il est important que le client signe ce qu’il voit sur l’écran (WYSIWYS) : « What You See Is What You Sign ». Cette précaution technique permet d’éviter une remise en cause des contrats ainsi signés. 870. Sur les questions d’enregistrement v. É. A. Caprioli, « De l’authentification à la signature électronique : quel cadre juridique pour la confiance dans les communications électroniques internationales ? », article disponible à l’adresse http://www.uncitral.org/pdf/english/ colloquia/EC/Caprioli_Article.pdf et sur le site : www.caprioli-avocats.com 871. Défini comme « une personne physique ou morale qui fournit un ou plusieurs services de confiance, en tant que prestataire de services de confiance qualifié ou non qualifié » (art. 3.19). 872. X. Linant de Bellefonds, « L’Internet et la preuve des actes juridiques », Expertises, 1997, p. 226. 873. L’OTP est remis en cause pour des raisons de sécurité outre-Atlantique. 874. Le fait de signer sur tablette sans prévoir d’autres éléments de nature à garantir l’intégrité (comme l’émission concomitante d’un certificat d’identification) pourrait en B2C être considéré comme insuffisant pour lier le client de la banque ou de l’assurance.
l es
principes de la digitalisation des documents
| 317
753. Cela signifie également que tous les documents contractuels (conditions générales, mandat SEPA, conditions particulières…) doivent être portés à la connaissance et acceptés par le client. Un arrêt de 1re chambre civile de la Cour de cassation du 31 octobre 2012875 indique les modalités d’opposabilité des documents contractuels (désormais figurant aux articles 1199 du Code civil concernant l’effet relatif des contrats et 1200 concernant l’opposabilité aux tiers). Dans cette affaire, une société éditrice de sites de télévision de « rattrapage » donnait un accès direct à des programmes normalement diffusés sur les sites Internet spécifiques de chaînes de télévision de « rattrapage » de la société Métropole télévisions, en violation, selon cette dernière, des CGU de ses sites, des droits d’auteur, des droits du producteur de base de données, et commettant, en outre, un acte de concurrence déloyale et de parasitisme. Le pourvoi de la société Métropole télévisions avait été rejeté au motif (entre autres) que l’on ne peut opposer à un internaute des conditions générales d’utilisation (CGU) d’un site sur lequel il a un accès libre et direct aux pages consultées sans prise de connaissance, ni acceptation préalable (sous-entendu par un acte positif) de celles-ci. Leur simple mise en ligne « ne suffit pas à mettre à la charge des utilisateurs des services proposés une obligation de nature contractuelle ». 754. En outre, dans le cadre d’une décision du 5 juillet 2012876, la CJUE a considéré que le renvoi vers un lien hypertexte ne garantissait en rien que le contenu de la page acceptée par l’utilisateur n’a pas été modifié dans le temps. De plus, le lien peut également être désactivé et, donc, les informations rendues inaccessibles. Dès lors, le renvoi au lien hypertexte est insuffisant pour s’assurer de la prise de connaissance des conditions contractuelles par un client. 755. De plus, dans une recommandation du 7 novembre 2014 relative aux contrats proposés par les fournisseurs de service de réseaux sociaux877, la Commission des clauses abusives a considéré que les clauses dites d’acceptation implicite « qui présument le consentement du consommateur ou du non-professionnel 875. « Attendu que l’arrêt, après avoir rappelé qu’il incombait à la société M6 Web d’établir que la société SBDS avec laquelle elle avait noué une relation de partenariat, aurait consenti à respecter les restrictions d’usage qu’elle lui reproche d’avoir transgressées, et constaté que l’accès à la page d’accueil des sites m6 replay et w9 replay, aux menus et aux programmes à revoir était libre et direct et ne supposait ni prise de connaissance ni acceptation préalable des conditions générales d’utilisation, retient exactement, sans encourir les griefs du moyen, que la simple mise en ligne de ces dernières, accessibles par un onglet à demi dissimulé en partie inférieure de l’écran, ne suffit pas à mettre à la charge des utilisateurs des services proposés une obligation de nature contractuelle, et que la lettre de mise en demeure que la société M6 Web a adressée à la société SBDS d’avoir à respecter ces conditions générales d’utilisation, ne fait pas naître à la charge de cette dernière une obligation contractuelle de s’y conformer ; Que le moyen n’est fondé en aucune de ses branches (…) ». 876. CJUE, 3e ch., 5 juill. 2012, aff. C-49/11, Content Services Ltd. c/ Bundesarbeitskammer : http:// eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:62011CJ0049:FR:HTML; G. Loiseau, « Le formalisme informatif par voie électronique : les conditions d’équivalence au support écrit du support durable », Com. com. électr. 2012, comm. 110. 877. Recommandation n° 2014-02 relative aux contrats proposés par les fournisseurs de services de réseaux sociaux, Commission des clauses abusives, 2014, disponible à l’adresse : http://www. clauses-abusives.fr/recom/14r02.htm
318 | B anque
et
a ssurance
digitales
du seul fait qu’il utilise le réseau et l’obligent ensuite à cliquer sur un lien hypertexte s’il désire s’informer du contenu des CGU auxquelles il a, donc, ainsi postérieurement adhéré [sont] selon l’article R. 132-1, 1° du Code de la consommation, de manière irréfragable présumées abusives ». La Commission considère ainsi qu’on applique au consommateur des conditions générales qu’il n’a pas pu connaître avant de donner son consentement878. § 4 – Remise du contrat
756. La remise du contrat, évoquée dans le Code de la consommation, dans le Code des assurances ou encore dans le Code civil, correspond en réalité à la situation où, conformément à l’article 1127-6 du Code civil, « hors les cas prévus aux articles 1125 et 1126, la remise d’un écrit électronique est effective lorsque le destinataire, après avoir pu en prendre connaissance, en a accusé réception. Si une disposition prévoit que l’écrit doit être lu au destinataire, la remise d’un écrit électronique à l’intéressé dans les conditions prévues au premier alinéa vaut lecture ». Il s’agit donc de l’instant où le client accède à son exemplaire de contrat pour la première fois et en accuse réception. 757. À ce titre, la pratique de l’envoi d’un e-mail contenant le contrat à une adresse de courrier électronique déclarée par un client ne permet pas de s’assurer de l’effectivité de la remise du contrat. En effet, rien n’indique que le courrier électronique ne sera pas bloqué comme étant un spam, que l’adresse est bien orthographiée ou que le client y accédera. Devant ce doute, la remise est incertaine. Elle doit pourtant être considérée comme faisant partie intégrante du procédé de contractualisation. Certaines instances se sont penchées sur la question de la remise de l’information précontractuelle comme la DGCCRF879, parfois de manière trop théorique.
878. S. Piedelièvre, « La recommandation de la commission des clauses abusives relative aux contrats proposés par les fournisseurs de services de réseaux sociaux », Com. com. électr. 2015, étude 3. 879. « Dans le cas de la vente par internet, la réglementation prévoit que le consommateur doit recevoir les conditions contractuelles, par écrit ou sur un autre support durable à sa disposition et avant tout engagement. Rares sont les professionnels qui respectent l’ensemble des conditions relatives à cette obligation. Les consommateurs ont souvent accès aux documents (téléchargeables ou consultables sur le site internet) mais ces derniers ne leur sont pas envoyés comme l’exige la loi ou leur sont adressés sur un support non durable (lien hypertexte vers le site internet). Si le consommateur a généralement accès aux documents contractuels avant la conclusion du contrat, il ne les reçoit souvent sur support durable qu’après. Hormis un cas isolé, les sites internet contrôlés respectent la loi sur l’économie numérique en permettant un accès facile, direct et permanent aux informations sur l’identité de l’opérateur de commerce électronique et celle de l’établissement commercialisant le produit d’assurance. Le contrevenant a fait l’objet d’une injonction administrative », DGCCRF, « Démarchage et vente à distance d’assurances », 22 déc. 2014, http://www.economie.gouv.fr/dgccrf/demarchage-etvente-a-distance-dassurances
l es
principes de la digitalisation des documents
| 319
SECTION II LA CONSERVATION DES DOCUMENTS § 1 – Conservation de l’écrit électronique
758. Une fois l’écrit sous forme électronique établi, sa conservation devra être une priorité pour les établissements bancaires et les assurances du point de vue de la gestion des éventuels litiges. En effet, le droit commun de la preuve rappelle que celui qui veut exiger le paiement d’une créance non payée doit en prouver l’existence. 759. Pourtant cette phase, tout aussi essentielle que l’établissement de l’écrit, n’est pas toujours développée dans les cinématiques de contractualisation. Ainsi, souvent les organismes bancaires, financiers et assurantiels recourent à leur propre Gestion électronique de documents (GED) pour conserver les originaux électroniques signés. Or, la plupart du temps, la GED n’est pas implémentée en ce sens. En effet, la GED a traditionnellement pour objet de conserver des copies numérisées de contrats880 (ou de toute autre pièce d’ailleurs) et elle est détournée de son objectif initial sans que les précautions de base soient prises pour assurer l’évolution du service. 760. Il convient de rappeler que l’article 1366 du Code civil impose sa conservation dans des conditions de nature à en garantir l’intégrité. S’agissant de contrats passés entre consommateurs et professionnels, l’article L. 213-1 du Code de la consommation dispose : « Lorsque le contrat est conclu par voie électronique et qu’il porte sur une somme égale ou supérieure à un montant fixé par décret, le contractant professionnel assure la conservation de l’écrit qui le constate pendant un délai déterminé par ce même décret et en garantit à tout moment l’accès à son cocontractant si celui-ci en fait la demande ». Le décret d’application, sous l’emprise de l’ancien texte, prévoyait que le montant visé était fixé à 120 euros et que le délai visé était fixé à 10 ans à compter de la conclusion du contrat lorsque la livraison du bien ou l’exécution de la prestation est immédiate881. Un espace de banque ou d’assurance en ligne semble donc requis pour respecter cette exigence textuelle882.
880. É. A. Caprioli, « Variations sur le thème du droit de l’archivage dans le commerce électronique », LPA, 18 et 19 août 1999, p. 4 et s. ; É. A. Caprioli, M.-A. Chabin, J.-M. Rietsch, Dématérialisation et archivage électronique, Dunod, 2006 ; É. A. Caprioli, Signature électronique et dématérialisation, LexisNexis, 2014. 881. Décret n° 2005-137 du 16 février 2005 pris pour l’application de l’article L. 134-2 du Code de la consommation. 882. Le décret du 16 février 2005 n’avait pas vocation à s’appliquer aux contrats de crédit, uniquement pour les commandes de biens de consommation courante. Toutefois, les imprécisions de rédaction ont laissé des ouvertures dans le périmètre des documents sujets à cet archivage.
320 | B anque
et
a ssurance
digitales
761. L’archivage des documents originaux doit répondre aux exigences d’accessibilité posées par l’article L. 213-1 nouveau du Code de la consommation, mais aussi par l’article 1375 du Code civil qui prévoit que pour respecter la formalité de la pluralité d’originaux, il faut que : • l’acte soit établi et conservé conformément aux articles 1366 et 1367 du Code civil ; • et le procédé permet à chaque partie de disposer d’un exemplaire ou d’y avoir accès. L’article 1375, alinéa 4 nouveau, introduit dans le Code civil par l’ordonnance du 10 février 2016 précise « que le procédé permet à chaque partie de disposer d’un exemplaire sur support durable ou d’y avoir accès ». 762. S’agissant des contrats archivés contenant des données à caractère personnel, notamment des données d’état civil, il conviendra que l’archivage respecte les obligations posées par la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés883. À cet égard, la CNIL a émis le 11 octobre 2005 une recommandation sur l’archivage électronique dans les entreprises884. Cette recommandation souligne les impératifs à respecter en matière de durée de conservation, de sécurité des données et de droit d’accès, conformément à la réglementation applicable en matière de protection des données à caractère personnel. La CNIL distingue trois catégories d’archives (archives courantes, intermédiaires et définitives) pour leur appliquer des régimes différents, selon la finalité poursuivie. Il est recommandé que les responsables de traitements établissent des procédures aptes à gérer les durées de conservations distinctes selon les catégories de données. 763. Les mesures techniques et d’organisation devront assurer un niveau de sécurité approprié au regard des risques présentés par le traitement et de la nature des données à protéger. En cas de conservation de documents d’archives à long terme, la CNIL préconise que soient mis en œuvre des procédés d’anonymisation885. 764. De plus, l’article 87 de la loi pour la République numérique (préc.) vient intégrer des dispositions relatives aux services de coffre-fort numérique intégrées au nouvel article L. 137 du Code des Postes et des communications électroniques (cf. partie III, chapitre I, section I).
883. Loi n° 78-17 du 6 janvier 1978 relative aux fichiers, à l’informatique et aux libertés : JO 7 janv. 1978, p. 227. 884. Délibération n° 2005-213 du 11 octobre 2005 portant adoption d’une recommandation concernant les modalités d’archivage électronique, dans le secteur privé, de données à caractère personnel : JO 23 nov. 2005. 885. V. G29, Avis n° 05/2014 sur les Techniques d’anonymisation, adopté le 10 avril 2014, 0829/14/ FR, WP216.
l es
principes de la digitalisation des documents
| 321
765. C’est sur ce postulat que l’ETSI a lancé un groupe de travail, largement relayé par la Fédération des tiers de confiance numérique (FNTC). Ainsi, une proposition technique de l’ETSI intitulée « Standards for eIDAS trust application services – electronic registered delivery, registered electronic mail, and long term preservation » (version initiale, non datée) énonce comme objectif (§ 3.1.1) : « Scoping study and framework for standardization of long term data preservation services, including preservation of/with digital signatures (SR 019 XXX). The objective of this task is to specify the general requirements with respect to long-term data preservation and clearly identify which are the “objects” whose preservation falls in the scope of a preservation service as defined by the regulation (EU) n° 910/2014 and which objects are outside the scope of the Regulation but worth to be considered, the set of processes and technologies to be supported by a preservation service provider and the different types of preservation service provider, a catalogue of existing specifications and standards, a list of well-established and active communities in the fields of archival and preservation (possible candidates for liaisons) and an extension to the Rationalised Framework (RF) specifically targeted to data preservation services and providers to identify any additional standard or technical specification beyond those already specified by RF. The Scoping study and framework for standardization will be supporting the (qualified) preservation services as per regulation (EU) n° 910/2014 and also preservation services with a broader scope for industry at the International level ». 766. Il convient de rapprocher cette problématique de protection des données à caractère personnel de celle de la protection du secret bancaire. L’article L. 511-33 du Code monétaire et financier dispose, en effet, que « toute personne qui, à un titre quelconque, participe à la direction ou à la gestion d’un établissement ou qui est employée par celui-ci, est tenu au secret professionnel ». En outre, le non-respect du secret bancaire expose les contrevenants à des sanctions pénales conformément à l’article L. 571-4, alinéa 2, du Code monétaire et financier qui prévoit : « le fait pour les personnes mentionnées aux articles L. 511-33 et L. 511-34 de méconnaître le secret professionnel est sanctionné par les peines prévues à l’article 226-13 du Code pénal », à savoir un an d’emprisonnement et de 15 000 euros d’amende886. 767. En outre, l’exemplaire détenu par l’établissement (original auto-portant au format PDF, signé et conservé dans la GED mais aussi dans le fichier de preuve qui peut être conservé par un tiers archiveur externe) et celui remis au client dans son espace en ligne par exemple devront être en tout point identiques. En effet, il convient de s’assurer que l’intégrité du document a été respectée, c’està-dire de vérifier que son contenu n’a pas été modifié ou falsifié dans le temps. 768. À l’échelon national, la norme technique emblématique applicable en la matière est la norme AFNOR NF Z42-013 « Spécifications relatives à la conception 886. C. pén., art. 226-13.
322 | B anque
et
a ssurance
digitales
et à l’exploitation de systèmes informatiques en vue d’assurer la conservation et l’intégrité des documents stockés dans ces systèmes »887, homologuée par l’AFNOR en mars 2009 et venue remplacer la norme homologuée NF Z 42-013 dans son ancienne version de décembre 2001. Cette norme française donne une définition de l’archivage numérique888 et détermine également les spécifications techniques et organisationnelles requises pour garantir la conservation des documents d’origine électronique, afin de préserver leur intégrité et leur pérennité889. 769. Depuis lors, le guide d’application de la norme française GA Z42-013 de juin 2010 est venu compléter la norme NF Z42-013. En effet, ce guide GA Z42-013 est un guide d’application de la norme NF Z42-013 proposant des méthodes de référence pour garantir que le document archivé garde la même valeur que le document d’origine, en conservant son intégrité et en assurant sa pérennité890. Cette norme française NF Z42-013 a été transformée en norme internationale891 sous le titre ISO 14641-1892. Depuis son homologation en juin 2012, le cadre normatif français a été complété par la norme NF Z42-020 (Spécifications fonctionnelles d’un composant CoffreFort Numérique destiné à la conservation d’informations numériques dans des conditions de nature à en garantir leur intégrité dans le temps). § 2 – Les copies électroniques
769 bis. La réforme du droit des obligations introduite par l’ordonnance n° 2016131 du 10 février 2016 portant réforme du droit des contrats, du régime général et de la preuve des obligations est entrée en vigueur. Si l’on s’intéresse aux pièces justificatives (ex. : les copies de documents d’identité, de quittance de loyer ou EDF, factures…) nécessaires dans les opérations bancaires et d’assurance, réalisées sous forme digitale, on observera que l’article 1379 relatif à la copie numérique fiable remplace l’article 1348 du Code civil, spécialement son 887. Groupe de travail « archivage électronique » de la FNTC, « Guide de l’archivage électronique et du coffre-fort électronique », Collection les guides de la confiance de la FNTC, nov. 2010. 888. « Archivage numérique – ensemble des actions visant à identifier, recueillir, classer, conserver, communiquer et restituer des documents électroniques, pour la durée nécessaire à la satisfaction des obligations légales ou pour des besoins d’informations ou à des fins patrimoniales ». 889. V. égal. FNTC (sous la direction d’É. A. Caprioli), « Vade-mecum juridique de la digitalisation des documents », 8e éd., 2017. 890. Norme GA Z42-019 juin 2010 disponible sous le lien : http://www.boutique.afnor.org/norme/ ga-z42-019/guide-d-application-de-la-nf-z42-013-archivage-electronique-specificationsrelatives-a-la-conception-et-a-l-exploitation-de-s/article/745625/fa167048. 891. Actualités du site Internet http://www.afnor.org du 6 mars 2012 disponible sous le lien : http://www.afnor.org/profils/activité/tic/la-norme-francaise-nf-z42-013-sur-l-archivageelectronique-transposee-en-norme-internationale-par-l-iso 892. ISO 14 641-1 : 2012 ‒ Archivage électronique ‒ partie I : spécifications relatives à la conception et au fonctionnement d’un système d’information pour la conservation d’informations électroniques.
l es
principes de la digitalisation des documents
| 323
alinéa 2 sur la copie fidèle et durable et l’article 1334 sur la copie. Désormais, « la copie fiable a la même force probante que l’original. La fiabilité est laissée à l’appréciation du juge. Néanmoins, est réputée fiable la copie exécutoire ou authentique d’un écrit authentique. Est présumée fiable jusqu’à preuve du contraire toute copie résultant d’une reproduction à l’identique de la forme et du contenu de l’acte, et dont l’intégrité est garantie dans le temps par un procédé conforme à des conditions fixées par décret en Conseil d’État. Si l’original subsiste, sa présentation peut toujours être exigée ». Ce nouvel article établit une équivalence juridique sur le plan probatoire entre la copie fiable et l’original, étant précisé que « la fiabilité est laissée à l’appréciation du juge ». La copie n’est plus un commencement de preuve par écrit. Dans l’Union européenne, des pays comme la Belgique qui a adopté la loi du 21 juillet 2016893 ou le Luxembourg, la loi du 25 juillet 2015 relative à l’archivage électronique, ont remplacé leur régime juridique de l’archivage dont celui de la copie numérique. On rappellera à ce sujet que le règlement européen eIDAS du 23 juillet 2014 ne traite pas de l’archivage, sauf de la conservation des signatures et des cachets électroniques qualifiés. Le décret n° 2016-1673 du 5 décembre 2016 « relatif à la fiabilité des copies et pris pour l’application de l’article 1379 du Code civil » vient préciser les conditions de mise en œuvre de la présomption de fiabilité des copies. Si on analyse plus précisément le texte de l’article 1379, on constate que l’on peut rapporter la preuve de la fiabilité de la copie sans bénéficier de la présomption simple et qu’il appartient au juge d’en apprécier la vraisemblance894. C’est la charge de la preuve qui est inversée contrairement à l’hypothèse où une personne produit une copie fiable conforme aux exigences du décret. 769 ter. L’article 1er du décret opère une distinction entre la copie fiable résultant « d’un procédé de reproduction qui entraîne une modification irréversible du support de la copie » et la copie procédant d’une reproduction par voie électronique. La première branche de l’alternative consacre les solutions qui correspondaient à l’ancien article 1348, alinéa 2, du Code civil et au respect de la norme Z42 013. Les deux solutions bénéficient de la présomption. En revanche, en ce qui concerne la force probante des copies numériques, le décret apporte des précisions très utiles (articles 2 à 7)895, spécialement sur « sa fidélité à l’original et son incorruptibilité ». Le décret précise que le procédé doit reproduire les informations relatives à la copie et destinées à l’identification de celles-ci, le contexte de la numérisation, 893. Sur cette loi, v. l’excellent article de D. Gobert sous le lien suivant : http://www.caprioliavocats.com/69-articles/actualites/572-la-loi-belge-du-21-juillet-2016-mettant-en-oeuvrele-reglement-eidas-et-le-completant-avec-des-regles-sur-l-archivage-electronique-analyseapprofondie-par-didier-gobert-2. 894. D. Ammar, « Preuve et vraisemblance, contribution à l’étude de la preuve technologique », RTD. civ. 1993, p. 499 et s. 895. Th. Douville, « Nouveau droit des contrats (Fiabilité des copies) : publication du décret d’application », D. 2016, n° 43, p. 2517. J.-D. Bretzner et A. Aynès, « Panorama ‒ Droit de la preuve, juin 2015-juin 2016 », D. 2016, n° 43, p. 2537 ; Com. com. électr., févr. 2017, comm. 19, note É. A. Caprioli.
324 | B anque
et
a ssurance
digitales
la date de création de la copie, la vérification de la qualité du procédé au moyen de tests (article 2). Pour garantir l’intégrité de la copie, les utilisateurs doivent disposer d’une empreinte numérique afin de s’assurer que « toute modification ultérieure de la copie à laquelle elle est attachée est détectable » (article 3). L’intégrité de la copie sera présumée lorsqu’est utilisé un horodatage, un cachet ou une signature électroniques qualifiés au sens du Règlement eIDAS du 23 juillet 2014. Selon l’article 4 du décret, « la copie électronique est conservée dans des conditions propres à éviter toute altération de sa forme ou de son contenu ». Il convient de rappeler que l’article 1379 du Code civil qui dispose : « Est présumée fiable jusqu’à preuve du contraire toute copie résultant d’une reproduction à l’identique de la forme et du contenu de l’acte » car la reproduction de la forme du document doit s’entendre conformément à l’article 4 du décret : « Les opérations requises pour assurer la lisibilité de la copie électronique dans le temps ne constituent pas une altération de son contenu ou de sa forme dès lors qu’elles sont tracées et donnent lieu à la génération d’une nouvelle empreinte électronique de la copie ». Cela signifie que les opérations de migration de support ou de format dans le temps, qui peuvent « modifier » techniquement le document ne constituent pas une altération. L’article 5 impose la conservation des traces et des empreintes (cryptographiques) qui auront été générées en application des articles 3 et 4. Les empreintes générées permettent de procéder aux vérifications des copies fiables. S’agissant de la confidentialité, l’accès aux procédés de reproduction et de conservation doit être sécurisé en vertu de l’article 6. Enfin, conformément à l’article 7, l’ensemble des dispositifs et des mesures prévus aux articles 2 à 6 doivent être « décrits dans une documentation conservée aussi longtemps que la copie électronique produite ». 769 quater. La destruction des originaux papier est implicitement visée dans le rapport au Président de la République qui accompagnait le texte de l’ordonnance896 (JO 11 févr. 2016), et ce même s’il n’y a pas de renvoi vers une norme technique de référence. Il indique : « l’article 1379 définit la copie et en fixe la valeur probante en un texte unique, qui pose un nouveau principe selon lequel la copie fiable a la même force probante que l’original, peu important que celui-ci subsiste ou pas, et peu important l’origine, le cas échéant, de la disparition de l’original ». On rappellera que, s’agissant des contrats bancaires, les copies « fidèles et durables » produites conformément à la norme Z42 013 ont été reconnues à de nombreuses reprises par les juges du fond alors que la présentation des originaux sur support papier s’est avérée impossible897. 896. JO 11 févr. 2016, v. sous-section 5, « Les copies ». 897. Cour d’appel de Lyon, 6e ch., 3 sept. 2015, n° 13/09407 : Juris-Data n° 2015-022447 ; Com. com. électr. 2015, comm. 95, note É. A. Caprioli et Cour d’appel de Paris, pôle 4, ch. 9, 11 févr. 2016, n° 15/01765, Com. com. électr. 2016, comm. 47, note É. A. Caprioli.
l es
principes de la digitalisation des documents
| 325
Afin de remplir les exigences juridiques et techniques posées par l’article 1379 du Code civil et son décret d’application, il conviendra de respecter les normes AFNOR Z42 013 et Z42 020, ainsi que la norme ISO 27001 pour la sécurité du système d’archivage des copies numériques. En outre, en ce qui concerne la destruction des originaux papiers, il conviendra d’écrire une procédure de destruction des originaux papiers et de s’appuyer sur la future norme Z42 026 (archives électroniques – normes et standards, publication en cours). Une telle approche a été confirmée récemment avec l’article L. 1111-26 du CSP « La copie numérique d’un document mentionné à l’article L. 1111-25, remplissant les conditions de fiabilité prévues par le deuxième alinéa de l’article 1379 du Code civil, a la même force probante que le document original sur support papier. Lorsqu’une copie numérique fiable a été réalisée, le document original peut être détruit avant la fin de la durée légale de conservation (…) »898.
898. Ordonnance n° 2017-29 du 12 janvier 2017, JO 13 janv. 2017.
CHAPITRE II Les opérations de paiement numérique899 770. S’il est une opération qui s’effectue dans une grande majorité de cas sous forme digitale, c’est bien le paiement. L’essor du commerce électronique requiert avant tout le respect d’un prérequis : la confiance900 portée par les commerçants et les consommateurs pour les transactions effectuées sur les réseaux numériques. Pour ce faire, le législateur européen a cherché à mettre en place progressivement un Marché unique numérique901 dont certaines règles préexistaient ou sont en cours d’évolution, notamment au sujet : – des différents éléments techniques constitutifs de la transaction : l’identification de l’émetteur et du destinataire de la transaction, son contenu intègre, son horodatage, la preuve de son émission et de sa réception dont le régime juridique a été exposé dans le règlement n° 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur (eIDAS) (v. partie II, chapitre I) ; – du respect de la vie privée et la protection des données à caractère personnel, comme l’a pris en compte le règlement du Parlement européen et du Conseil relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (Règlement général sur la protection des données) le 27 avril 2016 (v. partie I, chapitre II) ; – mais aussi, des moyens de paiement en ligne auxquels les plateformes de marché902 et les cyber-commerçants recourent. 771. Face à l’essor des fraudes à la carte bancaire903, des pratiques d’hameçonnage904 sans cesse plus élaborées mais aussi au déploiement du 899. Il ne sera pas fait état ici de l’émission de monnaie électronique. Se reporter à P. Storrer, Droit de la monnaie électronique (préf. J.-J. Daigre et M. Roussille), RB Édition, 2014. 900. É. A. Caprioli, « Confiance et communications électroniques : éléments provisoires de réflexion juridique », disponible sur le site : http://www.caprioli-avocats.com 901. https://ec.europa.eu/digital-single-market/digital-single-market#Article 902. V. l’initiative de la Commission européenne dans le cadre de la stratégie sur le marché numérique unique et la consultation : http://linkis.com/ec.europa.eu/digital/vXkiN 903. V. « État des lieux de la sécurisation des paiements par carte sur Internet », Rapport annuel de l’Observatoire de la sécurité des paiements, 2014, chapitre I, p. 11. 904. É. A. Caprioli, « Le phishing saisi par le droit », Com. com. électr. 2006, comm. 2.
328 | B anque
et
a ssurance
digitales
marché unique des paiements905, la Commission européenne a multiplié les textes réglementaires906. En droit français, la notion de paiement renvoie à une définition séculaire pérenne. Au sens des nouveaux articles 1342 et suivants du Code civil, le paiement suppose toujours la satisfaction du créancier puisqu’il va entraîner l’extinction de la dette et par là, la remise effective de la somme d’argent au créancier ou à celui qu’il a indiqué. 772. En outre, le nouvel article 1342-8 du Code civil énonce : « Le paiement se prouve par tout moyen » dans le prolongement de la qualification donnée par la Cour de cassation907. Toutefois, si le séquençage de l’opération de paiement (section I) est le même, les instruments de paiement (section II) comme les formes de paiement (section III) sont multiples.
SECTION I LES OPÉRATIONS DE PAIEMENT 773. Les articles L. 133-1 et suivants du Code monétaire et financier précisent le régime applicable aux opérations de paiements telles qu’elles sont ordonnées par le payeur908. En effet, il est prévu que : « I. – Les dispositions du présent chapitre s’appliquent aux opérations de paiement réalisées par les prestataires de services de paiement mentionnés au livre V dans le cadre des activités définies au II de l’article L. 314-1. (...) IV. – Sans préjudice de l’application de la section XII, le présent chapitre s’applique à l’émission et la gestion de monnaie électronique ». Conformément à l’article L. 133-3 du Code monétaire et financier, une opération de paiement « est une action consistant à verser, transférer ou retirer des fonds, indépendamment de toute obligation sous-jacente entre le payeur et le bénéficiaire, ordonnée par le payeur ou le bénéficiaire. 905. A. Prüm, « Après l’euro, l’espace unique européen des paiements », RDBF mai-juin 2007, p. 1. 906. Règlement n° 260/2012/UE du 14 mars 2012 du Parlement européen et du Conseil établissant des exigences techniques et commerciales pour les virements et les prélèvements en euros et modifiant le règlement n° 924/2009/CE, JOUE n° L. 94, 30 mars 2012, p. 22-37, modifié par le règlement n° 248/2014/UE du Parlement européen et du Conseil du 26 février 2014 modifiant le règlement n° 260/2012/UE en ce qui concerne la migration vers un système de virements et de prélèvements à l’échelle de l’Union. 907. Cass. civ. 1re, 16 sept. 2010, n° 09-13.947, P + B + I, Mme P. c/ C. : Juris-Data n° 2010-015952 ; G. Deharo, « Nature juridique du paiement : la Cour de cassation tranche en faveur de la qualification de fait juridique », JCP éd. E et A, 2010, 1871. 908. Le régime juridique des Prestataires de services de paiement ne sera pas étudié ici.
l es
opérations de paiement numérique
| 329
II. – L’opération de paiement peut être ordonnée : a) Par le payeur, qui donne un ordre de paiement à son prestataire de services de paiement ; b) Par le payeur, qui donne un ordre de paiement par l’intermédiaire du bénéficiaire qui, après avoir recueilli l’ordre de paiement du payeur, le transmet au prestataire de services de paiement du payeur, le cas échéant, par l’intermédiaire de son propre prestataire de services de paiement ; c) Par le bénéficiaire, qui donne un ordre de paiement au prestataire de services de paiement du payeur, fondé sur le consentement donné par le payeur au bénéficiaire et, le cas échéant, par l’intermédiaire de son propre prestataire de services de paiement ». À la lecture des textes, tout l’enjeu se situe dans la preuve d’une opération de paiement puisque la charge de la preuve qu’il a satisfait à l’ensemble des exigences en matière d’information reviendra au prestataire de services de paiement lui-même (v. CMF, art. L. 316-2). 774. Reste que ces principes issus de la directive et du Code monétaire et financier ont été prévus pour s’appliquer essentiellement aux consommateurs. Le prestataire de services de paiement conserve, en effet, toute latitude pour y déroger contractuellement vis-à-vis des commerçants ou des personnes physiques qui agissent pour des besoins professionnels (CMF, art. L. 133-2909 et CMF, art. L. 133-24910, al. 2). § 1 – Obligations d’information
775. En matière de moyens de paiement et plus particulièrement d’ordres de paiement, le Code monétaire et financier prévoit une série d’obligations concernant l’information du client. Il convient toutefois de noter que, sur le fondement de l’article L. 314-5 du Code monétaire et financier911, il peut être 909. CMF, art. L. 133-2 : « Sauf dans les cas où l’utilisateur est une personne physique agissant pour des besoins non professionnels, il peut être dérogé par contrat aux dispositions de l’article L. 133-1-1, des troisième et quatrième alinéas de l’article L. 133-7, des articles L. 133-8, L. 13319, L. 133-20, L. 133-22, L. 133-23, L. 133-25, L. 133-25-1, L. 133-25-2 et au I de l’article L. 13326 ». 910. Sauf dans les cas où l’utilisateur est une personne physique agissant pour des besoins non professionnels, les parties peuvent convenir d’un délai distinct de celui prévu au présent article. 911. CMF, art. L. 314-15 : « Un arrêté du ministre chargé de l’Économie précise les informations à fournir à une personne physique n’agissant pas pour des besoins professionnels si son prestataire de services de paiement est situé à Saint-Pierre-et-Miquelon ou à Mayotte et que l’autre prestataire de services de paiement impliqué dans l’opération est situé hors de France, quelle que soit la devise utilisée pour l’opération de paiement. Un arrêté du ministre chargé de l’Économie précise les informations à fournir à une personne physique n’agissant pas pour des besoins professionnels si son prestataire de services de paiement est situé sur le territoire de la France métropolitaine, des départements d’outre-
330 | B anque
et
a ssurance
digitales
dérogé vis-à-vis des professionnels et entreprises à une grande partie des obligations d’information prévues par l’arrêté du 29 juillet 2009912. § 2 – Consentement du client
776. L’une des conditions essentielles de l’ordre de paiement sera d’avoir fait l’objet du consentement du payeur (CMF, art. L. 133-6). La forme du consentement doit être convenue entre le payeur et sa banque, étant entendu que, pour que le consentement soit valable, la personne physique intervenant au nom et pour le compte de l’entreprise devra être dûment habilitée pour le faire, grâce à une délégation de pouvoir en bonne et due forme. 777. Une banque, qui recevrait un ordre de paiement d’une personne déclarant agir au nom de la personne morale alors qu’elle n’est pas habilitée à le faire, ne pourrait se retourner valablement contre la personne morale que si les conditions d’un « mandat apparent » sont réunies, c’est-à-dire qu’elle a légitimement pu croire que la personne physique agissait au nom et pour le compte de la personne morale. Reste que pour se prévaloir de sa croyance légitime, la banque doit établir qu’existaient au moment de l’acte des circonstances l’autorisant à ne pas vérifier les pouvoirs de ce dernier. 778. En pratique, la banque devra donc, indépendamment même de la question de la valeur juridique ou de la force probante de la signature apposée, s’enquérir de l’habilitation du signataire à engager valablement sa société pour l’acte envisagé. Elle devra donc être en mesure de parfaitement identifier la personne physique signataire. Pour cette raison, en dépit du principe de liberté de la preuve, il est recommandé que les moyens d’authentification électronique, nécessaires pour s’assurer des pouvoirs du signataire à engager valablement la société, s’appuient sur des solutions d’authentification forte dans le cadre d’opérations effectuées à distance (v. partie I, chapitre IV, section II). En l’absence du consentement du client dans les formes convenues entre les parties, l’opération en cause viendrait à être considérée comme non autorisée (v. CMF, art. L. 133-7). Or, toute opération non autorisée permet au payeur de solliciter et d’obtenir le remboursement des sommes indûment prélevées. 779. L’article L. 133-23 du Code monétaire et financier indique le principe à nuancer selon lequel « lorsqu’un utilisateur de services de paiement nie avoir autorisé une opération de paiement qui a été exécutée, ou affirme que l’opération mer, à Saint-Martin ou à Saint-Barthélemy et que l’autre prestataire de services de paiement impliqué dans l’opération est situé dans un État qui n’est pas partie à l’accord sur l’Espace économique européen, quelle que soit la devise utilisée pour l’opération de paiement ». 912. Arrêté du 29 juillet 2009 relatif aux relations entre les prestataires de services de paiement et leurs clients en matière d’obligations d’information des utilisateurs de services de paiement et précisant les principales stipulations devant figurer dans les conventions de compte de dépôt et les contrats-cadres de services de paiement, JO 31 juill. 2009, p. 12748.
l es
opérations de paiement numérique
| 331
de paiement n’a pas été exécutée correctement, il incombe à son prestataire de services de paiement de prouver que l’opération en question a été authentifiée, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre ». Le prestataire de services de paiement devra, dans ce cas, prouver deux faits distincts : – l’authentification, l’enregistrement et la comptabilisation de l’opération, et – l’absence d’une déficience technique. 780. Il convient de relever que l’article L. 133-23, alinéa 2, indique que « l’utilisation de l’instrument de paiement telle qu’enregistrée par le prestataire de services de paiement ne suffit pas nécessairement en tant que telle à prouver que l’opération a été autorisée par le payeur ou que celui-ci n’a pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière ». § 3 – Preuve de l’opération mal exécutée
781. En cas d’opération mal exécutée en raison d’erreur sur l’identifiant unique (IBAN) de nature à identifier le bénéficiaire, le prestataire de services de paiement sera exonéré de sa responsabilité mais il devra s’efforcer de récupérer les fonds en mettant à la charge de l’utilisateur les frais occasionnés (CMF, art. L. 133-21). 782. En outre, l’article L. 133-22 IV du Code monétaire et financier indique, quant à lui, que si la responsabilité du prestataire est retenue pour une mauvaise exécution qui lui est imputable, il remboursera les frais occasionnés, le cas échéant. Cet article ajoute également dans son III que « dans le cas d’une opération de paiement mal exécutée, sans préjudice de sa responsabilité, le prestataire de services de paiement de l’utilisateur s’efforce immédiatement, sur sa demande, de retrouver la trace de l’opération de paiement et notifie le résultat de sa recherche à son utilisateur ». § 4 – Modalités particulières de transmissions des ordres de paiement
783. Hormis en matière de chèques pour lesquels la loi impose un écrit, aucun type de support n’est expressément exigé pour le reste des ordres de paiement. Aussi, la loi admet la dématérialisation de la plupart des ordres de paiement (v. en ce sens les développements sur le « support durable » : cf. partie I, chapitre I, section III) contenus dans les instruments financiers, ce que la pratique bancaire a d’ores et déjà bien compris. 784. Toutefois, le SEPA impose des formats spécifiques pour les échanges interbancaires afin d’en faciliter la circulation au sein du marché unique.
332 | B anque
et
a ssurance
digitales
Le nouveau protocole EBICS s’applique tant aux virements SEPA (SCT) qu’aux prélèvements SEPA (SDD) et propose deux types de protocoles, à savoir EBICS T (avec signature disjointe) et EBICS TS (avec signature jointe). Pour que soit mis en place le nouveau protocole de communication, les banques devront respecter les recommandations du Comité français d’organisation et de normalisation bancaires (CFONB). 785. À ce titre, le CFONB a émis la « Politique d’acceptation commune » (PAC V3.1) dont les stipulations ont valeur contractuelle après l’engagement que l’organisme prend de les respecter913. À noter que la PAC requiert que l’autorité de certification applique une politique de certification conforme, a minima, aux principes de la PRIS/RGS et du Règlement eIDAS. 786. Divers documents viennent compléter la mise en place du protocole EBICS, à savoir le Guide de mise en œuvre en France version 2.1.5 accompagné de ses annexes ainsi que la documentation générique prévoyant les spécifications du protocole EBICS914, et contiennent des recommandations interbancaires françaises, notamment en matière de commandes utilisées, de nommage des fichiers (règles de codification, valeurs de tables associées à cette codification, etc.) ou encore des types de certificats utilisés en fonction du profil T ou TS (matériel, logiciel, etc.). Ces recommandations ne sont pas stricto sensu obligatoires, d’autant que le contrat type fourni par le CFONB relatif à EBICS est susceptible de modifications. Pour autant, le respect des standards mis en place par le CFONB conditionne l’interopérabilité entre les différents systèmes d’information des banques. 787. En tout état de cause, les documents techniques relatifs au protocole EBICS impliquent l’utilisation de certificats électroniques pour trois phases différentes : – l’authentification ; – le chiffrement ; – la signature personnelle. § 5 – Conservation – Prescription
788. L’établissement de paiement doit procéder à l’archivage des enregistrements appropriés et les conserver pendant un délai d’au moins cinq ans, sans préjudice
913. Document disponible à l’adresse suivante : http://www.cfonb.org/fichiers/20160324171128_ CFONB_PAC_V3.1_FR.pdf. 914. Documents disponibles à l’adresse suivante : http://www.cfonb.org/fichiers/20141029101016_ 6_10_EBICS_IG_CFONB_VF_2_1_5_2014_06_23.pdf.
l es
opérations de paiement numérique
| 333
de l’application d’autres dispositions légales ou communautaires pertinentes (DSP 2, art. 21), une durée de cinq ans étant effectivement prévue par l’alinéa 2 de l’article L. 561-12 du Code monétaire et financier. Le Code monétaire et financier ajoute que les actions relatives aux ordres de paiement tels qu’entendus par l’article L. 133-1, se prescrivent par cinq ans, à condition d’avoir contesté l’opération dans le délai de treize mois (CMF, art. L. 133-24), sous peine de forclusion (plus de contestation possible), soit treize mois maximum pour contester et cinq ans maximum pour agir en justice du fait de cette contestation. Toutefois, en matière d’information d’exécution des opérations de paiement, si le contrat n’a pas aménagé ses modalités et qu’elle n’a pas été effectuée dans les temps et dans les formes, le client pourra contester les opérations sans limitation de durée. Concernant la clientèle agissant pour des besoins professionnels, il sera à la fois possible de convenir par contrat d’un délai plus court de contestation (CMF, art. L. 133-24, al. 2), mais également de réduire le délai de prescription de l’action consécutive à cette contestation (qui ne pourra être réduit en dessous d’un an).
SECTION II LES INSTRUMENTS DE PAIEMENT 789. La directive n° 2007/64/CE du Parlement européen et du Conseil du 13 novembre 2007 concernant les services de paiement915 dans le marché intérieur, transposée en droit français par l’ordonnance n° 2009-866 du 15 juillet 2009916, suivie du décret d’application n° 2009-934 du 29 juillet 2009917 visait à harmoniser les règles existantes en matière d’instruments de paiement918 : – le virement SEPA ou SCT (SEPA Credit Transfer) ; 915. Directive n° 2007/64/CE du Parlement européen et du Conseil du 13 novembre 2007 concernant les services de paiement dans le marché intérieur, modifiant les directives n° 97/7/ CE, n° 2002/65/CE, n° 2005/60/CE ainsi que n° 2006/48/CE et abrogeant la directive n° 97/5/ CE, JOUE n° L. 319, 5 déc. 2007, p. 1. 916. Ordonnance n° 2009-866 du 15 juillet 2009 relative aux conditions régissant la fourniture de services de paiement et portant création des établissements de paiement, prise sur le fondement de la loi du 4 août 2008 de modernisation de l’économie, JO 16 juill. 2009, p. 11868. V. G. Notté, « Fourniture de services de paiement et création des établissements de paiement », JCP éd. E & A, n° 31, 30 juill. 2009, act. 358 ; dossier spécial dans le JCP éd. E & A, n° 2, 14 janv. 2010, 1031-1034. 917. Décret n° 2009-934 du 29 juillet 2009 pris pour l’application de l’ordonnance n° 2009-866 du 15 juillet 2009 relative aux conditions régissant la fourniture de services de paiement et portant création des établissements de paiement, JO 31 juill. 2009, p. 12744. 918. L’objectif de ces développements n’est pas d’effectuer une analyse complète des instruments de paiement mais simplement un exposé des principes.
334 | B anque
et
a ssurance
digitales
– le prélèvement SEPA ou SDD (SEPA Direct Debit) ; – et la carte bancaire selon les modalités du SCF (SEPA Card Framework). Ces derniers, bien que difficiles à mettre en œuvre, constituent, pour la majorité des nouveaux moyens de payer, un prérequis. Ils agissent selon des modalités juridiques, fonctionnelles et techniques communes, qu’ils soient utilisés pour réaliser des paiements nationaux ou transfrontaliers dans la zone SEPA. 790. À l’occasion de la mise en place du SEPA, l’European Payments Council ou EPC, représentant les Prestataires de Services de Paiement919, a prévu « un ensemble commun de règles de fonctionnement, pratiques et normes régissant la fourniture et le fonctionnement d’un instrument de paiement convenu à l’échelon interbancaire dans un environnement concurrentiel »920 appelé « Scheme ». De nature contractuelle, ce « Scheme » prévoit des « Rulebooks », c’est-à-dire des exigences techniques, concernant les divers instruments de paiement SEPA, que doivent respecter les différents établissements de paiement afin de permettre l’interopérabilité entre eux. § 1 – Les virements : le « SEPA Credit Transfer »
791. L’ensemble des virements de la zone SEPA s’opère suivant le modèle du « SEPA Credit Transfer ». Le règlement n° 260/2012 du Parlement européen et du Conseil du 14 mars 2012 établissant des exigences techniques et commerciales pour les virements et les prélèvements en euros et modifiant le règlement (CE) n° 924/2009921 définit un virement de base pour les paiements non urgents : « un service de paiement national ou transfrontalier fourni par le prestataire de services de paiement qui détient le compte de paiement d’un payeur, visant à créditer, sur la base d’une instruction donnée par le payeur, le compte de paiement d’un bénéficiaire par une opération ou une série d’opérations de paiement, réalisées à partir du compte de paiement du payeur » (article 2.1). 792. Le « SEPA Credit Transfer » ou virement SEPA est un virement standard en euros sans limite de montant, dans un délai maximum garanti de quatre jours (CMF, art. L. 133-12) que le virement soit national ou transfrontalier. Les frais de la banque du donneur d’ordre seront à la charge du donneur d’ordre et les frais de la banque du bénéficiaire seront à la charge du bénéficiaire. Ce mode de partage des frais reprend les principes actuellement applicables en France pour les virements domestiques. Sur le plan technique, il est prévu que les échanges de données entre banques soient normalisés, afin de réduire les délais de traitement des ordres et de transfert de fonds. Les données doivent 919. Dont une description est disponible à l’adresse : http://www.europeanpaymentscouncil.eu/ index.cfm/about-epc/the-european-payments-council/ 920. Définition issue du document Le prélèvement SEPA « SEPA Core Direct Debit » Version 6.0 Applicable à partir du 20 novembre 2016, disponible à l’adresse :http://www.cfonb.org/ fichiers/20160713084728_2.4_Brochure_Prelevement_SEPA_SDD_Core_V6_juillet_2016.pdf 921. Préc.
l es
opérations de paiement numérique
| 335
être échangées au format XML et respecter la norme ISO 20022. Les comptes bancaires des parties au SCT doivent être identifiés grâce aux codes BIC et IBAN. S’agissant du délai d’exécution, il est fixé par la directive DSP 2 à « J+1 ». En d’autres termes, l’opération doit être exécutée au plus tard à la fin du jour ouvrable suivant la réception de l’ordre de paiement922. § 2 – Les prélèvements : le « SEPA Direct Debit »
793. Le « SEPA Direct Debit » (SDD) a désormais remplacé le prélèvement automatique domestique. Le règlement n° 260/2012 du Parlement européen et du Conseil du 14 mars 2012 établissant des exigences techniques et commerciales pour les virements et les prélèvements en euros et modifiant le règlement n° 924/2009/CE923 définit un prélèvement comme « service de paiement national ou transfrontalier visant à débiter le compte de paiement d’un payeur, lorsque l’opération de paiement est initiée par le bénéficiaire sur la base du consentement du payeur (…) » (article 2.2). 794. L’EPC a défini un ensemble complet de règles, pratiques et normes opérationnelles pour la gestion du système de prélèvement du SDD. Il contient donc des dispositions sur le champ d’application du système, les rôles et responsabilités des participants, les règles opérationnelles et le cadre légal et contractuel. À ce titre, il a nécessité une négociation interbancaire sur les formats et protocoles de transmission de données. Il convient de noter que ces formats et protocoles sont les mêmes que ceux préconisés pour le virement SEPA (norme ISO 20022, identification IBAN et BIC)924. Une version 8.2925 du « Core Rulebook » a été publiée par l’EPC le 3 mars 2016 et est applicable depuis le 1er avril 2016, au même titre que la version 6.2 du SDD Business to Business (B2B) Rulebook, applicable jusqu’au 20 novembre 2016 et la publication de la version 9.2 qui sera, quant à elle, applicable jusqu’en novembre 2017926. 795. Le prélèvement SEPA, qui est sensiblement différent du prélèvement français, est un prélèvement exécuté dans la zone SEPA en euros, répondant à de nouvelles modalités juridiques et fonctionnelles. Il repose notamment sur le principe d’un mandat unique délivré par le débiteur au créancier (contrairement au double mandat français).
922. CMF, art. L. 133-13. 923. Préc. 924. Disponible à l’adresse : http://www.europeanpaymentscouncil.eu/index.cfm/sepa-direct-debit/ sepa-direct-debit-core-scheme-sdd-core/. 925. http://www.europeanpaymentscouncil.eu/index.cfm/knowledge-bank/epc-documents/sepadirect-debit-core-rulebook-version-82/epc016-06-core-sdd-rb-v82-approved/ 926. http://www.europeanpaymentscouncil.eu/index.cfm/sepa-direct-debit/sct-sdd-rulebookrelease-management/
336 | B anque
et
a ssurance
digitales
§ 3 – Les paiements par carte bancaire : le « SEPA Card Framework »
796. Le SEPA vise à étendre l’usage des cartes bancaires, trop souvent limité au cadre domestique. Par conséquent, l’objectif du SEPA dans ce domaine est de faciliter le développement de l’instrument, tant du point de vue de l’offre (banques) que de la demande (porteurs de cartes et commerçants) sans différenciation entre paiements nationaux et transfrontaliers. Le « SEPA Card Framework » a pour objet d’assurer l’interopérabilité entre les différents réseaux de cartes bancaires ayant une présence dans la zone SEPA et d’en renforcer la sécurité. Les porteurs et les commerçants peuvent effectuer et recevoir des paiements par carte dans l’ensemble de la zone euro selon des modalités communes et cohérentes entre elles. Les prestataires de services de traitement des cartes de paiement pourront être en concurrence et offrir leurs services dans l’ensemble de la zone SEPA, ce qui rendra le marché plus concurrentiel, plus fiable mais aussi plus efficace en termes de coûts. § 4 – L’« Instant Payment »
797. Le paiement instantané n’a pas vocation à remplacer le virement ou le prélèvement déjà réglementés dans le cadre de la directive sur les services de paiement. Il se veut plutôt être le substitut le plus proche de l’espèce (« cash »), en ce qui concerne la rapidité et le dénouement de la transaction. Il se définit au sens de l’« Euro Retail Payments Board »927 comme une solution de paiement électronique disponible à tout moment, résultant d’une compensation interbancaire immédiate ou quasi immédiate de l’opération et du crédit du compte du bénéficiaire avec une demande de confirmation au payeur928. Dans le cadre du paiement instantané, le transfert d’argent est immédiat, sans attendre qu’un jour ouvré a minima ne soit écoulé, et disponible 24 heures/24, 7 J/7, 365 jours/an (ou 24/7/365). Ainsi, des États européens font déjà de l’« Instant Payment » et l’EPC a pour mission d’harmoniser et d’intégrer les pratiques de l’« Instant Payment » pour éviter des ruptures de concurrence à l’échelle européenne.
927. Disponible à l’adresse https://www.ecb.europa.eu/paym/retpaym/euro/html/index.en.html. 928. Disponible à l’adresse : http://www.ecb.europa.eu/paym/retpaym/shared/pdf/eprb_statement _2.pdf?72f16eb99abfaefce9292143f0344227.
l es
opérations de paiement numérique
| 337
798. D’avril 2016 à juillet 2016, un appel à contributions publiques929 a été lancé par l’EPC afin de recueillir les opinions et avis sur son projet de « SCT Instant Rulebook » (un cahier de Règles techniques) pour la mise en œuvre d’un système de paiement instantané paneuropéen. L’objectif de ce « SCT Instant Rulebook » est de déterminer les règles permettant de mettre à disposition du bénéficiaire, la somme transférée dans les 10 secondes à compter de la transaction (pour des transactions inférieures à 15 000 euros). L’EPC entend publier son « Rulebook » en novembre 2016 pour un déploiement en novembre 2017. La directive a été abrogée dernièrement par la directive n° 2015/2366 du 25 novembre 2015930, mais cette typologie perdure. Cette directive s’applique aux opérations de paiement réalisées par les prestataires de services de paiement dans le cadre des activités définies au II de l’article L. 314-1 du Code monétaire et financier.
SECTION III LES FORMES DES MOYENS DE PAIEMENT § 1 – Le paiement par SMS
799. La loi pour une République numérique931 prévoit dans son article 94932 l’insertion d’un article L. 521-3-1 dans le Code monétaire et financier, par lequel un fournisseur de réseaux ou de services de communications électroniques peut fournir des services de paiement pour un de ses abonnés pour l’exécution : 1. d’opérations de paiement effectuées pour l’achat de contenu numérique et de services vocaux, quel que soit le dispositif utilisé pour l’achat ou la consommation du contenu numérique, et imputées sur la facture correspondante ; 2. d’opérations de paiement exécutées depuis un dispositif électronique ou au moyen de celui-ci et imputées sur la facture correspondante dans le cadre de la collecte de dons par les organismes faisant appel public à la générosité conformément aux dispositions de la loi n° 91-772 du 7 août 1991 relative au congé de représentation en faveur des associations et
929. Disponible à l’adresse : http://www.europeanpaymentscouncil.eu/index.cfm/about-epc/epcnews/start-of-the-public-consultation-for-first-pan-european-scheme-providing-customerswith-euro-instant-credit-transfers/ 930. Directive n° 2015/2366/UE du Parlement et du Conseil européen du 25 novembre 2015 concernant les services de paiement dans le marché intérieur, modifiant les directives n° 2002/65/CE, n° 2009/110/CE et n° 2013/36/UE et le règlement n° 1093/2010/UE et abrogeant la directive n° 2007/64/CE, JOUE n° L. 337, 23 déc. 2015, p. 35 et s. 931. Préc. 932. Dans sa version du 30 juin 2016 – Commission Mixte Paritaire : https://www.senat.fr/leg/ pjl15-744.html
338 | B anque
et
a ssurance
digitales
des mutuelles et au contrôle des comptes des organismes faisant appel à la générosité publique933 ; 3. d’opérations de paiement exécutées depuis un dispositif électronique ou au moyen de celui-ci et imputées sur la facture correspondante pour l’achat de tickets électroniques. 800. Cet article, largement débattu lors de la consultation via l’Internet et terminée le 18 octobre 2015, visait avant tout les dons caritatifs mais avait également vocation à « faciliter les transactions par SMS pour l’achat de musiques, vidéos, renseignements téléphoniques, et les services de billetterie ». De nombreux arguments s’opposent à cette pratique qui consiste à effectuer une transaction (pour des dons certes mais aussi pour des transactions d’un montant minime) et à l’imputer sur sa facture de téléphonie. Elle est déjà mise en œuvre par les principaux opérateurs français, spécialement pour la souscription de certaines options payantes. Toutefois, l’ouverture d’une ligne téléphonique n’est effective qu’après la signature et la transmission d’une demande de prélèvement par le titulaire et la création d’un compte. Les problématiques de sécurité technique et d’authentification des titulaires autour du SMS, une technologie considérée comme déclinante et de moins en moins utilisée, ont été soulevées par de nombreuses personnes ayant déposé des avis négatifs au sujet de cet article. § 2 – Le paiement via « E-Wallet » (réseaux sociaux)
801. Les établissements bancaires mettent en place des « E-Wallet », comptes alimentés à partir du compte bancaire « traditionnel » du titulaire. En outre, certaines initiatives d’établissements bancaires s’appuient sur les réseaux sociaux. Ainsi en est-il de BPCE et de son application S Money934 qui permet, après l’ouverture d’un compte, d’effectuer à partir d’un tweet des envois d’argent vers un autre compte S Money ou vers des commerçants partenaires du programme. L’ouverture du compte S Money par son titulaire est conditionnée à la transmission des coordonnées bancaires (RIB et Carte bancaire). C’est à compter de cet instant que le titulaire pourra provisionner son compte. Il s’agit d’un outil de facilitation de la relation entre la banque et son client mais qui reste fondé sur l’utilisation de moyens de paiement classiques. § 3 – Le paiement via PayPal
802. PayPal est une « solution logicielle qui consiste, pour un client, à s’inscrire sur un site sécurisé de paiement par courrier électronique pour y ouvrir un “compte” 933. JO 10 août 1991, p. 10616. 934. Disponible à l’adresse : http://www.s-money.fr/decouvrir-s-money/presentation-du-service/.
l es
opérations de paiement numérique
| 339
qu’il doit alimenter à partir d’un compte bancaire, par virement ou par carte de paiement. Une fois ce “compte” alimenté, il indique l’adresse électronique de la personne à laquelle il souhaite envoyer un paiement, en en précisant le montant. Le destinataire peut alors percevoir la somme sur son propre “compte” ouvert sur le même site sécurisé »935. Cet intermédiaire s’appuie sur les coordonnées bancaires transmises par un établissement respectant les règles prudentielles en la matière. De nombreuses questions, notamment fiscales936, étaient posées au sujet de cet acteur. Mais l’un des points essentiels a trait à l’absence de la fiabilité de l’identification pour les comptes PayPal937. § 4 – Le paiement par NFC
803. Permettant d’échanger des données sur une courte distance, sans contact, la technologie NFC (« Near Field Communication »), consiste à combiner une carte équipée d’une puce électronique sans contact dans un même support938 et certaines précautions ont été retenues par la CNIL, comme la suppression de l’accès au nom du porteur pour les cartes émises depuis septembre 2012939, la suppression de l’accès à l’historique des transactions pour les modèles déployés depuis 2013. Là encore, il ne s’agit que d’une évolution de la carte bancaire, moyen traditionnel de paiement. Les mêmes exigences de sécurité et d’authentification sont requises. § 5 – Le paiement en recourant à la vérification des transactions via la Blockchain
804. De nombreux établissements bancaires s’intéressent désormais aux blockchains, technologie sous-jacente de toute crypto-monnaie, et plus spécialement du Bitcoin (cf. partie III, chapitre II, section I). Cette technologie vise à assurer la gestion décentralisée de l’historique des transactions. Les « blocs » contenant plusieurs transactions, sont détenus par les titulaires eux-mêmes. 935. Réponse écrite à la Question n° 61022 du Député Mariani au ministère de la Justice, Ventes et échanges – Commerce électronique – Technologie PayPal. Réglementation, JOAN 17 mai 2005. 936. E. Barbaud, F. Storme, « Déclaration des comptes de paiement dématérialisés situés à l’étranger : payer n’est pas placer ? », JCP éd. E et A, mai 2014, act. 390. 937. Les CGU PayPal figurent sur https://www.paypal.com/fr/webapps/mpp/ua/useragreementfull. 938. Souvent les téléphones mobiles. Cf. le projet « Pegasus », qui réunit des banques et des opérateurs de téléphonie mobile. Les expérimentations sont menées à Strasbourg et à Rouen dans le cadre de l’opération « Payez mobile » : http://www.payezmobile.com/. 939. « Propositions de la CNIL pour améliorer la sécurité des cartes bancaires sans contact », D.O. actualité, juill. 2013, 27. V. également Carte de paiement sans contact : mode d’emploi, 19 mai 2015 : http://www.cnil.fr/documentation/fiches-pratiques/fiche/article/carte-de-paiement-sanscontact-mode-demploi/.
340 | B anque
et
a ssurance
digitales
Ces blocs permettent de garantir à chaque instant l’intégrité et l’authenticité de chaque transaction en recourant à des outils cryptographiques, mais pris dans leur ordre chronologique. En effet, la validation d’une transaction nécessite la résolution d’un casse-tête numérique et des ressources informatiques en termes de serveurs pour réaliser les opérations de calculs.
CHAPITRE III Les fonctionnalités de la banque en ligne 805. En Europe, près de la moitié des Européens utilisent déjà des services bancaires mobiles940. La Banque en ligne (BEL) est conçue pour fonctionner par le biais de smartphones et tablettes au moyen d’une application ou d’une interface Internet. Pour la France, la société Hello Bank (start-up de BNP Paribas) par exemple, se définit comme une banque 100 % digitale941. De même, Axa Banque a entendu proposer son offre Soon942. Mais d’autres se sont également lancées dans cette aventure comme l’allemand Number26 proposant un service pensé entièrement pour un usage mobile (smartphone) et permettant d’agir sur les fonctions de sa carte bancaire en activant et désactivant les fonctionnalités sans avoir à joindre un conseiller943. Pour les opérateurs mobiles et les banques traditionnelles, l’un des marchés porteurs de la banque mobile est désormais l’Afrique. Dotée d’une population très faiblement bancarisée, de pays ne disposant pas de normes ou de standards impératifs et définis, l’Afrique est devenue l’Eldorado des services en ligne944. Depuis quelques années, les opérateurs mobiles ont commencé à investir en ce sens ; ainsi en est-il, entre autres, d’Orange avec ses services Orange Money et Orange Cash. Le spectre des opérations couvertes par les services en ligne s’est considérablement diversifié ces dernières années avec le déploiement des
940. Ch. Lejoux, « L’Europe de la banque mobile n’est pas une, mais multiple », disponible sous le lien : http://www.latribune.fr/entreprises-finance/banques-finance/banque/l-europe-de-labanque-mobile-n-est-pas-une-mais-multiple-584355.html 941. BNP Paribas, « Hello bank ! Première banque mobile européenne, 100 % digitale », disponible sous le lien : https://group.bnpparibas/actualite/hello-bank-premiere-banquemobile-europeenne-100-digitale 942. R. Krivine, « Soon, la 1re banque 100 % mobile en France », Rev. Banque, disponible sous le lien : http://www.revue-banque.fr/banque-detail-assurance/article/soon-1re-banque-100mobile-en-france 943. Th. Pontiroli, « La banque mobile Number26 arrive en France », Clubic, disponible sous le lien : http://www.clubic.com/pro/actualite-e-business/investissement/actualite-810122-number 26-40.html 944. P. Amsellem, « L’avenir de la banque mobile s’écrit en ce moment en Afrique », disponible sous le lien : http://www.lesechos.fr/21/03/2016/LesEchos/22154-156-ECH_l-avenir-de-labanque-mobile-s-ecrit-en-ce-moment-en-afrique.htm.
342 | B anque
et
a ssurance
digitales
moyens de communication électronique, les outils nomades comme les tablettes ou les smartphones. Aux traditionnels services de consultation des comptes par lesquels un simple contenu informatif et statique était transmis aux clients ayant souscrit un contrat d’espace en ligne sont venus s’ajouter d’autres services plus dynamiques et pour lesquels des transferts d’argent sont pratiqués (virements). La contrepartie de ce comportement plus actif du client et donc de l’accroissement du volume des échanges, ainsi que de l’importance juridique des opérations couvertes par les services en ligne, a été le renforcement des mesures de sécurité technique (v. partie I, chapitre IV). La première gamme de services offerts par les organismes bancaires, financiers et assurantiels à leurs adhérents ayant souscrit à leurs services en ligne avait trait fréquemment à la transmission d’informations. Désormais, l’échange est bilatéral, interactif. L’espace en ligne devient cet espace de rencontre avec le « Conseiller digital ».
SECTION I CONSULTATION ET ÉMISSION DE RELEVÉS D’OPÉRATIONS PAR VOIE ÉLECTRONIQUE/GESTION DES ALERTES 806. Les organismes bancaires, financiers et assurantiels proposent sur leurs sites en ligne à leurs adhérents de consulter les opérations réalisées sur leurs comptes de dépôt. Ce dernier doit fournir « sans tarder sur support papier ou sur un autre support durable à l’utilisateur les informations relatives à cette opération » (CMF, art. L. 314-14). Cette fourniture peut ne s’opérer qu’une fois par mois. Ils ne peuvent refuser de délivrer ces informations gratuitement sur papier. L’un des principaux avantages pour les adhérents consiste en la célérité de prise en compte des mouvements financiers intervenus sur un de leurs comptes ; ces derniers apparaissent fréquemment dans les heures qui le suivent. 807. Les banques et les assurances prônent fréquemment la transmission par voie électronique des relevés d’opérations. Cet abonnement nécessite de ce fait une adresse de courrier électronique fiable vers laquelle l’établissement bancaire et financier, mais aussi les compagnies d’assurance notifieront fréquemment aux titulaires de comptes en ligne la mise à disposition de leur relevé d’opérations. Toutefois, ils devront disposer de l’accord de ces derniers pour ne recourir qu’à la forme électronique. En effet, la forme de ces relevés d’opérations ainsi que le mode de délivrance ne sont pas précisés dans le Code monétaire et financier, et ce sous réserve d’intégrité des informations que ces relevés contiennent, un cachet électronique pouvant être suffisant.
l es
fonctionnalités de la Banque en ligne
| 343
808. Dans certains cas, les organismes bancaires, financiers et assurantiels transmettent directement les relevés sur l’adresse de courrier électronique communiquée par le titulaire de compte ou sur un coffre (partie II, chapitre I, section II) désigné par le titulaire et avec lequel l’établissement a conclu un partenariat. Mais cette solution – si elle semble a priori simple – ne répond pas aux exigences de sécurité auxquelles sont soumis les établissements en question : – l’adresse de courrier électronique est purement déclarative, ce qui laisse des doutes quant à l’identité des destinataires des relevés de comptes ; – le titulaire ou le conseiller peut se tromper dans la saisie de l’adresse, ce qui induit également des risques quant à la non-réception de ces relevés ; – la pratique de l’envoi de courriers électroniques aux titulaires de comptes par les établissements cibles peut augmenter le risque de phishing que ces mêmes établissements combattent par ailleurs et engager leur responsabilité (v. supra). 809. Les organismes bancaires, financiers et assurantiels proposent également : – des services payants d’alertes via SMS ou courriers électroniques lorsqu’un seuil financier est atteint (en absolu ou lorsqu’un montant est atteint sur une période de temps donnée) ; – des services permettant de vérifier les états financiers relatifs à des produits souscrits en agence (mensualités versées et restant à verser pour un contrat de prêt par exemple).
SECTION II MISE À DISPOSITION POUR IMPRESSION DE RELEVÉS D’IDENTITÉ BANCAIRE 810. Le RIB permet aux titulaires de compte de dépôt de communiquer à des tiers leurs coordonnées bancaires dans le cadre des avis de prélèvement, des virements, etc. Ce RIB contient un numéro qui permet d’identifier aisément non seulement le client, mais l’établissement de crédit et le guichet qui tient le compte et facilite les traitements informatiques et les relations interbancaires. Il a été jugé que le RIB est un simple instrument d’identification945 et qu’il n’implique aucune garantie de la part de la banque quant à l’existence de la provision d’un chèque émis par le client.
945. T. com. Paris, 13 sept. 1988 : Rev. Banque 1988, p. 1275.
344 | B anque
et
a ssurance
digitales
À ce titre, on peut considérer que la délivrance des RIB ne semble pas être réglementée. Le fait de les mettre à disposition par voie électronique est donc envisageable sous la réserve de garantir l’intégrité des informations qu’ils contiennent (par le biais d’un cachet électronique par exemple).
SECTION III LES VIREMENTS BANCAIRES 811. Les ordres de virement en général946 ne sont soumis à aucun formalisme particulier et donc à aucun écrit947. Dès lors, l’ordre de virement peut être donné soit par un écrit (lettre missive, etc.), soit par le biais de n’importe quel moyen de communication : voie électronique, bande magnétique, téléphone, etc.948. Par ailleurs, l’ordre de virement devra désigner précisément les comptes à débiter et à créditer, l’identifiant bancaire (RIB, IBAN/BIC) ainsi que le montant en question. Les établissements bancaires et financiers permettent d’effectuer ce type de virement de compte à compte, dès le moment où les éléments identifiant le compte (Banque, Guichet, Numéro de compte, Clé, Nom du bénéficiaire) sont transmis de manière sécurisée (par exemple, avec la transmission d’un code émis sur un téléphone portable via SMS et qui devra être retranscrit via l’interface du site Internet de la banque).
SECTION IV FONCTIONNALITÉ DE BASE DES ESPACES CLIENTS 812. L’entrée en relation constitue un événement fondateur de la relation contractuelle entre un établissement bancaire et financier et un client (cf. partie II, chapitre I, section I). Les espaces en ligne permettent à leurs titulaires de faire évoluer les données relatives à leur identification (numéro de téléphone portable ou fixe, adresse de courrier électronique, adresse postale).
946. Pour les virements SEPA, se rapporter à la partie II, chapitre II. 947. Cass. com., 29 janv. 1985 : Bull. civ. IV, 1985, n° 36 ; S. 1986, inf. rap. 328, obs. Michel Vasseur. Cass. civ. 1re, 1er juill. 1997 : Bull. civ. 1997, I, n° 218 ; RDBF, 1997, p. 165, obs. F.-J. Crédot et Y. Gérard ; RTD com. 1997, 657, obs. Michel Cabrillac. Cass. com., 19 juin 2007, SA Banque Scalbert Dupont c/ Chamillard : Juris-Data n° 2007-039732. Un arrêt récent de la Cour de cassation est venu confirmer un revirement de jurisprudence concernant la nature du paiement : la preuve du paiement, qui est un fait, peut être rapportée par tous moyens, Cass. civ. 1re, 16 sept. 2010, Contrats, conc, consom. 2010, comm. 266, obs. L. Leveneur. 948. V. not., CA Lyon, civ. 1re, 28 juin 2007, Azoulay c/ Crédit Mutuel de Draguignan, Juris-Data n° 2007-354603, minitel et désormais par l’Internet (CA Paris, ch. 15, sect. B, 21 déc. 2006, Uzan c/ SA BNP Paribas : Juris-Data n° 2006-332108. Cass. com., 29 janv. 2002 : D. 2002, p. 717, obs. Y. Liehnard ; RTD com. 2002, p. 354, obs. M. Cabrillac).
l es
fonctionnalités de la Banque en ligne
| 345
813. Toutefois, l’exigence de connaissance du client tout au long de la relation contractuelle (KYC) nécessite souvent de la part des établissements bancaires et financiers des précautions pour modifier ces données : 1. elles n’apparaissent régulièrement que sous forme tronquée (les derniers chiffres d’un numéro de téléphone ou les dernières lettres d’une adresse de courrier électronique par exemple) ; 2. toute modification de ces données (ayant une incidence sur le KYC) doit être sécurisée et se traduit encore fréquemment par la saisie des données à modifier sur un formulaire puis son impression, sa signature et son envoi par voie postale ou par fax. 814. En outre, les espaces clients doivent permettre également de gérer la vie de leurs contrats pour résilier ou modifier les contrats sous certaines conditions. Par exemple, l’article L. 112-3, alinéas 5 et 6, du Code des assurances énonce : « Toute addition ou modification au contrat d’assurance primitif doit être constatée par un avenant signé des parties. Par dérogation, la modification proposée par l’assureur d’un contrat complémentaire santé individuel ou collectif visant à le mettre en conformité avec les règles fixées par le décret en Conseil d’État mentionné à l’article L. 871-1 du Code de la sécurité sociale est réputée acceptée à défaut d’opposition du souscripteur. L’assureur informe par écrit le souscripteur des nouvelles garanties proposées et des conséquences juridiques, sociales, fiscales et tarifaires qui résultent de ce choix en application du même article. Ce dernier dispose d’un délai de trente jours pour refuser par écrit cette proposition. Les modifications acceptées entrent en application au plus tôt un mois après l’expiration du délai précité de trente jours et dans un délai compatible avec les obligations légales et conventionnelles d’information des adhérents ou affiliés par le souscripteur ». Le fait de prévoir que des échanges pourraient être établis via une messagerie sécurisée ou un espace sécurisé (prévu sur le compte en ligne) pour l’exécution du contrat (avenant, réclamation…) constituerait un poste éventuel d’économie, sous la réserve de prévoir un module de signature électronique. Cet espace sécurisé : 1. devra être couvert par une convention de preuve adaptée ; 2. devra être fiable (c’est-à-dire que la compagnie d’assurance devra pouvoir démontrer devant les juges qu’il lui est techniquement impossible – sans qu’une trace soit émise – de supprimer des messages ou de prendre connaissance des courriers) ; 3. devra respecter les exigences formulées par le Code des assurances. Il en va de même pour les établissements bancaires ou financiers.
346 | B anque
et
a ssurance
digitales
SECTION V MISE EN PLACE DE SIMULATIONS D’OPÉRATION (CRÉDIT, ASSURANCE) 815. Il arrive fréquemment que les établissements bancaires, financiers et assurantiels mettent en œuvre dans le cadre de leurs sites Internet mais également de leurs espaces en ligne un service « Simulation de crédit » ou des simulations d’assurance (automobile, etc.). La simulation sur Internet doit permettre de fournir au client l’ensemble des informations exigées réglementairement. Deux types de simulation sont à distinguer : – une simulation avant authentification, simulation « non personnalisée » ; – une simulation après authentification, simulation « personnalisée » (prise en compte de la notation assureur ou du score de l’établissement de crédit…). Il est envisageable que le titulaire argue d’une simulation au contenu plus avantageux que celui d’une offre préalable de crédit établie ultérieurement et demande les conditions énoncées dans la simulation plus avantageuse. C’est pourquoi les organismes bancaires, financiers et assurantiels devront prévoir les conditions contractuelles entourant la valeur juridique des simulations (avant ou après authentification) et déniant – en tous les cas – pour les simulations avant authentification tout effet juridique potentiel.
SECTION VI MESSAGERIE BANCAIRE 816. Il est question ici de la « messagerie sécurisée », car, contrairement à une messagerie électronique classique où les messages transitent via l’Internet, les messages émis ou reçus restent dans le cadre du système d’information des organismes bancaires, financiers et assurantiels dont la sécurité est maîtrisée. Cela permet ainsi aux banques et assurances de communiquer des informations à leurs clients en assurant une confidentialité aux échanges qu’une transmission du message par le canal de l’Internet ne permettrait pas d’obtenir. L’envoi de contenus destinés à un client ayant un accès aux services en ligne et concernant son compte, par le biais d’un canal notoirement insécurisé serait, en effet, de nature à pouvoir engager la responsabilité de la banque (ou de l’assurance) que ce soit par rapport aux exigences du secret bancaire, de la protection des données à caractères personnel (article 34 de la loi du 6 janvier
l es
fonctionnalités de la Banque en ligne
| 347
1978 dite « Informatique, fichiers et libertés »949) ou des règles de contrôle interne (v. partie I, chapitre II). Les messages d’informations personnalisées qui peuvent être adressés par les organismes bancaires, financiers et assurantiels au client via cet outil sont susceptibles d’être encadrés par les règles applicables à la commercialisation à distance de produits ou de services financiers, ou encore par des règles spécifiques inhérentes à chacun de leur contenu (crédit à la consommation, etc.). Mais, dès lors qu’ils se présentent comme des « messages électroniques », il convient de se demander si ces « messages » rentrent également dans le cadre de la réglementation applicable à la prospection directe non sollicitée. On peut considérer que la commande de chéquiers (souvent perçue comme un service distinct) fait partie des échanges de contenus entre un établissement bancaire et financier et son client.
949. « Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. Des décrets, pris après avis de la Commission nationale de l’informatique et des libertés, peuvent fixer les prescriptions techniques auxquelles doivent se conformer les traitements mentionnés au 2° et au 6° du II de l’article 8 ».
CHAPITRE IV La contractualisation d’opérations complexes 817. L’article 104 de la loi pour la République numérique950 a autorisé le Gouvernement à prendre par voie d’ordonnances les mesures législatives nécessaires à la conclusion (avec signature électronique éventuellement), à la remise, à la fourniture, à la mise à disposition ou à la communication des informations ou des documents relatifs à un contrat, et ce par voie électronique, sur un support durable et accessible par le client. Il conviendra de déterminer en quoi ces ordonnances à venir peuvent modifier un certain nombre d’usages, de comportements et autres règles dans le domaine de la banque et de l’assurance. En effet, les technologies de l’information ont envahi les agences bancaires, les courtiers d’assurance ou les commerciaux d’assurance. Désormais, les conseillers ou les courtiers présentent aux clients ou prospects des tablettes pour signer des contrats de plus en plus complexes. Cette mutation des pratiques vers une autonomisation du client et une recrudescence de la densité des échanges, a conduit à l’impérieuse nécessité d’un renforcement des mesures de sécurité techniques dans l’intérêt de l’ensemble des protagonistes (v. partie I, chapitre IV). Sans avoir pour objectif d’épuiser le sujet de la contractualisation sous forme électronique de tous les différents produits bancaires et d’assurance, trois opérations typiques méritent une attention particulière du fait de leur complexité et de leur représentativité : l’ouverture de comptes bancaires (section I), le contrat de crédit à la consommation (section II) et le contrat d’assurance (section III)
SECTION I OUVERTURE D’UN COMPTE DE DÉPÔT 818. Les conventions de compte de dépôt sont réglementées aux articles L. 312-1 et suivants du Code monétaire et financier. La digitalisation des conventions de compte de dépôt en agence est envisageable sous réserve du respect des exigences posées par les textes législatifs et réglementaires décrites infra.
950. Préc.
350 | B anque
et
a ssurance
digitales
§ 1 – Obligation d’information précontractuelle et contractuelle
819. Préalablement à la conclusion d’une convention de compte de dépôt, l’établissement bancaire doit fournir des informations relatives aux conditions générales et tarifaires applicables aux opérations relatives à la gestion du compte (CMF, art. L. 312-1-1 I, al. 1), et notamment concernant les conditions d’utilisation du compte, le prix des différents services auxquels il donne accès et les engagements réciproques de l’établissement bancaire et du client (CMF, art. R. 312-1). Ainsi l’article L. 312-1-1 I du Code monétaire et financier dispose : « I. – Les établissements de crédit sont tenus d’informer leur clientèle et le public sur les conditions générales et tarifaires applicables aux opérations relatives à la gestion d’un compte de dépôt, selon des modalités fixées par un arrêté du ministre chargé de l’Économie. La gestion d’un compte de dépôt des personnes physiques n’agissant pas pour des besoins professionnels est réglée par une convention écrite passée entre le client et son établissement de crédit ou les services financiers de La Poste. (...) Les principales stipulations que la convention de compte de dépôt doit comporter, notamment les conditions générales et tarifaires d’ouverture, de fonctionnement et de clôture, sont précisées par un arrêté du ministre chargé de l’Économie. Avant que le client ne soit lié par cette convention, l’établissement de crédit l’informe desdites conditions sur support papier ou sur un autre support durable. L’établissement de crédit peut s’acquitter de cette obligation en fournissant au client une copie du projet de convention de compte de dépôt (...) ». § 2 – Remise de l’offre de contrat
820. Le client est informé avant la conclusion de la convention de compte de dépôt des conditions générales et tarifaires d’ouverture, de fonctionnement et de clôture sur « support papier ou sur un autre support durable ». L’établissement bancaire pourra s’acquitter de cette obligation en fournissant au client une copie du projet de convention de compte de dépôt (art. L. 312-1-1 I, al. 6) sur un support durable (v. partie I, chapitre I, section III). § 3 – Acceptation du contrat / signature du client
821. Conformément à l’article L. 312-1-1 I, alinéa 8, du Code monétaire et financier, « la gestion d’un compte de dépôt des personnes physiques n’agissant pas pour des besoins professionnels est réglée par une convention écrite passée entre le client et son établissement de crédit ou les services financiers de La Poste ». Eu égard à cette exigence, les articles 1366 et 1367 du Code civil relatifs à l’écrit et la signature électroniques trouvent à s’appliquer.
la
contractualisation d ’ opérations complexes
| 351
Il est également envisageable que l’article 1174 du Code civil relatif à la validité d’un acte sous forme électronique soit applicable. La constatation par écrit de l’ouverture d’un compte de dépôt pourrait ne pas être considérée comme une simple règle probatoire mais comme une règle de forme considérant le fait qu’elle est destinée à éclairer le client. En outre, elle est réputée acceptée à compter de la signature de la convention par le ou les titulaires du compte (CMF, art. L. 312-1-1 I. al. 8). Enfin, le moment de signature doit être horodaté de manière fiable car des effets juridiques sont liés à ce moment. § 4 – Refus de souscription du contrat
822. L’article R. 312-3 du Code monétaire et financier traite du cas où l’établissement bancaire refusera une demande écrite d’ouverture de compte. « (…) ce refus doit être formulé par écrit. L’avis de refus doit être remis à l’intéressé ou lui être adressé par lettre recommandée avec demande d’avis de réception ». En conséquence de quoi, l’écrit formulant le refus sera établi par écrit papier ou électronique avec une signature électronique et remis ou transmis au prospect par lettre recommandée avec demande d’avis de réception (ou par une lettre recommandée électronique). § 5 – L’exécution du contrat
823. L’exécution du contrat peut donner lieu à la mise en œuvre d’échanges via une messagerie sécurisée (sous réserve de la mise en place d’une convention de preuve reconnaissant la valeur juridique de pareils échanges et d’une parfaite information concernant la mise à disposition de documents engageant juridiquement). Ce type de messagerie sécurisée figure souvent au sein de l’espace de banque en ligne (ou d’assurance) du client. Mais cette messagerie peut également être prévue dans la convention de compte. Le client a le droit, pendant toute la relation contractuelle et s’il en fait la demande à l’établissement de crédit, de recevoir les conditions contractuelles sur un support papier ou sur un autre support durable (CMF, art. L. 312-1-1-IV). Par ailleurs, en cas de fourniture de nouvelles prestations de services de paiement non prévues dans le cadre de la convention de compte de dépôt, l’établissement bancaire sera tenu de fournir les informations relatives à ces nouvelles prestations. L’acte consistera, selon les dispositions de l’article L. 312-1-1 I, alinéa 9, du Code monétaire et financier : – soit en un contrat-cadre de services de paiement qui comportera les « informations et les conditions sur le prestataire de services de paiement, sur l’utilisation d’un service de paiement, sur les frais, les taux d’intérêt et les taux de change, sur la communication entre l’utilisateur
352 | B anque
et
a ssurance
digitales
et le prestataire de services de paiement, sur les mesures de protection et les mesures correctives, sur la modification et la résiliation du contratcadre et sur les recours » (CMF, art. L. 314-12). Le client est informé avant la conclusion du contrat par écrit ou sur un support durable par la remise de la copie du projet de contrat (CMF, art. L. 314-13). – soit en une modification de la convention de compte de dépôt : le projet pourra être communiqué « sur support papier ou sur un autre support durable au plus tard deux mois avant la date d’application envisagée ». Le client doit être informé du fait que la modification sera réputée acceptée en cas de silence de sa part à la date d’entrée en vigueur proposée ainsi que de sa possibilité de résilier la convention de compte de dépôt en cas de refus de la modification (CMF, art. L. 312-1-1-II). Le fait de prévoir que des échanges pourraient être établis via une messagerie sécurisée (prévue sur l’espace sécurisé du compte client) pour l’exécution du contrat (avenant, modification de taux, incident, réclamation…) constituerait un poste éventuel d’économie. § 6 – Sanctions
824. L’article L. 351-1 du Code monétaire et financier prévoit une amende fiscale en cas de non-respect de certaines de ces obligations : « Est puni d’une amende fiscale de 75 euros le fait de méconnaître l’une des obligations mentionnées aux deuxième, troisième, quatrième et septième alinéas du I de l’article L. 312-1-1, à l’article L. 314-12 et au II de l’article L. 314-13. Cette amende est prononcée et recouvrée suivant les règles applicables à la taxe sur la valeur ajoutée. Le contentieux est suivi par l’administration qui a constaté l’infraction. Est puni de la peine d’amende prévue pour les contraventions de la cinquième classe le fait de méconnaître l’une des obligations mentionnées au premier alinéa du I, au II de l’article L. 312-1-1 et au VII de l’article L. 314-13 ou l’une des interdictions édictées au I de l’article L. 312-1-2 ». D’autres produits ou services sont souscrits désormais par voie électronique. Chacun dispose d’un régime spécifique qui doit être étudié à l’aune des pratiques de digitalisation, mais aussi des pratiques de chaque autorité en charge de leur régulation (ACPR, CNIL, ARCEP, DGCCRF). À côté d’un droit dur représenté par les lois et textes réglementaires, une multiplicité de « soft law » (droit mou)951, à savoir les doctrines des autorités en charge de la régulation, se développe parfois de façon contradictoire. 951. V. E. Jouffin, « Le droit mou est-il en train de durcir ? Brèves réflexions au sujet de la soft law bancaire et de sa disparition », in Mélanges AEDBF-France VI (ss dir. A. Gourio et J.-J. Daigre), RB Édition, 2013, p. 265.
la
contractualisation d ’ opérations complexes
| 353
SECTION II LA CONCLUSION D’UN CONTRAT DE CRÉDIT À LA CONSOMMATION 825. C’est autour d’un produit emblématique de l’activité bancaire, le contrat de crédit à la consommation que les premières expériences de contractualisation en ligne ont été menées (ex. : Sofinco, Finaref…). Bien que les obstacles au recours à ce type de contrat se soient multipliés au rythme des lois protectrices des intérêts des consommateurs952 et que la situation financière soit particulièrement préoccupante, le recours au crédit reste un élément décisif de la réalisation des projets immobiliers et de consommation. 46,5 % des ménages détenaient un crédit à la consommation en 2015 contre 52,6 % en 2008953, compte tenu d’un environnement macroéconomique guère propice à la réalisation des projets de consommation durable (électroménager, automobile et motocycle, travaux d’amélioration du logement). Le succès de la digitalisation du contrat de crédit à la consommation se manifeste également avec l’émergence de jurisprudences venant préciser les attentes des juges en matière d’écrits sous forme électronique. 826. À ce titre, dans un arrêt en date du 14 février 2013, la Cour d’appel de Nancy954 a jugé qu’une action en paiement intentée par Carrefour Banque n’était pas forclose sur la base d’un avenant signé électroniquement par un de ses clients. Dans les faits, le signataire a utilisé un certificat à usage unique pour souscrire en ligne l’avenant du crédit renouvelable (le contrat initial et deux avenants avaient été souscrits de manière traditionnelle sur support papier). Le client n’ayant pas remboursé les échéances dues, Carrefour Banque avait présenté devant le tribunal d’instance955, l’avenant imprimé sur support papier (censé représenter l’avenant électronique). L’impression de cet avenant originellement électronique était à elle seule insuffisante pour s’assurer de l’engagement de l’emprunteur puisqu’aucun élément de la prétendue signature électronique ne figurait sur cette impression. Il n’y avait donc aucune garantie d’authenticité, ni de justification de la sécurisation employée. En l’espèce, au regard de l’administration de la 952. P. Bouteiller, « La réforme du crédit à la consommation. Premières observations et difficultés quant à la mise en œuvre des dispositions de la loi n° 2010-737 du 1er juillet 2010 », Rev. Lamy dr. aff. 2011, n° 62, act. 3548, p. 52 ; v. Legrand, « Le volet crédit de la loi “Consommation” » : Contrats, conc., consom. 2014, dossier 7. 953. 28e rapport de l’Observatoire des crédits au ménage, disponible à l’adresse : http://www.fbf. fr/fr/files/AAWJAW/Rapport-annuel-observatoire-credits-menages-1ere-partie-2016.pdf. 954. CA Nancy, ch. civ. 2, 14 févr. 2013, n° 12/01383, Sté Carrefour Banque c/ X. : Juris-Data n° 2013004062 ; JCP éd. G 2013, 281, note I. Renard ; v. également É. A. Caprioli, « Première décision sur la preuve et la signature électronique d’un contrat de crédit à la consommation », JCP éd. G, n° 18, 29 avril 2013, comm. 497 ; v. égal. É. A. Caprioli, « Première décision sur la preuve et la signature électroniques d’un contrat de crédit à la consommation » ; Com. com. électr. 2013, étude 11. 955. TI Épinal, 12 déc. 2011, n° 11/000080 : Juris-Data n° 2011-035112 ; Com. com. électr. 2013, comm. 47, obs. É. A. Caprioli.
354 | B anque
et
a ssurance
digitales
preuve, la décision prononçant la forclusion, en raison de l’absence de validité de l’avenant signé par voie électronique, était pleinement justifiée. Ce raisonnement n’est pas repris par la cour d’appel qui, disposant du fichier de preuve et d’une attestation du prestataire de services de certification, a considéré que la mention du numéro de l’avenant sur le fichier de preuve permettait de vérifier que c’est bien cet avenant qui a été signé électroniquement par le client en question. La preuve de la signature électronique de l’avenant est donc rapportée. Ainsi, l’établissement du lien existant entre le numéro de l’avenant figurant dans le fichier de preuve et l’avenant (certainement produit sous la forme d’une impression papier comme en première instance) constituait un élément important de la vraisemblance de la preuve956. Il est donc important de faire le lien entre le fichier de preuve contenant le document comportant la signature de l’emprunteur et le document imprimé – sans signature – représentant les dispositions contractuelles de l’avenant en question. Par conséquent, le fait de disposer de ce lien de gestion documentaire et de l’attestation du prestataire qui a fourni la signature et le certificat permettait d’assurer la recevabilité de la preuve de l’avenant électronique. La fiabilité de la signature électronique n’était pas remise en cause dans cette décision étant donné que le client, n’ayant pas été représenté à l’audience, ne l’a pas contestée. De sorte que les questions relatives à la présomption de fiabilité de la signature et de la charge de la preuve ne se posaient pas dans la présente affaire. 827. Une autre affaire reprenant des faits similaires et arrivant à la même conclusion a été traitée par la Cour d’appel de Douai le 2 mai 2013957. Conformément aux articles L. 312-1 et suivants du Code de la consommation, le recours au crédit à la consommation recouvre toutes les opérations de prêt consenties par des personnes physiques ou morales à titre onéreux ou gratuit au profit d’un consommateur. L’article préliminaire du Code de la consommation définit le consommateur comme « toute personne physique qui agit à des fins qui n’entrent pas dans le cadre de son activité commerciale, industrielle, artisanale, libérale ou agricole »958. 956. D. Ammar, « Preuve et vraisemblance, contribution à l’étude de la preuve technologique », RTD civ. 1993, p. 499. 957. CA Douai, 8e ch., 1re sect., 2 mai 2013, n° 12/05299. La cour d’appel mentionne : « Que la société Monabanq produit aux débats un avenant intitulé “avenant électronique à votre contrat Complicio” en date du 10 mars 2009 portant ce montant à la somme de 6 500 euros ; Que figure sur ce document la signature BOPRCC-MONABANQAUG16468889933-2009.3.10-13.25.26-159 ; Que Madame Marie-Françoise D., qui n’a pas constitué avocat, n’a pas entendu dénier cette signature électronique ; Qu’il s’ensuit que la preuve se trouve ainsi rapportée de ce que Madame Marie-Françoise D. a signé le 10 mars 2009 sous forme électronique un avenant portant le montant du crédit disponible à la somme de 6 500 euros ». Com. com. électr., févr. 2014, comm. 22, note É. A. Caprioli. 958. G. Raymond, « Définition légale du consommateur par l’article 3 de la loi n° 2014-344 du 17 mars 2014 » : Contrats, conc., consom. 2014, dossier 3. G. Paisant, « Vers une définition
la
contractualisation d ’ opérations complexes
| 355
828. Partant de ces définitions qui prêtent encore le flanc à la critique, il sera ici question d’étudier comment et à quelles conditions, ces opérations bancaires peuvent être conclues par voie électronique, à l’exclusion des grands principes de la digitalisation étudiés supra. D’un point de vue pratique, plusieurs formules sont proposées dans le cadre de l’offre de crédit à la consommation : soit en ligne puis formalisée en agence ou par un envoi de pièces imprimées et signées manuellement959, soit uniquement en ligne, ou encore sur le point de vente (commerce ou agence). Préciser les conditions de digitalisation du contrat de crédit à la consommation revient à déterminer les différentes étapes de la cinématique en fonction des différents textes applicables (Code civil, Code de la consommation, Code monétaire et financier, Loi « Informatique, Fichiers et Libertés »…). § 1 – L’information précontractuelle du consommateur
829. Après la phase d’authentification proprement dite (v. partie II, chapitre I, section I), de manière traditionnelle, l’établissement de crédit est soumis à une obligation précontractuelle d’information sans cesse renforcée par les textes législatifs et réglementaires. En effet, ce dernier doit mettre en garde son client potentiel quant aux risques relatifs à ce type d’instrument, et il s’agit sans nul doute d’un des moyens d’engager la responsabilité de l’établissement de crédit les plus utilisés, comme en témoigne une jurisprudence foisonnante960. En quoi consiste-t-elle961 ? Conformément à l’article L. 312-12 du Code de la consommation, elle prend la forme d’une fiche contenant les informations nécessaires à la comparaison de différentes offres et permettant à l’emprunteur, compte tenu de ses préférences, d’appréhender clairement l’étendue de son engagement, et ce par écrit ou sur un autre support durable962. En outre, elle doit comporter vingt et une mentions obligatoires telles que prévues à l’article R. 312-2 du Code de la consommation ainsi que la mention en caractères lisibles, figurant au dernier alinéa de l’article L. 312-5 du Code de la consommation : « Un crédit vous engage et doit être remboursé. Vérifiez vos capacités de remboursement avant de vous engager ».
959. 960. 961.
962.
générale du consommateur dans le Code de la consommation » : JCP éd. G, 2013, I, 589 ; G. Raymond, « Définir le consommateur » : Contrats, conc., consom. 2013, repère 9. V. partie I, chapitre I. La loi n° 2017-203 du 21 février 2017 n’a pas changé cette définition figurant dans l’article préliminaire Cette dernière hypothèse ne sera pas étudiée, celle-ci renvoyant au cadre classique de la vente à distance. V. en ce sens, D. Legeais, « Responsabilité du banquier, service du crédit », Fasc. 151, J.-Cl. Banque – Crédit – Bourse, 17 sept. 2014, § 5 et s. L’objectif de ces développements n’est pas d’effectuer une liste exhaustive des mentions obligatoires, ni de certaines situations spécifiques (comme, par exemple, le cas où le prêteur offre à l’emprunteur ou exige de lui la souscription d’une assurance tel que visé à l’article L. 312-12, dernier alinéa) mais de déterminer comment la formalité peut être remplie par voie électronique. Pour une définition et une analyse de la notion de support durable, v. Cabinet Caprioli & Associés (ouvrage collectif), La banque en Ligne et le droit, RB Édition, 2014, p. 85 et s.
356 | B anque
et
a ssurance
digitales
Une autre fiche prévue à l’article L. 312-17 du Code de la consommation doit également être intégrée dans la cinématique « lorsque les opérations de crédit sont conclues sur le lieu de vente ou au moyen d’une technique de communication à distance ». Cette fiche, établie elle aussi par écrit ou sur un autre support durable, comporte les éléments relatifs aux ressources et charges de l’emprunteur ainsi que, le cas échéant, aux prêts en cours contractés par ce dernier. Elle doit être « signée ou son contenu confirmé par voie électronique par l’emprunteur et contribue à l’évaluation de sa solvabilité par le prêteur. Les informations figurant dans la fiche doivent faire l’objet d’une déclaration certifiant sur l’honneur leur exactitude. Cette fiche est conservée par le prêteur pendant toute la durée du prêt. Si le montant du crédit accordé est supérieur à un seuil défini par décret963, la fiche doit être corroborée par des pièces justificatives dont la liste est définie par décret964 ». 830. On sait l’importance de la remise de ces fiches965, leur non-communication étant sanctionnée de la déchéance du droit aux intérêts966 (C. consom., art. L. 341-1) au même titre que la non-remise du contrat. C’est pourquoi les établissements de crédit doivent toujours être en mesure de démontrer que cette remise est bien effective, notamment dans le cadre d’une souscription par voie électronique. Une décision récente de la CJUE967 rappelle, en effet, que la preuve de l’exécution des obligations d’information et de vérification de la solvabilité incombe au prêteur lequel est relativement libre de la façon dont il procède à cette vérification mais aussi de la façon dont il communique les informations obligatoires à l’emprunteur. Ainsi, les dispositions de la directive n° 2008/48 dont il est fait état dans cette décision « s’opposent à ce que, en raison d’une clause type, le juge doive considérer que le consommateur a reconnu la pleine et correcte exécution des obligations précontractuelles incombant au prêteur, cette clause entraînant ainsi un renversement de la charge de la preuve de l’exécution desdites obligations (…) ». Une clause type figurant dans le contrat n’est donc pas suffisante, l’emprunteur devant attester de la remise qui lui a été faite de la fiche d’informations européennes normalisées968. Un acte positif de ce dernier est donc à rapporter (case à cocher, signature électronique…).
963. 3 000 euros au sens de l’article D. 312-7 du Code de la consommation. 964. Conformément à l’article D. 312-8, il s’agit des pièces suivantes : 1° Tout justificatif du domicile de l’emprunteur ; et 2° Tout justificatif du revenu de l’emprunteur ; et 3° Tout justificatif de l’identité de l’emprunteur ; pièces devant être à jour au moment de l’établissement de la fiche. 965. H. Claret, « Les obligations d’information du prêteur professionnel après la réforme du crédit à la consommation », Contrats, conc., consom. 2011, étude 14. 966. V. à la suite de la jurisprudence récente de la CJUE rendue le 27 mars 2014, aff. C-565-12, G. Poissonnier, « Crédit à la consommation : la déchéance du droit aux intérêts doit être une sanction dissuasive », Contrats, conc., consom. 2014, étude 9. 967. CJUE, 4e ch. 18 déc. 2014, aff. C-449/13, CA Consumer Finance : Juris-Data n° 2014-033776. V. également S. Cazet, « Crédit à la consommation », Europe 2015, comm. 84. 968. V. § 28 de la décision.
la
contractualisation d ’ opérations complexes
| 357
Le formalisme étant essentiel dans cette matière, à côté de ces fiches d’information, l’établissement de crédit doit prévoir un exemplaire de l’offre de contrat969 qui pourra être reçue par l’emprunteur sans frais et à sa demande970. § 2 – Offre de crédit
831. Bien que l’instauration de fiches d’informations lors de la période précontractuelle ait vidé d’une partie de sa substance l’offre de crédit, elle reste un élément de forme et de fond dont le non-respect est sanctionné comme l’énonce l’article L. 341-4 du Code de la consommation. Mais à la différence de ce qui existe pour le droit commun des contrats, le Code de la consommation impose des règles particulières pour l’offre de crédit à la consommation. Elle s’analyse sur le fond comme une promesse unilatérale de prêt, établie sous la réserve de l’agrément du prêteur. Mais c’est d’un point de vue formel que la digitalisation a un impact sur cette exigence. L’article L. 312-18 du Code de la consommation énonce en effet qu’elle doit être établie par écrit ou sur un autre support durable (v. partie I, chapitre I, section III) et remise ou adressée en autant d’exemplaires que de parties et, le cas échéant, à chacune des cautions. Ce point est important puisqu’il conditionne le maintien du contenu971 de l’offre pendant une durée minimale de quinze jours à compter de ladite remise ou dudit envoi. Dès lors, il est important que soit conservée la trace horodatée de cet événement (remise ou envoi de l’offre) dans le système d’information de l’établissement de crédit ou, de manière plus opportune, dans le fichier de preuve relatif au contrat finalisé, et ce pour faire partir les effets de l’offre. À défaut, le délai de quinze jours pendant lequel seront maintenues les conditions de l’offre pourrait être étendu au-delà de cette période, ce qui est un élément d’incertitude économique pour l’établissement de crédit. L’acceptation de l’offre, dès lors que l’emprunteur a été agréé, entraîne la formation du contrat, contrat auquel le Code de la consommation consacre désormais les articles L. 312-18 à L. 312-27.
969. L’information dispensée au consommateur par le biais de l’offre préalable de crédit était apparue comme insuffisante pour offrir une protection, de par son caractère trop standardisé ; E. Bazin, « Le devoir du prêteur d’éclairer l’emprunteur consommateur sur les risques encourus lors de la conclusion d’un crédit » : Rev. Lamy dr. aff. 2007, 19, n° 5, n° 7 et n° 12. 970. C. consom., art. L. 312-13. 971. L’offre devrait contenir toutes les mentions imposées pour le contrat par l’article R. 312-10 du Code de la consommation. Elle comporte notamment un formulaire détachable permettant l’exercice par le consommateur de son droit de rétractation.
358 | B anque
et
a ssurance
digitales
§ 3 – Conclusion du contrat de crédit A.
Les règles de droit commun applicables
832. Rappelons avant tout que le contrat de crédit à la consommation est un contrat de prêt de somme d’argent, relevant en partie des règles prévues par les articles 1905 et suivants du Code civil, n’ayant plus la nature de contrat réel dès lors qu’il est consenti par un professionnel du crédit972. Toutefois, les règles du droit commun de la formation des contrats s’appliquent également au contrat de crédit à la consommation973. B.
Les règles dérogatoires du Code de la consommation
833. L’originalité du crédit à la consommation tient à l’existence d’un corps de règles dérogatoires au droit commun figurant dans le Code de la consommation qui a pour but d’amener le consommateur à donner un consentement véritablement éclairé : l’article L. 312-28 du Code de la consommation précise que le contrat de crédit est établi par écrit, qu’il doit être distinct de tout support ou document publicitaire ainsi que de la fiche de renseignements relative aux caractéristiques du crédit. L’article L. 312-28 n’exige pas que ce contrat soit différent de l’offre. Il doit être rédigé dans une police de caractères dont la taille ne peut pas être inférieure au corps 8974 avec un encadré, en début de contrat, destiné à informer l’emprunteur sur les caractéristiques essentielles du contrat dont le contenu est défini à l’article R. 312-10. Il est donc essentiel de prévoir dans la cinématique la forme exacte du contrat de crédit à la consommation (par exemple format PDFf sans champ caché). L’emprunteur devra signer ce qu’il voit à l’écran et rien de plus ; c’est la règle technique du « What You See Is What You Sign ». 834. De plus, la formation du contrat est subordonnée à une double condition975 : ledit emprunteur ne doit pas avoir usé de sa faculté de rétractation et le prêteur doit fait connaître à l’emprunteur sa décision d’accorder le crédit. L’horodatage 972. Cass. civ. 1re, 28 mars 2000, Bull. civ. I, 105 ; D. 2000, 482, note S. Piedelièvre. 973. G. Raymond, Fasc. 719 : « Crédit à la consommation – Régime de la loi n° 2010-737 du 1er juillet 2010 », J.-Cl. Banque – Crédit – Bourse, 18 févr. 2014, § 10 et S. 974. Attention. Les juges ont souvent décidé que cette taille de police était importante y compris sur smartphone. Une décision de la Cour d’appel de Paris du 15 janvier 2015 (n° 14/03 029, SA LASER COFINOGA c/ Monsieur Bernard AIME, inédit) énonce que l’offre de crédit n’est pas suffisamment lisible dans la mesure où elle n’a pas été rédigée en caractères dont la hauteur soit au moins égale à celle du corps 8 contrairement aux prescriptions de l’article R. 311-6 du Code de la consommation dans sa rédaction applicable au moment de la conclusion du contrat. Il est constant que le corps 8 correspond à 3 mm en point Didot et en application de ce texte, il convient de mesurer le corps d’une lettre de la tête des lettres montantes à la queue des lettres descendantes. La cour, après avoir mesuré la hauteur en millimètres d’un paragraphe du haut des lettres montantes de la première ligne au bas des lettres descendantes de la dernière ligne, a divisé la hauteur en millimètres de ce paragraphe soit 31 mm par le nombre de lignes qu’il contient soit 11 et a ainsi obtenu un quotient étant égal à 2,81 millimètres équivalent à celui constaté par le premier juge. 975. C. consom., art. L. 312-24.
la
contractualisation d ’ opérations complexes
| 359
du moment de la signature est donc à prévoir, et ce afin de faire courir les délais tant de rétractation pour l’emprunteur que d’acceptation du crédit pour l’établissement de crédit. À compter de ce moment, les actions positives (envoi d’un formulaire de rétractation ou acceptation du crédit) devront être tracées et pouvoir préconstituer une preuve. Notons ici que l’emprunteur dispose, en application de l’article L. 312-19 du Code de la consommation, d’un délai de rétractation de « 14 jours calendaires révolus à compter du jour de l’acceptation de l’offre de contrat de crédit », c’est-à-dire de la signature du contrat présenté à l’écran (v. partie I, chapitre I). § 4 – Remise du contrat de crédit
835. Le contrat de crédit à la consommation doit être remis à l’emprunteur une fois la signature effectuée. À ce titre, la pratique de l’envoi d’un e-mail contenant le contrat à une adresse de courrier électronique déclarée par l’emprunteur ne permet pas de s’assurer de l’effectivité de la remise du contrat (cf. partie II, chapitre I, section I § 4). § 5 – Archivage / accessibilité du contrat de crédit
836. Une fois le contrat de crédit à la consommation établi, son archivage doit être assuré (cf. partie II, chapitre I, section II). Il est important ici de disposer d’un espace client adapté afin d’y remettre le contrat signé à la disposition du client.
SECTION III LA SOUSCRIPTION D’UN CONTRAT D’ASSURANCE 837. Suite au déploiement progressif des contrats bancaires, les sociétés d’assurance ont suivi le mouvement de digitalisation. La Cour de cassation a ainsi jugé de la souscription sous forme électronique d’une assurance complémentaire976. En l’espèce, un particulier (Monsieur X) avait adhéré en ligne à une assurance complémentaire de santé et la société Alptis avait obtenu sa condamnation à payer un certain montant par jugement du juge de proximité de Montpellier du 11 février 2014. M. X s’est pourvu en cassation contre ce jugement au motif qu’il contestait avoir signé la demande d’adhésion, donc qu’il déniait sa signature. La motivation retenue par la Cour est conforme aux textes visés dans le moyen du pourvoi (article 1316-1 et 1316-4 du Code civil ; article 287 du Code de procédure civile) : « Mais attendu que le jugement retient que la demande d’adhésion sous forme électronique a été établie et conservée dans des conditions de nature à 976. Cass. civ., 6 avr. 2016, n° 15-10.732, inédit, JCP éd. G. 2016, 783, note É. A. Caprioli.
360 | B anque
et
a ssurance
digitales
garantir son intégrité, que la signature a été identifiée par un procédé fiable garantissant le lien de la signature électronique avec l’acte auquel elle s’attache, et que la demande d’adhésion produite à l’audience porte mention de la délivrance de ce document par la plate-forme de contractualisation en ligne Contraleo, permettant une identification et une authentification précise des signataires en date du 25 mai 2011 ; qu’ayant ainsi effectué la recherche prétendument omise, la juridiction de proximité a légalement justifié sa décision ». Ainsi, la valeur juridique de la signature électronique est désormais reconnue au plus haut niveau juridictionnel (même si la décision n’est pas publiée au Bulletin), sous réserve que les cinématiques mises en place par les sociétés d’assurance respectent bien les exigences posées dans le Code des assurances. Chaque étape du processus de contractualisation a son importance et répond à des règles précises. § 1 – Notices précontractuelles
838. Avant la conclusion du contrat, intervient une phase d’information du souscripteur éventuel auquel l’assureur doit fournir une fiche d’information sur le prix et les garanties et remettre un exemplaire du projet de contrat et de ses pièces annexes ou une note d’information sur le contrat. Ainsi, l’article L. 112-2, alinéas 1 et 2, du Code des assurances dispose : « L’assureur doit obligatoirement fournir une fiche d’information sur le prix et les garanties avant la conclusion du contrat. Avant la conclusion du contrat, l’assureur remet à l’assuré un exemplaire du projet de contrat et de ses pièces annexes ou une notice d’information sur le contrat qui décrit précisément les garanties assorties des exclusions, ainsi que les obligations de l’assuré. Les documents remis au preneur d’assurance précisent la loi qui est applicable au contrat si celle-ci n’est pas la loi française, les modalités d’examen des réclamations qu’il peut formuler au sujet du contrat et de recours à un processus de médiation dans les conditions prévues au titre V du livre I du Code de la consommation, sans préjudice pour lui d’intenter une action en justice, ainsi que l’adresse du siège social et, le cas échéant, de la succursale qui se propose d’accorder la couverture. Avant la conclusion d’un contrat comportant des garanties de responsabilité, l’assureur remet à l’assuré une fiche d’information, dont le modèle est fixé par arrêté, décrivant le fonctionnement dans le temps des garanties déclenchées par le fait dommageable, le fonctionnement dans le temps des garanties déclenchées par la réclamation, ainsi que les conséquences de la succession de contrats ayant des modes de déclenchement différents. Un décret en Conseil d’État définit les moyens de constater la remise effective des documents mentionnés à l’alinéa précédent. Il détermine, en outre, les dérogations justifiées par la nature du contrat ou les circonstances de sa souscription.
la
contractualisation d ’ opérations complexes
| 361
La proposition d’assurance n’engage ni l’assuré, ni l’assureur ; seule la police ou la note de couverture constate leur engagement réciproque. Est considérée comme acceptée la proposition, faite par lettre recommandée, de prolonger ou de modifier un contrat ou de remettre en vigueur un contrat suspendu, si l’assureur ne refuse pas cette proposition dans les dix jours après qu’elle lui est parvenue. Les dispositions de l’alinéa précédent ne sont pas applicables aux assurances sur la vie (…) ». Ces dispositions ne sont pas applicables aux « grands risques » définis par l’article L. 111-6 du Code des assurances. 839. La fiche d’information n’engage ni l’assuré, ni l’assureur. Elle n’est pas juridiquement une offre. C’est pourquoi l’inobservation de la remise n’entraîne aucune sanction autre que celles du droit commun : nullité du contrat si l’assuré établit que le défaut d’information a vicié son consentement ou dommagesintérêts s’il prouve que ce défaut lui a occasionné un préjudice. Avant la conclusion du contrat, intervient (article L. 112-2° du Code des assurances) la phase de transmission du projet de contrat accompagné des pièces annexes ou d’une notice d’information (documents adaptés aux risques dont le souscripteur sollicite la garantie). 840. De plus, spécifiquement pour les contrats d’assurance vie, l’article L. 132-5-2 du Code des assurances prévoit la remise, contre récépissé, par l’assureur d’une note d’information « sur les conditions d’exercice de la faculté de renonciation et sur les dispositions essentielles du contrat ». Notons également que l’ACPR a complété la recommandation ACPR n° 2013-R-01 portant sur le recueil des informations relatives à la connaissance du client dans le cadre du devoir de conseil en assurance vie le 14 novembre 2016977 par une annexe concernant le recueil via des interfaces numériques. Elle apporte des éléments de déclinaison opérationnelle des bonnes pratiques lorsque la commercialisation des contrats d’assurance est réalisée au moyen d’une interface numérique. Cette annexe porte sur les modalités du recueil et la traçabilité de l’information (partie IV.1), sur l’exploitation des informations (point 4.3) et sur les moyens et procédures mis en place (point 4.4). En outre, la proposition d’assurance ou le projet de contrat vaut note d’information, pour les contrats d’assurance comportant une valeur de rachat ou de transfert, lorsqu’un encadré, inséré en début de proposition d’assurance ou de projet de contrat, indique en caractères très apparents la nature du contrat. 977. Disponible à l’adresse : https://acpr.banque-france.fr/fileadmin/user_upload/acp/publications/ registre-officiel/20161116-Annexe_Reco_2013_R_01.pdf.
362 | B anque
et
a ssurance
digitales
841. Le défaut de remise des documents et informations prévus au présent article entraîne de plein droit la prorogation du délai de renonciation prévu à l’article L. 132-5-1 du Code de la consommation jusqu’au trentième jour calendaire révolu suivant la date de remise effective de ces documents, dans la limite de huit ans à compter de la date où le souscripteur est informé que le contrat est conclu978. L’ordonnance dont il est fait état à l’article 104 de la loi n° 2016-1321 du 7 octobre 2016979pour une République numérique devrait en traiter. 978. V. notamment Cass. civ. 2e, 25 févr. 2010, n° 09-11 352, Bull. civ. II, 2010, n° 43 : « Alors que d’une part, il résulte de l’article L. 132-5-1 du Code des assurances, dans sa rédaction issue de la loi du 4 janvier 1994, que l’assureur doit informer le souscripteur d’un contrat d’assurance vie de la faculté de renonciation qui lui est offerte, en lui précisant les modalités d’exercice de cette faculté et en lui fournissant un modèle de lettre de renonciation ; que, selon le texte, l’information relative à la renonciation doit être contenue dans une note d’information distincte des conditions générales, et la proposition d’assurance doit comprendre un modèle de lettre de renonciation ; que l’obligation d’information de l’assureur est ainsi remplie lorsque ce dernier a remis à l’assuré une proposition d’assurance à laquelle est matériellement attachée la note d’information visée par la loi, comportant les modalités d’exercice et le projet de lettre de renonciation ; qu’en l’espèce, la compagnie GAN VIE a remis à Monsieur X. une proposition d’assurance comportant un volet détachable correspondant à la note d’information requise par l’article L. 132-5-1 du Code des assurances, dans sa rédaction applicable en la cause ; que pour juger néanmoins que Monsieur X. n’aurait pas été informé de sa faculté de renonciation dans les formes requises par la loi, la cour d’appel a retenu que seule la proposition d’assurance avait été soumise à la signature de l’assuré et que l’assureur ne pouvait utilement se prévaloir de ce que la note d’information faisait partie intégrante de la proposition d’assurance, la loi imposant deux documents distincts comportant des informations différentes ; qu’en se prononçant ainsi, en l’état d’une proposition d’assurance comportant un volet détachable, qui fait corps avec elle, correspondant à la note d’information visée par la loi et reproduisant un modèle de lettre de renonciation, la cour d’appel a violé l’article L. 132-5-1 du Code des assurances, dans sa rédaction applicable en la cause ; ALORS QUE, D’AUTRE PART, ET EN TOUT ÉTAT DE CAUSE, nul ne peut se contredire au détriment d’autrui ; qu’il résulte de l’article L. 132-5-1 du Code des assurances, dans sa rédaction issue de la loi du 4 janvier 1994, que l’assuré dispose d’une faculté de renonciation au contrat d’assurance vie qu’il a souscrit, qu’il peut exercer dans les 30 jours à compter du premier versement ; qu’afin de garantir l’effectivité de cette faculté, le texte impose à l’assureur d’informer l’assuré sur la faculté de renonciation qui lui est offerte, en lui précisant les modalités d’exercice de cette faculté et en lui fournissant un modèle de lettre de renonciation, à la fois dans la proposition d’assurance et dans une note d’information distincte des conditions générales ; qu’il en résulte que l’assuré ne peut, sauf à se contredire et commettre ainsi un abus de droit, exercer cette faculté de renonciation, fût-elle discrétionnaire, après le délai initial de 30 jours, dès lors qu’il a été complètement informé de cette faculté par l’assureur à l’occasion de la transmission d’une note d’information matériellement rattachée à la proposition d’assurance et de la remise des conditions générales ; qu’en l’espèce, la cour d’appel a retenu que la société GAN ASSURANCES VIE avait rempli son obligation d’information précontractuelle vis-à-vis de l’assuré, en lui délivrant une note d’information, distincte des conditions générales, comportant les modalités de renonciation ainsi qu’un modèle de lettre de renonciation ; qu’elle ne pouvait dès lors admettre le bien-fondé de l’action en remboursement exercée par Monsieur X.. plusieurs années après la souscription du contrat, tandis qu’il avait été parfaitement informé par l’assureur de sa faculté de renonciation dès la souscription du contrat ; que l’exercice de cette faculté n’était pas cohérent avec sa parfaite connaissance des modalités de la renonciation qui n’a pas été mise en œuvre dans le délai de 30 jours à compter de la souscription ; qu’en considérant néanmoins que l’assuré avait valablement exercé sa faculté de renonciation, la cour d’appel a violé l’article L. 132-5-1 du Code des assurances ». 979. JO 8 oct. 2016.
la
contractualisation d ’ opérations complexes
| 363
Pour le cas des contrats d’assurance individuelle comportant des valeurs de rachat, d’un contrat de capitalisation, ou avant l’adhésion à un contrat mentionné à l’article L. 132-5-3 ou à l’article L. 441-1, l’article L. 132-27-1 du Code des assurances prévoit également avant la conclusion du contrat, « l’entreprise d’assurance ou de capitalisation précise les exigences et les besoins exprimés par le souscripteur ou l’adhérent ainsi que les raisons qui motivent le conseil fourni quant à un contrat déterminé (…) ». § 2 – Transmission de la proposition d’assurance émanant du souscripteur
842. L’entreprise d’assurance reçoit une « proposition d’assurance » remplie par le souscripteur éventuel et qui comporte un formulaire de déclaration du risque, le « proposant » devant répondre exactement aux questions posées par l’assureur sur les circonstances qui sont de nature à permettre à ce dernier d’apprécier les risques qu’il prend en charge (article L. 113-2-2° du Code des assurances). L’entreprise d’assurance demandera un délai pour l’examiner et se prononcer. Le contrat ne sera conclu que par son acceptation expresse. La proposition n’est nullement en elle-même le contrat qui suivra980. Elle fait partie encore de la phase précontractuelle981. § 3 – Établissement de la police d’assurance par la société d’assurance
843. Les mentions obligatoires (conformément à l’article L. 111-2 du Code des assurances) devant figurer dans tout contrat d’assurance sont fixées à l’article L. 112-4 du même code :
980. L’article L. 112-2, alinéa 4, du Code des assurances énonce : « La proposition d’assurance n’engage ni l’assuré, ni l’assureur ; seule la police ou la note de couverture constate leur engagement réciproque ». 981. Mais elle sera utile pour interpréter le contrat dont elle est le fruit : Cass. civ. 1re, 7 juill. 1993, n° 91-17.721, inédit : « Attendu qu’il est encore fait grief à l’arrêt d’avoir condamné l’assureur à garantie alors, selon le moyen, qu’il résulte tant des termes clairs et précis de la police d’assurance que des conclusions de la compagnie que le contrat signé par les parties couvrait seulement l’activité de garagiste de M. X.., et non son activité d’installateur de matériel servant à l’alimentation du bétail ; qu’en fondant sa décision sur la proposition d’assurance, qui n’engageait ni l’assuré, ni l’assureur, la cour d’appel a dénaturé les documents précités et violé les articles L. 112-2, alinéa 1, du Code des assurances, et 1134 du Code civil ; Mais attendu que les juges du second degré ont relevé que, selon la proposition d’assurance, les activités de M. X.. comprenaient celle de “réparation de matériel agricole” et d’“installation chez les souscripteurs” ; que le contrat établi à la suite de cette proposition et produit devant la Cour de cassation énonce, dans ses conditions générales, que l’assurance a été spécialement étudiée pour répondre aux besoins des professionnels de l’automobile… et de certains engins de chantier ou machines agricoles, et, dans ses conditions particulières, que l’assuré a, entre autres activités, celle de réparateur de machines agricoles ; que le rapprochement de ces clauses rendait leur interprétation nécessaire, d’où il suit que le grief de dénaturation n’est pas fondé ».
364 | B anque
et
a ssurance
digitales
« La police d’assurance est datée du jour où elle est établie. Elle indique : – les noms et domiciles des parties contractantes ; – la chose ou la personne assurée ; – la nature des risques garantis ; – le moment à partir duquel le risque est garanti et la durée de cette garantie ; – le montant de cette garantie ; – la prime ou la cotisation de l’assurance. La police indique en outre : – la loi applicable au contrat lorsque ce n’est pas la loi française ; – l’adresse du siège social de l’assureur et, le cas échéant, de la succursale qui accorde la couverture ; – le nom et l’adresse des autorités chargées du contrôle de l’entreprise d’assurance qui accorde la couverture ». Cette disposition est complétée par l’article R. 112-1 du Code des assurances. § 4 – Preuve de la remise
844. L’information incombe à l’entreprise d’assurance. Ce sera à elle de démontrer qu’elle a bien informé le souscripteur des conditions générales et spéciales d’assurance982. De manière générale, l’article L. 112-2, alinéa 3, du Code des assurances délègue au pouvoir réglementaire le soin de définir « les moyens de constater la remise effective des documents mentionnés ». C’est ainsi que la remise des informations précontractuelles est constatée par une mention signée et datée par le souscripteur apposée au bas de la police, par laquelle celui-ci reconnaît avoir reçu au préalable ces documents et précisant leur nature et la date de leur remise (article R. 112-3 du Code des assurances). Une signature électronique devrait permettre d’établir cette remise983. 982. Cass. civ. 1re, 28 mars 2008, n° 07-10807, inédit (pour une opération bancaire). 983. Ce point sera à étudier en fonction de l’ordonnance prévue à l’art. 104 de la Loi pour la République numérique : « I. – Dans les conditions prévues à l’article 38 de la Constitution, le Gouvernement est autorisé à prendre par ordonnance les mesures relevant du domaine de la loi permettant, par voie dématérialisée sur un support durable et accessible au client, de remettre, fournir, mettre à disposition ou communiquer des informations ou des documents relatifs à un contrat régi par le Code monétaire et financier, le Code des assurances, le Code de la mutualité, le titre III du livre IX du Code de la sécurité sociale ou le livre III du Code de la consommation, ainsi que de conclure ou de modifier ces contrats, le cas échéant via une
la
contractualisation d ’ opérations complexes
| 365
Sur le fondement de l’article L. 112-2 du Code des assurances, combiné aux articles L. 112-3 et L.112-4, la Cour de cassation a indiqué : « qu’il résulte de ces textes que lorsque l’assureur subordonne sa garantie à la réalisation d’une condition, il doit rapporter la preuve qu’il a précisément porté cette condition à la connaissance de l’assuré »984. (V. partie I, chapitre I) 845. En matière d’assurance-vie, l’article L. 132-5-2 du Code des assurances prévoit : « Avant la conclusion d’un contrat d’assurance sur la vie ou d’un contrat de capitalisation, par une personne physique, l’assureur remet à celle-ci, contre récépissé, une note d’information sur les conditions d’exercice de la faculté de renonciation et sur les dispositions essentielles du contrat ». § 5 – Signature du contrat d’assurance
846. Le contrat d’assurance985 est un contrat synallagmatique aléatoire, conclu à titre onéreux, à exécution successive puisque sa durée s’échelonne dans le temps. Il est aussi rangé parmi les contrats d’adhésion puisqu’il est rédigé par
signature électronique, ces supports dématérialisés se substituant aux documents écrits sur support papier, tout en garantissant au client une protection au moins équivalente. II. – L’ordonnance prévue au I du présent article est prise dans un délai d’un an à compter de la promulgation de la présente loi. Un projet de loi de ratification est déposé devant le Parlement dans un délai de cinq mois à compter de la promulgation de l’ordonnance ». 984. Cass. civ., 22 janv. 2009, n° 07-21530, inédit. 985. Rappelons qu’avant la délivrance du contrat ou de l’avenant, les parties peuvent s’engager l’une envers l’autre par la remise à l’assuré d’une « note de couverture », acte qui se distingue essentiellement du contrat ou de l’avenant par son caractère temporaire puisqu’elle est établie en attendant la régularisation de l’un des documents précités (Cass. civ. 1re, 14 janv. 1992, n° 90-13.352). La date d’expiration mentionnée sur la note de couverture marque la fin de la garantie si le contrat ou l’avenant qu’elle précède n’a pas été signé à cette date (Cass. civ. 1re, 3 nov. 1969 : Cass. 1re civ., 9 nov. 1999, n° 97-14.252). À défaut d’une date d’expiration et en l’absence de contrat d’assurance au moment du sinistre, il appartient à l’assureur de prouver que la garantie donnée par la note de couverture a pris fin (Cass. civ. 1re, 25 oct. 1994). La note de couverture, émanant de l’assureur ou de son représentant, n’est, en principe, signée que de lui. Son contenu n’est pas fixé par la loi. C’est le juge du fond qui décide si le document qui lui est soumis peut ou non être considéré comme une « note de couverture », cet intitulé n’ayant lui-même rien d’obligatoire (Cass. civ. 1re, 19 déc. 1989). Habituellement, il s’agit d’un document assez sommaire mentionnant la date d’effet de l’assurance, son objet et sa nature, le montant des garanties et la cotisation due par l’assuré. Mais ni l’omission de ce dernier élément, ni l’absence d’identification de l’assuré ou de signature de l’assureur ne rendent la note de couverture inopérante quand il peut y être suppléé (Cass. civ. 1re, 30 mars 1994). La mise en œuvre d’une note de couverture doit être faite en fonction des conditions générales de la police type de l’assureur même si la note n’y fait pas référence (Cass. civ. 1re, 7 mars 1989). Toutefois, le juge du fond dispose ici d’un large pouvoir d’appréciation et il peut aussi bien estimer que l’assuré ne saurait prétendre ignorer les stipulations du contrat lorsque la note de couverture y renvoie (Cass. 1re civ., 11 oct. 1954) que décider que l’assureur ne peut exciper des clauses restrictives de garantie dès lors qu’il ne prouve pas les avoir portées à la connaissance de l’assuré, le renvoi au contrat type étant inopérant (Cass. civ. 1re, 7 mars 1989). L’accord des parties peut également résulter de tout autre écrit, fut-ce un télex ou une lettre missive de l’assureur (Cass. civ. 1re, 23 juin 1992).
366 | B anque
et
a ssurance
digitales
l’assureur qui, théoriquement, impose ses conditions à son souscripteur. Il peut être civil, commercial ou mixte selon la qualité des parties. Le contrat d’assurance est un contrat consensuel, parfait dès que l’accord des parties est réalisé sur ses dispositions essentielles : événements et risques garantis, durée, cotisation due par l’assuré. Quoique l’article L. 112-2, alinéa 4, du Code des assurances décide que « seule la police ou la note de couverture constate leur engagement réciproque », il n’est pas douteux que la fonction de la police n’est que probatoire et que « le contrat d’assurance est parfait, sauf convention contraire, dès la rencontre des volontés de l’assureur et de l’assuré »986. 847. Toutefois, avec les obligations d’assurance, les clauses types qu’elles imposent au contenu contractuel, le consensualisme est largement encadré par les dispositions du Code des assurances. Rappelons que la preuve de la rencontre des consentements est en principe subordonnée à la rédaction d’un écrit, ce qui écarte une déclaration verbale, écrit que définit l’article L. 112-2 du Code des assurances comme étant la police ou la note de couverture. Un arrêt de la chambre criminelle de la Cour de cassation du 27 mai 2008987 vient rappeler qu’un contrat d’assurance souscrit sur l’Internet est réputé valablement formé le jour où la demande a été acceptée en ligne par l’assureur, peu importe l’absence des documents exigés par l’assureur après cette date dès lors que le demandeur était dans l’impossibilité de les fournir. Dès lors qu’il n’est pas obligatoire de remplir des exigences de forme, il eut néanmoins été préférable que l’assureur mette en place une procédure de souscription fiable, en intégrant de la traçabilité comme, par exemple, un procédé d’horodatage pour faire démarrer le délai de trente jours et un suivi du dossier. En termes de sécurité juridique et technique, il semble qu’une telle souscription du contrat en ligne apporterait à l’assureur une garantie d’identification du demandeur, d’échange des consentements et d’intégrité du contenu du contrat. 848. En outre, conformément à l’article L. 112-3, alinéas 1 à 3, du Code des assurances, « Le contrat d’assurance et les informations transmises par l’assureur au souscripteur mentionnées dans le présent code sont rédigés par écrit, en français, en caractères apparents. Par dérogation aux dispositions du précédent alinéa concernant l’emploi de la langue française, lorsque, en vertu des articles L. 181-1 et L. 183-1, les parties au contrat ont la possibilité d’appliquer une autre loi que la loi française, les 986. Cass. civ. 1re, 28 févr. 1989 : Bull. civ. I, 1989, n° 93. 987. Com. com. électr. 2009, comm. 29, note É. A. Caprioli.
la
contractualisation d ’ opérations complexes
| 367
documents mentionnés au premier alinéa du présent article peuvent être rédigés dans une autre langue que le français. Le choix d’une autre langue que le français est effectué d’un commun accord entre les parties et, sauf lorsque le contrat couvre les grands risques définis à l’article L. 111-6, à la demande écrite du seul souscripteur. Lorsque les parties au contrat n’ont pas la possibilité d’appliquer une autre loi que la loi française, ces documents peuvent toutefois, d’un commun accord entre les parties et à la demande écrite du seul souscripteur, être rédigés dans la langue ou dans l’une des langues officielles de l’État dont il est ressortissant ». En matière de consentement de l’assuré (en cas d’assurance décès), l’article L. 132-2 du Code des assurances dispose : « L’assurance en cas de décès contractée par un tiers sur la tête de l’assuré est nulle, si ce dernier n’y a pas donné son consentement par écrit avec indication du capital ou de la rente initialement garantis. Le consentement de l’assuré doit, à peine de nullité, être donné par écrit, pour toute cession ou constitution de gage et pour transfert du bénéfice du contrat souscrit sur sa tête par un tiers. Les dispositions du premier alinéa ne sont pas applicables aux contrats d’assurance de groupe à adhésion obligatoire ». L’article L. 132-5, alinéa 1, du Code des assurances prévoit que ces contrats doivent comporter des clauses « tendant à définir, pour assurer la sécurité des parties et la clarté du contrat, l’objet du contrat et les obligations respectives des parties », selon des énonciations précisées par décret en Conseil d’État. § 6 – Le droit de renonciation
849. Conformément à l’article L. 132-5-1 du Code des assurances, le souscripteur dispose d’un délai de 30 jours pour renoncer au contrat qu’il a signé. La compagnie d’assurance a l’obligation de faire figurer cette faculté de renonciation quand elle existe et ses conditions d’exercice dans les documents contractuels qu’elle remet. Le cas échéant pour faciliter l’exercice de ce droit pour l’assuré le contrat doit mentionner, avant l’espace dévolu à la signature, que le souscripteur a un droit de renonciation. Pour exercer ce droit, le souscripteur doit en informer la compagnie d’assurance en envoyant une lettre de renonciation par courrier recommandé avec demande d’avis de réception dans un délai de 30 jours à compter du versement initial. Si le contrat comporte des réserves ou des modifications substantielles par rapport à la proposition initiale, le délai de renonciation court à compter de la date de réception du contrat ou à l’acceptation écrite par le souscripteur de ces réserves ou modifications.
368 | B anque
et
a ssurance
digitales
Ce délai expire le dernier jour à vingt-quatre heures. S’il expire un samedi, un dimanche, un jour férié ou chômé alors il n’est pas prorogé. En revanche, ce droit de renonciation ne s’applique pas aux contrats d’une durée maximale de deux mois. Si le souscripteur exerce son droit de renonciation, la compagnie d’assurance doit lui restituer l’intégralité des sommes versées sans pouvoir effectuer une quelconque retenue. La compagnie d’assurance dispose d’un délai maximal de 30 jours à compter de la réception de la lettre recommandée pour procéder au règlement de ces sommes. Passé ce délai, les sommes non restituées produisent de plein droit intérêt au taux légal, majoré de moitié durant les deux premiers mois, puis au double du taux légal à l’expiration de ce délai. § 7 – Questionnaire de santé
850. La souscription d’un contrat d’assurance est effectuée de manière concomitante à la collecte des données des souscripteurs. Aux termes de l’article 8 de la loi n° 78-17 du 6 janvier 1978 « Informatique et Libertés » : « I. – Il est interdit de collecter ou de traiter des données à caractère personnel qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l’appartenance syndicale des personnes, ou qui sont relatives à la santé ou à la vie sexuelle de celles-ci (…) ». Ce principe est aménagé par des exceptions et des encadrements spécifiques en fonction des personnes souhaitant traiter ces informations. Pour les organismes d’assurance, de capitalisation, de réassurance, d’assistance et par leurs intermédiaires, la CNIL a édicté la norme simplifiée n° 16988 (ci-après la « NS-16 ») permettant le traitement de données de santé pour la passation et l’exécution des contrats d’assurance, de capitalisation, de réassurance et d’assistance. La NS-16 impose, pour la gestion de données de santé, des mesures de sécurité spécifiques : « S’agissant des données de santé, le responsable de traitement s’engage à respecter les dispositions prévues par le code de bonne conduite annexé à la 988. Délibération n° 2013-212 du 11 juillet 2013 concernant les traitements automatisés de données à caractère personnel relatifs à la passation, la gestion et l’exécution des contrats mis en œuvre par les organismes d’assurance, de capitalisation, de réassurance, d’assistance et par leurs intermédiaires (norme simplifiée n° 16), JO 14 août 2013.
la
contractualisation d ’ opérations complexes
| 369
convention AERAS concernant la collecte et l’utilisation de données relatives à l’état de santé en vue de la souscription ou de l’exécution d’un contrat d’assurance. » Ce guide de bonne conduite989 précise qu’il est nécessaire que les entreprises organisent : – un service spécifique : « En tout état de cause, compte tenu des risques assurés et de la nature spécifique des informations fournies, il est impératif que les sociétés d’assurances concernées disposent d’un service médical apte à analyser et conserver ces informations ». – la confidentialité de leurs informations : « La confidentialité doit être organisée au sein des entreprises, physiquement pour le service, administrativement pour les circuits (courrier, téléphone, informatique, meubles de rangement des dossiers, etc.). Une protection totale des dossiers et des informations transmises est assurée ». – une confidentialité sur tous les documents contenant des données de santé : « Les rapports médicaux et les examens complémentaires relèvent des mêmes règles de confidentialité que les questionnaires médicaux ». – une absence d’accès à ses éléments par les services administratifs : « En aucun cas, les services administratifs des sociétés d’assurance ne peuvent connaître les éléments relatifs à l’état de santé qui ont fondé la décision (acceptation avec ou sans surprime, refus, ajournement ou demande de complément d’instructions médicales), ni les éléments des contrats ayant trait à l’état de santé ». Ces éléments militent pour l’organisation, au sein de la procédure de souscription, de circuits distincts permettant de gérer d’un côté la souscription du contrat et de l’autre l’administration du questionnaire de santé, des correspondances et des pièces justificatives comportant des données de santé.
989. Convention AERAS révisée suite à la mise en place d’un « droit à l’oubli », 2 sept. 2015, disponible sous le lien : http://www.economie.gouv.fr/files/files/PDF/Convention-AERASrevisee-droit-oubli-0209015.pdf
PA R T I E I I I LES NOUVEAUX SERVICES DIGITAUX
851. Confronté à l’apparition de nouveaux services issus des nouvelles technologies, le monde bancaire, financier, assurantiel doit s’adapter aux spécificités de chacun, qu’il s’agisse de services disposant d’un cadre juridique établi (Chapitre I) ou en cours d’encadrement (Chapitre II). Au préalable, face au big bang annoncé dans la banque et l’assurance, de nouveaux acteurs sont identifiés : les Fintech (Chapitre préliminaire).
CHAPITRE PRÉLIMINAIRE Les Fintech, nouveaux acteurs du monde bancaire, financier, assurantiel 852. Le monde de la banque, de la finance et de l’assurance est soumis à de nombreux défis. Comment favoriser l’émergence de nouveaux acteurs, de nouveaux services innovants sans altérer le tissu qualitatif et sécurisé du monde bancaire, financier, assurantiel ? Comment encadrer ces nouveaux services sans les étouffer tout en protégeant les consommateurs contre des risques et des dérives encore mal connus ? D’autant que les initiatives toujours plus nombreuses et induites par les nouvelles technologies fleurissent pour proposer aux personnes des services innovants et aux banques des capacités qu’elles n’imaginaient pas il y a encore quelques années. Tel est le cas, par exemple, de ce brevet déposé par Facebook permettant aux organismes bancaires, assurantiels ou financiers d’analyser la liste des « amis » d’une personne afin de prévoir sa capacité de remboursement990. S’il s’agit d’un raz de marée silencieux pour le grand public, le phénomène n’en reste pas moins un raz de marée. Selon Accenture991, les investissements dans le secteur des Fintech ont augmenté au cours du premier trimestre 2016 de plus de 60 % par rapport à la même période l’année passée. De fait, les investissements pour les Fintech basées en Europe et en Asie-Pacifique représentent 62 % des investissements mondiaux. En France de 2014 à 2015, l’investissement a augmenté de plus de 750 %. Mais la définition de Fintech est avant tout empirique (section I) et les autorités en charge de la régulation financière (section II) commencent seulement à encadrer le phénomène.
990. « Et si une banque vous refusait un prêt à cause de vos amis Facebook ? », Le Point, disponible sous le lien : http://www.lepoint.fr/economie/et-si-une-banque-vous-refusait-un-pret-a-causede-vos-amis-facebook-08-08-2015-1955630_28.php 991. « Les investissements dans les FinTech continuent d’augmenter en 2016, surtout en Europe et en Asie, selon une nouvelle étude Accenture », disponible sous le lien : https://www. accenture.com/fr-fr/company-news-release-fintech-investments
374 | B anque
et
a ssurance
digitales
SECTION I FINTECH : UNE DÉFINITION EMPIRIQUE992 853. Les Fintech (et les Assurtech) sont des sociétés qui, comme l’indique leur nom, ont pour objet de fournir sur le secteur financier (bancaire, assurantiel) des services basés sur les innovations. Au sein de l’ACPR, l’accent est mis autour de la notion de projet financier innovant, projet défini comme étant « la création d’une entreprise (de type “start-up”) alliant un fort degré d’innovation et une intervention sur un ou plusieurs domaines financiers relevant de l’ACPR »993. Ce faisant, ne sont pas uniquement visées les avancées technologiques, qui parfois peuvent n’être que des pratiques anciennes dématérialisées, mais également des innovations d’usages et d’applications. D’autres définissent la Fintech comme étant « une entreprise digitale du monde financier »994 ou comme une société associant « les technologies digitales aux services financiers »995. Dans « La Révolution Fintech »996, les Fintech sont envisagées sous l’angle de l’« Ubérisation », soulignant ainsi que ces entreprises appuient leur développement sur l’utilisation de technologies innovantes, un modèle économique souvent disruptif, l’évolution du comportement des clients conjuguée à la lourdeur des acteurs en place et enfin le souhait des régulateurs et des pouvoirs publics d’introduire de la concurrence au sein de professions dites « fermées ». Par ailleurs, le phénomène se qualifie autant par ses propriétés générales (alliance de la finance et des nouvelles technologies) que par son impact intrinsèque sur un monde de la finance bousculé pas ces nouveaux acteurs. C’est que le phénomène n’a cessé de prendre de l’ampleur au point de forcer les acteurs historiques à la réaction, nombreuses étant désormais les banques à prendre part de manière plus ou moins étendue ou directe à ce phénomène par le biais d’associations, partenariats, prises de participation… La définition se veut donc empirique. Les entreprises, dont les tailles et objets diffèrent, se rejoignent cependant sur leur capacité à proposer des modèles 992. T. Bonneau et T. Verbiest, Fintech et Droit, RB Édition, 2017. 993. Pôle ACPR FinTech Innovation, définitions du « projet financier innovant », disponible sous le lien : https://acpr.banque-france.fr/lacpr/missions/pole-acpr-fintech-innovation.html 994. H. de Vauplane, « Quelle réglementation pour les FinTech ? », Rev. Banque n° 799, sept. 2016, p. 20 et s. 995. H.de Vauplane, « Les nouveaux acteurs de la finance », in « Les mutations de l’industrie financière », Rev. d’économie financière, n° 118, juin 2015. 996. R. Bouyala, La révolution FinTech, RB Édition, coll. Les essentiels de la Banque et de la Finance, 2016.
l es f intech ,
nouveaux acteurs du monde Bancaire , financier , assurantiel
| 375
innovants au monde de la finance, souvent en rupture avec le système bancaire, parfois en complément.
SECTION II UNE PRISE EN COMPTE PROGRESSIVE PAR LES AUTORITÉS EN CHARGE DE LA RÉGULATION FINANCIÈRE 854. Depuis leur émergence, les autorités se penchent sur les modalités de leur encadrement. Il était à craindre que, du fait de la lourdeur des processus administratifs, l’intégration des Fintech pâtisse d’une réaction tardive des autorités laissant se développer ces pratiques en agissant à contretemps. Cependant, l’ACPR et l’AMF ont entendu avancer à destination de ces nouveaux interlocuteurs. L’AMF a ainsi annoncé la création d’une division Fintech, innovation et compétitivité997 dont l’objectif est « d’analyser les innovations en cours dans le secteur des services d’investissement, et d’identifier les enjeux en matière de compétitivité et de régulation ». Parallèlement, l’ACPR a créé au sein de sa structure un Pôle dédié, le Pôle ACPR « FinTech Innovation » afin de créer une interface de dialogue avec les sociétés porteuses de projets998 en leur apportant conseil, orientation et coordination dans le cadre de leurs démarches d’agrément ou d’autorisation. Ce pôle participe également à la mise en œuvre du Forum Fintech. En effet, l’AMF et l’ACPR ont lancé une initiative à destination des sociétés innovantes, le « Forum Fintech ». Envisagée comme une instance consultative et de dialogue, sa première réunion s’est tenue le 18 juillet 2016999. Comptant actuellement 34 membres, son objectif est d’« appréhender les enjeux associés au développement des Fintech, à la fois en termes d’opportunités et de risques éventuels ». 855. Cette démarche française se démarque des approches mises en œuvre au sein d’autres pays européens et notamment en Grande-Bretagne au sein de 997. Communiqué de presse « L’AMF annonce la création d’une division Fintech, innovation et compétitivité et la nomination de Franck Guiader à sa tête » disponible sous le lien : http:// www.amf-france.org/Actualites/Communiques-de-presse/AMF/annee-2016.html?docId=wor kspace%3A%2F%2FSpacesStore%2F44e4489d-712b-4280-ad59-4b6ccd34ad74 998. Pôle ACPR FinTech Innovation disponible sous le lien : https://acpr.banque-france.fr/lacpr/ missions/pole-acpr-fintech-innovation.html 999. Communiqué de presse « L’AMF et L’ACPR lancent le Forum FinTech », disponible sous le lien : http://www.amf-france.org/Actualites/Communiques-de-presse/AMF/annee-2016.html?docI d=workspace%3A%2F%2FSpacesStore%2Ffef66ab3-71de-4e2b-b707-d0ca87df1509
376 | B anque
et
a ssurance
digitales
laquelle la Financial Conduct Authority a entendu proposer aux entreprises une « Regulatory sandbox »1000. Il s’agit ainsi de mettre à disposition des entreprises un espace pour tester leurs services et leurs modèles économiques (« business model ») dans un environnement réel mais sans être assujettis aux mêmes obligations réglementaires. Ce modèle, qui a pour avantage de permettre de tester facilement les concepts et ainsi de favoriser l’émergence rapide de nouveaux services, a pour écueil de reporter à plus long terme l’appréciation de la viabilité réelle du système, une fois que celui-ci est face aux réalités réglementaires. Ces différentes initiatives démontrent que les institutions se rejoignent sur la nécessité d’apporter à ces nouveaux intervenants le soutien nécessaire afin d’assister, si ce n’est à la création des nouveaux acteurs majeurs de demain, à tout le moins des outils qui dicteront les services financiers du futur. S’il n’est pas possible de dresser le portrait de l’ensemble des services innovants apportés par ces sociétés, dont la substance même est d’être protéiforme, il peut être évoqué plusieurs services distincts qui, par leurs apports, changent et changeront le visage de la banque et de l’assurance digitales.
1000. Pour plus d’informations sur ce point, v. la page relative à la « Regulatory sandbox » proposée par le site de la « Financial Conduct Authority », disponible sous le lien : https://www.fca.org. uk/firms/project-innovate-innovation-hub/regulatory-sandbox
CHAPITRE I Les services disposant d’un cadre juridique 856. Divers services disposent d’ores et déjà d’un cadre juridique comme le coffre-fort numérique (section I), les services d’agrégation ou d’initiation de paiement (section II), les services de crowdfunding (section III).
SECTION I LE COFFRE-FORT NUMÉRIQUE 857. Le « coffre-fort numérique » (ou CFN) peut être défini comme un dispositif matériel et/ou logiciel assurant la conservation de documents, données numériques et garantissant leur intégrité et pérennité1001. À vocation probatoire, il trace toutes les opérations effectuées afin de pouvoir démontrer les actions réalisées. En la matière, deux normes techniques françaises sont applicables : la norme AFNOR NF Z42-013 présentée précédemment et la norme NF Z42-020 « spécifications fonctionnelles d’un composant coffre électronique destiné à la conservation d’informations numériques dans des conditions de nature à en garantir leur intégrité dans le temps »1002, établissant les fonctions minimales que doit remplir ce type de dispositif pour garantir l’intégrité dans le temps des documents et des informations conservés contre tout risque d’altération de leur contenu. § 1 – Définition du coffre-fort numérique
858. L’article 87 de la loi pour une République numérique ajoute des dispositions relatives aux services de coffre-fort numérique intégrées au nouvel article L. 137 du Code des procédures civiles d’exécution et donne une approche fonctionnelle de ce dernier :
1001. V. FNTC, « Guide de l’interopérabilité des coffres-forts électroniques », Collection les guides de la confiance de la FNTC, mars 2012, p. 26, disponible sur le site : www.fntc.org. 1002. Site de l’AFNOR, page spécifique à la norme : http://www.boutique.afnor.org/norme/nfz42-020/specifications-fonctionnelles-d-un-composant-coffre-fort-numerique-destine-a-laconservation-d-informations-numeriques-dans-des-/article/796213/fa176610
378 | B anque
et
a ssurance
digitales
« Un service de coffre-fort numérique est un service qui a pour objet : 1° La réception, le stockage, la suppression et la transmission de données ou documents électroniques dans des conditions permettant de justifier de leur intégrité et de l’exactitude de leur origine ; 2° La traçabilité des opérations réalisées sur ces documents ou données et la disponibilité de cette traçabilité pour l’utilisateur ; 3° L’identification de l’utilisateur lors de l’accès au service par un moyen d’identification électronique respectant l’article L. 136 ; 4° De garantir l’accès exclusif aux documents électroniques, données de l’utilisateur ou données associées au fonctionnement du service à cet utilisateur, aux tiers autres que le prestataire de services de coffre-fort numérique, explicitement autorisés par l’utilisateur à accéder à ces documents et données et, le cas échéant, au prestataire de services de coffre-fort numérique réalisant un traitement de ces documents ou données au seul bénéfice de l’utilisateur et après avoir recueilli son accord exprès dans le respect de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ; 5° De donner la possibilité à l’utilisateur de récupérer les documents et les données stockées dans un standard ouvert aisément réutilisable et exploitable par un système de traitement automatisé de données, sauf dans le cas des documents initialement déposés dans un format non ouvert ou non aisément réutilisable qui peuvent être restitués dans leur format d’origine, dans des conditions définies par décret. Le service de coffre-fort numérique peut également proposer des services de confiance au sens du règlement n° 910/2014/UE du Parlement européen et du Conseil du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive n° 1999/93/ CE. Ce service de coffre-fort numérique peut bénéficier d’une certification établie selon un cahier des charges proposé par l’autorité nationale de la sécurité des systèmes d’information après avis de la Commission nationale de l’informatique et des libertés et approuvé par arrêté du ministre chargé du Numérique. Les modalités de mise en œuvre du service de coffre-fort numérique et de sa certification par l’État sont définies par décret en Conseil d’État pris après avis de la Commission nationale de l’informatique et des libertés.
l es
services disposant d ’ un cadre juridique
| 379
II. – La section III du chapitre II du titre II du livre Ier du Code de la consommation est complétée par une sous-section 5 ainsi rédigée : Sous-section 5 Appellation de coffre-fort numérique Art. L. 122-22. – Le fournisseur qui se prévaut d’une offre de service de coffrefort numérique défini aux 1° à 5° de l’article L. 137 du Code des postes et des communications électroniques et qui ne respecte pas les obligations qui y sont énoncées est passible des sanctions prévues aux articles L. 132-2 et L. 132-3 du présent code ». Ainsi, le service de coffre-fort numérique peut être considéré – si le prestataire le décide – comme un service de confiance et être soumis à ce titre aux exigences du règlement eIDAS (de façon spécifique en termes de sécurité). En outre, une certification pourra être effectuée en France par l’ANSSI sous réserve de respecter un cahier des charges et après avis de la CNIL1003. On notera avec intérêt que l’ACPR est en charge de réguler ce service. En application de ce texte, deux projets de décret ont été élaborés. Le premier « vient préciser les modalités de mise en œuvre de ce service de coffre-fort numérique ainsi que de sa certification par l’État. ». Le second détermine les conditions de récupération des documents et données stockés par un service de coffre-fort numérique (portabilité/réversibilité). § 2 – Documents cibles
859. Certains organismes bancaires, financiers ou assurantiels proposent un service de coffre-fort numérique permettant de stocker les documents électroniques en ligne de leurs clients, quel que soit le type de format (texte, images numérisées…). Il en va ainsi des : • contrats ; • avis d’imposition ; • relevés de compte ; • factures et garanties ; • diplômes ; • et autres documents administratifs. D’autres documents sont plus sujets à caution comme ceux contenant des données relatives à la santé des clients. Dans cette situation, si les organismes bancaires, financiers ou assurantiels entendent ouvrir ce service à l’ensemble des données de santé, les coffres-forts nécessiteront un agrément spécifique délivré par le ministre de la Santé, après consultation de la CNIL1004. 1003. Cf. infra § 3. Sur ce texte, v. Com. com. électr. 2017, comm. n° 28, note É. A. Caprioli. 1004. Il ne sera pas fait état ici des questions d’hébergement de données de santé.
380 | B anque
et
a ssurance
digitales
§ 3 – Labellisation des coffres-forts numériques par la CNIL
860. En outre, dans le cadre de sa délibération n° 2013-270 du 19 septembre 2013, la CNIL a adopté une recommandation visant les services dits de « coffrefort numérique ou électronique ». Il est vrai qu’une recommandation constitue avant tout une ligne de conduite que la CNIL souhaite imposer aux responsables de traitements concernés, dans des domaines d’activité. Pour la CNIL, le coffre-fort numérique ou électronique s’entend d’une « forme spécifique d’espace de stockage numérique dont l’accès est limité à son seul utilisateur et aux personnes physiques spécialement mandatées par ce dernier », l’espace de stockage étant défini comme un service ayant « pour objet de conserver des documents dématérialisés sur un support informatique ». Le coffre-fort numérique doit garantir l’intégrité, la disponibilité et la confidentialité des données stockées et, dans ce contexte, la mise en œuvre de mesures spécifiques de sécurité est exigée. En outre, le fournisseur du service « ne doit pas être techniquement en mesure d’accéder au contenu du coffre ainsi qu’à ses éventuelles sauvegardes, sans le consentement exprès de l’utilisateur concerné ». La CNIL souligne qu’un service de coffre-fort numérique est un traitement automatisé de données à caractère personnel au sens de l’article 2 de la loi « Informatique et Libertés » de 1978 modifiée, à double titre : du fait de son fonctionnement (opérations informatisées) et de son contenu (lié à une personne physique identifiable). La CNIL rappelle que, conformément à l’article 5-I-2° de la loi, la recommandation est également applicable aux responsables de traitement étrangers (établis en dehors de l’Union européenne) qui utilisent des moyens de traitement situés en France (via un prestataire sous-traitant tel qu’une filiale, par exemple). 861. S’agissant des formalités préalables à accomplir, le responsable du traitement doit adresser une déclaration normale à la CNIL. Cette déclaration doit contenir les données personnelles traitées nécessaires à la réalisation de la prestation, à savoir les données d’identification des utilisateurs (pour lesquelles il est précisé qu’elles doivent permettre de les identifier de façon certaine) et les données de connexion nécessaires au fonctionnement du service. Fidèle à sa position sur le sujet, la CNIL a tenu à préciser que le numéro de Sécurité sociale ne saurait être utilisé « pour le routage d’un document dématérialisé ». La CNIL exclut également que les fournisseurs de coffres-forts numériques puissent stocker des données de santé, sauf à être dûment agréés à cette fin. À défaut d’agrément, les fournisseurs ne sont donc pas autorisés à proposer aux utilisateurs le stockage ou l’organisation des données relatives à la santé, ni même de créer par défaut un dossier santé. En outre, ces prestataires sont donc tenus de déconseiller à l’utilisateur de stocker des données de santé dans leur coffre-fort. 862. En ce qui concerne les destinataires des données, les prescriptions de la Recommandation visent exclusivement le contenu des coffres-forts (rien n’étant indiqué pour les données d’identification des utilisateurs ou pour les données de
l es
services disposant d ’ un cadre juridique
| 381
connexion) pour préciser que les documents sur les serveurs sont uniquement consultables par l’utilisateur du service et les personnes spécialement mandatées et doivent être protégés par des mesures techniques interdisant leur accès à des tiers non autorisés. De même, la durée de conservation des données n’est abordée que pour les contenus. Le fournisseur est ainsi tenu de supprimer : – « immédiatement » les documents pour lesquels il reçoit une demande de suppression de la part de l’utilisateur ; – « sans délai » pour les copies répliquées en ligne du document supprimé ; – dans un délai d’un mois pour les éventuelles sauvegardes. 863. En principe, le fournisseur s’engage à offrir un service de stockage pérenne, en conséquence de quoi, dans l’hypothèse de cessation de son activité, il doit s’engager à avertir les utilisateurs suffisamment en avance afin qu’ils puissent s’organiser pour récupérer les données stockées. L’obligation d’information est rappelée au visa de l’article 32 de la loi « Informatique et Libertés » étant noté que l’utilisateur doit également être informé du type de coffre-fort mis à sa disposition et des conditions d’utilisation. Pour la récupération de documents auprès de tiers, il est recommandé aux fournisseurs de coffres-forts numériques d’adopter des solutions techniques permettant de ne pas avoir à collecter d’informations confidentielles sur l’utilisateur (de type identifiant, mot de passe), et ce afin de ne pas contrevenir aux conditions d’utilisation des services tiers. 864. La CNIL a mis en œuvre un label en matière de services de coffre-fort numérique (Délibération n° 2014-017 du 23 janvier 20141005). La société CECURITY.COM, avec son produit CECURCRYPT, a reçu le premier label en juillet 20161006. Si la CNIL communique sur ce premier Label, peu d’informations ont été rendues publiques. Tout au plus a-t-il été indiqué que les données sont chiffrées à toutes les étapes selon un dispositif répondant aux exigences de l’ANSSI et que l’authentification mise en œuvre est une authentification forte. Ce coffre-fort numérique répond, par conséquent, aux exigences de sécurité et aux principes relatifs à la protection des données à caractère personnel. Le recours au coffre-fort numérique peut constituer une alternative intéressante pour le stockage de données, dans une optique de conformité en vue de la labellisation « Gouvernance » délivrée par la CNIL. 1005. JO 7 févr. 2014. 1006. Délibération n° 2016-222 du 21 juillet 2016, portant labellisation d’un service de coffre-fort numérique intitulé « CecurCrypt » présentée par la société CECURITY.COM, disponible à l’adresse : https://www.legifrance.gouv.fr/affichCnil.do?oldAction=rechExpCnil&id=CNILTEX T000032934229&fastReqId=1411597595&fastPos=1
382 | B anque
et
a ssurance
digitales
§ 4 – Les mesures de sécurité
865. La recommandation dresse une liste plutôt conséquente des mesures visant à assurer la sécurité des données stockées dans le coffre-fort électronique. On peut ainsi recenser les mesures de sécurité techniques classiques, comme le chiffrement des données ou l’utilisation, dans la mesure du possible, « des produits cryptographiques certifiés ou qualifiés ». Les fournisseurs doivent également « rendre accessible, sans surcoût, un outil permettant aux utilisateurs de récupérer l’intégralité du contenu de leur coffre-fort de façon simple, sans manipulation complexe ou répétitive, et ce afin de faciliter le changement de fournisseur ». La CNIL s’était déjà inquiétée des difficultés engendrées par les services de coffres-forts numériques au regard des données à caractère personnel. L’autorité avait, en effet, noté que peu de fournisseurs offraient aux utilisateurs la possibilité de télécharger l’intégralité des fichiers du coffre-fort. 866. La question du recours à des anti-virus sur les documents entrants dans le coffre-fort numérique n’est pas directement abordée par la recommandation. Certaines mesures figurant dans le § 5 de la recommandation laissent entendre que le passage à l’antivirus constitue effectivement une mesure de sécurité : • « les fournisseurs doivent proposer des fonctionnalités de traçabilité permettant aux utilisateurs de visualiser l’activité récente sur leur coffre-fort numérique, afin de détecter les éventuelles intrusions non souhaitées ; • les fournisseurs doivent mettre en place des outils permettant de détecter et bloquer les connexions illégitimes aux coffres-forts numériques ». Toutefois, dans le cadre des fichiers devant passer à l’anti-virus une solution est envisageable pour le fournisseur de coffre-fort numérique, étant précisé qu’en principe, le passage à l’anti-virus d’un document chiffré est impossible et que l’on part du principe que le fournisseur de coffre ne dispose pas de la clé de déchiffrement utilisée par le client. Si un programme malveillant figure dans ce document, il pourrait alors être mis en quarantaine dans un archivage de sécurité et le client serait informé de cet incident. § 5 – Quid en cas de décès du titulaire du coffre-fort ?
867. L’article 39 de la loi Informatique et Libertés sur le droit d’accès vise expressément les personnes dont les données à caractère personnel font l’objet d’un traitement (ou non). Un accès est autorisé par le Code de la santé publique pour les données d’ordre médical dans la mesure où elles « leur sont nécessaires pour leur permettre de connaître les causes de la mort, de défendre la mémoire du défunt ou de faire valoir leurs droits »1007.
1007. CSP, art. 1110-4.
l es
services disposant d ’ un cadre juridique
| 383
868. Par ailleurs, sur le plan de la jurisprudence, le Conseil d’État a consacré un droit d’accès des héritiers au fichier FICOBA1008 (Fichier national des comptes bancaires et assimilés). En qualité « d’ayants droit héritant des soldes des comptes bancaires », les héritiers se sont vus reconnaître le statut de « personne concernée »1009 au sens de la loi « Informatique et Libertés ». Il convient de souligner que cette décision est rendue au visa de l’article 39 de la loi « Informatique et Libertés » qui reconnaît à toute personne physique un droit de communication pour « des données à caractère personnel qui la concernent ». Il est vrai que l’article 39 de la loi « Informatique et libertés » ne comporte pas de mention relative au droit d’accès des héritiers en particulier. Le Conseil d’État a cependant appuyé sa décision sur le fait que les héritiers sont titulaires d’un droit d’accès personnel « dont ils n’héritent pas de la personne défunte, mais qui leur est propre ». 869. S’agissant de l’accès au coffre-fort numérique, les héritiers ne disposent pas d’un droit d’accès direct après le décès du client1010. Pour résoudre cette question de l’accessibilité « post mortem » des données du défunt, l’article 63 de la loi sur la République numérique (précitée) crée un nouvel article 40-1-I dans la loi « Informatique et libertés » rappelant que les droits de la personne s’éteignent à son décès, sous réserve des directives relatives à la conservation, l’effacement et à la communication de ses données à caractère personnel, directives enregistrées auprès d’un tiers de confiance certifié par la CNIL. En l’absence de directives, les héritiers peuvent exercer, après le décès de leur auteur, ses droits dans la mesure nécessaire : « – à l’organisation et au règlement de la succession du défunt. À ce titre, les héritiers peuvent accéder aux traitements de données à caractère personnel qui le concernent afin d’identifier et d’obtenir communication des informations utiles à la liquidation et au partage de la succession. Ils peuvent aussi recevoir communication des biens numériques ou des données s’apparentant à des souvenirs de famille, transmissibles aux héritiers ; – à la prise en compte, par les responsables de traitement, de son décès. À ce titre, les héritiers peuvent faire procéder à la clôture des comptes utilisateurs du défunt, s’opposer à la poursuite des traitements de données à caractère personnel le concernant ou faire procéder à leur mise à jour ».
1008. CE, 29 juin 2011, n° 339147, Juris-Data n° 2011-012803. http://www.legifrance.gouv.fr/affichJuriAdmin.do?oldAction=rechExpJuriAdmin&idTexte=C ETATEXT000024315834&fastReqId=1410582746&fastPos=1 1009. Article 2 de la loi « Informatique et Libertés » : La personne concernée par un traitement de données à caractère personnel est celle à laquelle se rapportent les données qui font l’objet du traitement. 1010. CE, 8 juin 2016, Mme et MM. D., n° 386525, publié au Recueil Lebon.
384 | B anque
et
a ssurance
digitales
SECTION II LES INITIATEURS DE PAIEMENT ET LES AGRÉGATEURS DE COMPTES DE PAIEMENT 870. Dans le monde bancaire, de nouveaux services ont fait récemment leur apparition, proposant des processus sans cesse plus innovants, facilitant la vie des clients en faisant fi des limites imposées par les banques. Induits par les avancées technologiques, de nouveaux services ont été créés, gravitant autour des prestations de service de paiement sans nécessairement rentrer dans leur cadre. Tel est le cas de services permettant au client d’agréger au sein d’une même interface les données relatives à ses comptes qu’ils soient issus d’une même banque ou de plusieurs banques distinctes. L’agrégation de comptes de paiement ne fait que permettre le visionnage de données déjà existantes, mais cette relative innocuité masque mal le réel impact sur les modèles commerciaux mis en œuvre par le monde bancaire1011. L’intérêt de ce service est étroitement lié au phénomène de multi-bancarisation. De nombreux consommateurs disposant désormais de comptes au sein d’au moins deux établissements bancaires, les interfaces respectives de chacune des banques ne permettent pas une compréhension de l’ensemble. Ce service, transcendant les limites des différentes interfaces des banques concernées, permet ainsi au client d’avoir une vision globale de ses comptes, de travailler les interfaces pour avoir une vision fine de ses dépenses et donc de mieux appréhender sa situation financière à un instant T. 871. De fait, en intervenant entre la banque et son client, les agrégateurs peuvent peu à peu éloigner les clients de leurs banques. Dans un monde où la banque se fait progressivement digitale et où la banque physique perd chaque jour du terrain, le lien principal entre le client et sa banque est son site Internet sur lequel le client peut interagir au quotidien. À ce titre, en s’intercalant entre ces deux interlocuteurs, ces intervenants heurtent le nouveau « business model » des banques en perturbant pour ces dernières leurs relations avec leurs clients. En effet, si le client dispose de toutes les informations sur une seule interface, quel sera son intérêt de se connecter à son espace bancaire ? En France, des acteurs tels que Bankin et Linxo permettent ainsi d’analyser les finances de leurs utilisateurs en se connectant à leur compte en ligne et en récupérant leurs données de transactions.
1011. J.-C. Huyssen et C. Bontemps, « DSP 2 : entre continuité et innovation », Banque & Droit, juill.août 2016, p. 5.
l es
services disposant d ’ un cadre juridique
| 385
Cependant, ne reposant sur aucune disposition légale, de nombreux doutes ont fait jour au regard de la sécurisation d’un tel procédé. En effet, faute d’accord avec les banques, ces sociétés agissent en sollicitant les données d’authentification de leurs clients pour se connecter en lieu et place de ce dernier. Or, les actions de collecte des informations relatives à ces transactions peuvent être interprétées, d’un certain point de vue, comme des atteintes au Système de traitement automatisé de données (STAD), réprimées aux articles 323-1 et suivants du Code pénal. 872. Dans son Livre vert intitulé « Vers un marché intégré des paiements par carte, par Internet et par téléphonie mobile », la Commission européenne s’est interrogée en 2012 sur la nécessité de promouvoir et d’accélérer l’intégration du marché. Au détour de ses interrogations concernant les « informations sur la disponibilité de fonds », la Commission fixe en quelques mots les interrogations essentielles relatives à ce nouvel acteur1012. En effet, si les clients des banques peuvent accepter de confier à des prestataires les informations concernant la disponibilité de fonds sur leur compte bancaire, les banques sont tentées de s’y opposer pour des raisons de sécurité. Cependant, cette attitude, qui peut être justifiée, laissait craindre l’émergence d’entraves à la création de nouveaux services. Ce faisant, la Commission formulait les questions suivantes : « 13) Est-il nécessaire de permettre à des établissements non bancaires, avec l’accord du client, d’accéder aux informations concernant la disponibilité de fonds sur les comptes bancaires et, si oui, quelles limites faudrait-il poser à de telles informations ? Devrait-on envisager une intervention des pouvoirs publics, et si oui, quels aspects devrait-elle couvrir et quelle forme devrait-elle prendre ? »
1012. Livre vert « Vers un marché intégré des paiements par carte, par Internet et par téléphonie mobile » du 11 janvier 2012, disponible sous le lien : http://ec.europa.eu/finance/payments/ cim/index_fr.htm « 4.1.7. Informations sur la disponibilité de fonds Pour de nombreux modèles opérationnels de services de paiement, les informations préalables sur la disponibilité des fonds – nécessaires pour les autorisations et/ou garanties de paiement d’une transaction donnée – sont un élément essentiel. En tant qu’instances d’hébergement des comptes bancaires, les banques ont une fonction de “passerelle” déterminante pour la viabilité de nombreux modèles opérationnels. Même si, pour certains nouveaux services de paiement, les consommateurs acceptent que les informations concernant la disponibilité de fonds sur leur compte bancaire soient transmises aux prestataires de services de paiement de leur choix, les banques peuvent refuser de révéler ces informations à d’autres prestataires de services de paiement. Étant donné l’importance des paiements sécurisés, la confiance dans les systèmes de paiement en général et le fait que les banques sont soumises à une surveillance, de tels refus peuvent être justifiés dans certains cas. Néanmoins, cela génère un conflit d’intérêts pour les banques, qui peuvent être incitées à refuser de coopérer et ce, malgré la volonté de leurs clients. Cela pourrait entraver indûment l’émergence de solutions alternatives de paiement sûres et efficaces, même si elles sont soumises à des exigences prudentielles ».
386 | B anque
et
a ssurance
digitales
C’est par le biais de la directive concernant les services de paiement dans le marché intérieur1013, dite « DSP 2 », que les grandes lignes du statut de ces nouveaux intervenants ont été fixées. § 1 – Régime juridique de l’initiation de paiement
873. La définition du service d’initiation de paiement constitue le service 7 au sens de l’annexe I de la directive. L’article 4-15 de la DSP 2 définit le « service d’initiation de paiement » comme étant un « service consistant à initier un ordre de paiement à la demande de l’utilisateur de services de paiement concernant un compte de paiement détenu auprès d’un autre prestataire de services de paiement ». L’initiation de paiement tient du paiement direct en ligne de compte à compte par virement : « ces services de paiement interviennent dans les paiements dans le cadre du commerce électronique en établissant une passerelle logicielle entre le site Internet du commerçant et la plate-forme de banque en ligne du prestataire de services de paiement gestionnaire de compte du payeur en vue d’initier des paiements par l’Internet sur la base d’un virement » (DSP 2, cons. 27). Il assurera au bénéficiaire que le paiement a été initié, si bien que ce dernier sera incité à livrer les biens ou fournir les services sans retard injustifié (cons. 29). « L’initiation de paiement crée une perturbation certaine dans notre classification tripartite des opérations de paiement (CMF, art. L. 133-3 II). Sont-elles ordonnées : – Par le payeur, qui donne un ordre de paiement à son PSP ? Il s’agit là d’une opération de paiement. – Par le payeur, qui donne un ordre de paiement par l’intermédiaire du bénéficiaire ? Nous sommes en présence d’un paiement par carte. – Par le bénéficiaire, qui donne un ordre de paiement au PSP du payeur fondé sur le consentement du payeur au bénéficiaire ? C’est de virement dont il est question. Mais où rangera-t-on l’initiation de paiement ? Elle semble certes déclencher une opération de virement mais son client serait le bénéficiaire… »1014. Les prestataires de services d’initiation de paiement seront soumis à un agrément préalable obligatoire avant tout exercice de leur activité, mais cet agrément est 1013. Directive n° 2015/2366/UE du Parlement européen et du Conseil du 25 novembre 2015 concernant les services de paiement dans le marché intérieur, modifiant les directives n° 2002/65/CE, n° 2009/110/CE et n° 2013/36/UE et le règlement n° 1093/2010/UE, et abrogeant la directive n° 2007/64/CE (Texte présentant de l’intérêt pour l’EEE), JOUE n° 337, 23 déc. 2015, p. 35. 1014. P. Storrer, « Du droit de donner libre accès à son compte de paiement », Banque & Droit, juill.-août 2016, p. 14.
l es
services disposant d ’ un cadre juridique
| 387
allégé par rapport aux autres prestataires de services de paiement. Ils doivent, en revanche, souscrire au même titre que les agrégateurs de comptes de paiement une assurance en responsabilité civile professionnelle. Ils bénéficieront du passeport (DSP 2, cons. 41) et seront recensés dans les registres de l’ABE (art. 15). Le dispositif de lutte contre les abus du droit d’établissement (cons. 36) devrait leur être applicable. Conformément aux articles 66 et 67 de la DSP 2, les prestataires ne devraient pas : – pouvoir fournir leur service sans le consentement explicite du donneur d’ordre au payeur ; – demander à l’utilisateur des données autres que celles nécessaires à la fourniture du service d’initiation ; – détenir les fonds du payeur en liaison avec la fourniture du service d’initiation de paiement ; – modifier le montant, le bénéficiaire ou toute autre caractéristique de l’opération. Le prestataire de services d’initiation de paiement doit veiller à la confidentialité des données de sécurité personnalisées du client, s’identifier auprès du PSP gestionnaire du compte et communiquer avec lui et l’utilisateur de manière sécurisée. De son côté, le PSP gestionnaire de compte se doit également de communiquer de manière sécurisée et de traiter les demandes de données sans discriminations « autres que fondées sur des raisons objectives ». § 2 – Régime juridique de l’agrégation de comptes de paiement
874. L’agrégation de comptes de paiement1015 ou service d’information sur les comptes se définit au sens de la DSP 2 comme « un service en ligne consistant à fournir des informations consolidées concernant un ou plusieurs comptes de paiement détenus par l’utilisateur de services de paiement soit auprès d’un autre
1015. Un compte de paiement se définit comme « un compte qui est détenu au nom d’un ou plusieurs utilisateurs de services de paiement et qui est utilisé aux fins d’exécution d’opérations de paiement » (art. 4.12). Le pouvoir réglementaire ou le législateur devraient déterminer si peuvent être qualifiés de compte de paiement : – les comptes de cantonnement entendus au sens de l’article L. 522-17 du Code monétaire et financier comme des comptes tenus par un établissement de crédit habilité à recevoir des fonds à vue du public et ou les fonds restant sur le compte de l’utilisateur de services de paiement à la fin du jour ouvrable suivant le jour où ils ont été reçus, tel que défini au d) de l’article L. 133-4, sont déposés ; – les comptes de dépôt prévus à l’article L. 312-1 du Code monétaire et financier ; – les comptes de monnaie électronique (la monnaie électronique étant définie à l’article L. 315-1 du Code monétaire et financier).
388 | B anque
et
a ssurance
digitales
prestataire de services de paiement, soit auprès de plus d’un prestataire de services de paiement » (art. 4. 16). Cela signifie que l’agrégateur de comptes de paiement doit être entendu comme un prestataire de services de paiement à part entière1016. Les prestataires d’information sur les comptes pourront accéder en ligne aux informations des comptes de paiement désignés et aux opérations de paiement associées. 875. La particularité de ces activités est l’absence d’entrée en possession de fonds de clients, le service d’information sur les comptes n’entraîne même aucun contrôle de ces fonds, ni aucune opération de paiement. Le prestataire fournit donc ses services en s’appuyant sur les comptes de paiement tenus par d’autres PSP et en fournissant un service complémentaire aux services de paiement traditionnels. Cette absence de détention a conduit le législateur européen à considérer que ces nouveaux services présentaient un risque modéré et à exporter leurs services dans tout l’Espace économique européen. L’article 331017 établit que les personnes physiques ou morales fournissant uniquement le service d’information sur les comptes sont traitées comme des établissements de paiement. Cependant, cet article a surtout pour objet de définir les contours de leur régime juridique. Celui-ci apparaît comme considérablement allégé. Pour exemple, au sein de la section I et II relatives aux règles applicables aux établissements de paiement, seule une partie de l’article 5 (demandes d’agrément) et les articles 14 (enregistrement dans l’État membre d’origine) et 15 (registre de l’ABE) leur sont applicables. De même, concernant les dispositions en matière de transparence et d’information, seuls les articles 41 (charge de la preuve s’agissant des exigences en matière d’information), 45 et 52 relatifs respectivement aux informations sur les opérations de paiement isolées et les contrats-cadres. Les prestataires qui n’exercent que le service d’agrégation de comptes de paiement seront agréés comme n’importe quel autre établissement de paiement, mais bénéficieront d’exigences prudentielles assouplies avec un capital initial de 1016. « Les services d’information sur les comptes » sont cités comme étant des services de paiement (annexe I, point 8). 1017. DSP 2, art. 33 : « Prestataires de services d’information sur les comptes 1. Les personnes physiques ou morales fournissant uniquement le service de paiement visé à l’annexe I, point 8, sont exemptées de l’application de la procédure et des conditions fixées dans les sections I et II, à l’exception de l’article 5, paragraphe 1, points a), b), e) à h), j), l), n), p) et q), de l’article 5, paragraphe 3, et des articles 14 et 15. La section III s’applique, à l’exception de l’article 23, paragraphe 3. 2. Les personnes visées au paragraphe 1 du présent article sont traitées comme des établissements de paiement, étant entendu que les titres III et IV ne leur sont pas applicables, à l’exception des articles 41, 45 et 52, le cas échéant, et des articles 67, 69 et 95 à 98 ».
l es
services disposant d ’ un cadre juridique
| 389
50 000 euros et aucune autre exigence en fonds propres. Les personnes physiques ou morales qui n’exercent que le service d’informations sur les comptes seront, quant à elles, dispensées d’agrément et d’exigences prudentielles. Elles devront seulement se soumettre à une procédure d’enregistrement spécifique. Toutefois, les prestataires d’initiation de paiement comme les prestataires d’information sur les comptes devront être couverts par une assurance en responsabilité civile professionnelle ou une garantie équivalente couvrant les territoires où ils fournissent leurs services et dont le montant minimal devra être déterminé selon les critères définis par une orientation à venir de l’ABE. Enfin, ce nouveau statut permettra aux prestataires fournissant ces services de bénéficier de la reconnaissance mutuelle et d’exercer leurs activités en libre établissement ou en libre prestation de services dans tous les États membres de l’UE ou parties à l’EEE. De même, les prestataires d’information sur les comptes pourront accéder en ligne aux informations des comptes de paiement désignés et aux opérations de paiement associées. Ce droit d’accès est considéré par les acteurs traditionnels comme une source de faille potentielle dans leurs dispositifs de sécurité. Toutefois, les risques induits par ce droit d’accès doivent être appréciés en regard des mesures adoptées pour renforcer la sécurité et de l’aménagement de règles de responsabilité. 876. Le renforcement de la sécurité par la DSP 2 revêt deux aspects principaux : – l’authentification forte (v. partie I, chapitre III, section II) ; – la sécurité des communications (v. partie I, chapitre IV). La DSP 2 entend répondre à l’une des problématiques les plus aiguës du système : l’accès par les prestataires aux informations contenues au sein des comptes. En effet, quels accès les banques doivent-elles réserver à ces nouveaux acteurs sur leurs bases de données clients ? Quels doivent être les éventuels accords entre ces nouveaux prestataires et les banques ? Par le biais de l’article 67 « Règles relatives à l’accès aux données des comptes de paiement et à l’utilisation de ces données en cas de services d’information sur les comptes », la DSP 2 fixe plusieurs principes. Tout d’abord, il est affirmé qu’un utilisateur de services de paiement peut recourir à des services permettant l’accès aux données des comptes si tant est que celui-ci soit accessible en ligne. De plus, la DSP 2 impose plusieurs limites concernant l’accès par les prestataires de services d’information aux informations ainsi mises à leur disposition, mais également concernant leur utilisation. Ainsi, une fois recueilli le consentement explicite de l’utilisateur, ces prestataires ne peuvent accéder qu’aux comptes désignés et ne peuvent les utiliser à d’autres fins que la fourniture du service.
390 | B anque
et
a ssurance
digitales
Surtout, par cet article, la DSP 2 impose à chacun des acteurs des obligations réciproques. Le prestataire de services d’information sur les comptes doit veiller à la confidentialité des données de sécurité personnalisées du client, s’identifier auprès du PSP gestionnaire du compte et communiquer avec lui et l’utilisateur de manière sécurisée. De son côté, le PSP gestionnaire de compte se doit également de communiquer de manière sécurisée et de traiter les demandes de données sans discriminations « autres que fondées sur des raisons objectives ». L’accès au compte pour commencer une opération de paiement est certes concevable en soi. En revanche, le fait de s’y introduire pour en récupérer des informations, même sans mouvementer des fonds est déjà plus dangereux dès lors que les données de paiement l’emporteront sur le paiement lui-même. 877. L’article 94-2 double l’exigence de finalité du traitement de données à caractère personnel (lutte contre la fraude) par le recueil du consentement : « les prestataires de services de paiement n’ont accès à des données à caractère personnel nécessaires à l’exécution de leurs services de paiement, ne les traitent et ne les conservent qu’avec le consentement explicite de l’utilisateur de services de paiement ». Enfin, l’article spécifie clairement qu’il n’est pas nécessaire que les deux interlocuteurs entretiennent des relations contractuelles. Certains auteurs ont, cependant, souligné que ces mesures reposaient sur une forme de paradoxe car si la directive vise à assurer la sécurité des services de paiement, en donnant plus de choix aux consommateurs, elle augmente corrélativement les risques liés à la sécurité1018. § 3 – Quelles actions à venir ?
878. La Loi n° 2016-1691 du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique (JO du 10 décembre 2016) prévoit, à l’article 70, les dispositions permettant au Gouvernement, dans un délai de 18 mois, de transposer celles de la directive. Cependant, ces dispositions devraient être adoptées dans un délai plus court, la directive indiquant dans son article 115 que « les États membres adoptent et publient avant le 13 janvier 2018 les dispositions nécessaires pour se conformer à la présente directive (…) ». En tout état de cause, les dispositions transitoires de cet article permettent aux prestataires qui exerçaient déjà avant le 12 janvier 2016 de continuer leur activité pendant cette période conformément au cadre réglementaire en vigueur.
1018. S. Gobalakichenin : « Agrégateurs et initiateurs de paiement face au risque de fraude : les enjeux liés aux nouveaux services de paiement », Rev. Banque 2015, disponible sous le lien : http://www.revue-banque.fr/management-fonctions-supports/article/agregateursinitiateurs-paiement-face-au-risque-fr
l es
services disposant d ’ un cadre juridique
| 391
Pendant cette période et aux termes de l’article 98, l’« European Banking Authority » (EBA ou ABE en français) élabore des projets de normes techniques de réglementation à l’intention des prestataires de services de paiement. Parmi ces normes, l’article 67 lui confie l’élaboration des normes relatives à l’identification et à la communication entre les PSP et les prestataires de services d’information. L’ABE a soumis ces projets de normes techniques à la Commission européenne le 23 février 20171019. De fait, l’ABE affiche sur son site plusieurs documents sous le statut « Under development » et, notamment, le projet de « Regulatory Technical Standards on strong customer authentication and secure communication under PSD2 ». Ce projet de norme devait reposer sur une authentification forte du client, ceci afin de favoriser la confiance entre les différents acteurs. À noter que certains États prennent d’ores et déjà des mesures pour effacer la résistance des banques. Tel est le cas de l’Allemagne, où l’Autorité de la concurrence allemande (« Bundeskartellamt ») a considéré que les banques nationales allemandes ne respectaient pas le droit de la concurrence en interdisant, pour des prétendus motifs de sécurité, à leurs clients d’utiliser leurs numéros d’identification personnels et leurs numéros de transaction dans les systèmes de paiement non bancaires1020. De fait, les banques ont été longtemps réticentes à accepter la création de ces services, mais également à les proposer. En effet, les banques n’ont pas manqué d’être rapidement confrontées à des risques issus de ces pratiques, notamment en termes de relation-client et, corrélativement, de désintermédiation1021. Boursorama Banque a lancé officiellement son propre agrégateur de données1022, un outil permettant d’agréger les opérations en provenance de différents comptes bancaires et de gérer son budget. Aujourd’hui, les établissements bancaires, financiers ou assurantiels traditionnels se posent de manière prégnante la question de la prise de participation dans les agrégateurs de comptes de paiement et initiateurs d’opérations de paiement. Toutefois, cela ne doit pas se faire sans « due diligences » contractuelles, sécurité, données à caractère personnel fondées sur la DSP 2. 1019. V. EBA/RTS/2017/02. 1020. Bundeskartellamt press releases, 5 juill. 2016 : « Restriction of online payment services by German banking industry in violation of competition law », disponible sous le lien : http://www.bundeskartellamt.de/SharedDocs/Meldung/EN/Pressemitteilungen/2016/ 05_07_2016_Sofort%C3%BCberweisung.html?nn=3599398 1021. M. Giordanengo, « L’agrégation de comptes bouscule la banque de détail », Rev. Banque 2016, disponible sous le lien : http://www.revue-banque.fr/banque-detail-assurance/article/ agregation-comptes-bouscule-banque-detail 1022. S. Chaptal, « Boursorama lance officiellement son agrégateur de comptes », Rev. Banque 2011, n° 737, disponible sous le lien : http://www.revue-banque.fr/banque-detail-assurance/ breve/boursorama-lance-officiellement-son-agregateur-com
392 | B anque
et
a ssurance
digitales
SECTION III LES PLATEFORMES DE CROWDFUNDING 879. Depuis ces dernières années, la pratique du « crowdfunding », entendue comme « un système ouvert au public de participation financière à des projets proposés par des plates-formes Internet agissant en qualité d’intermédiaires »1023, s’est fortement développée. Mais derrière ce terme coexistent trois modes différents1024 de financement participatif : – le crowdgiving, qui consiste à contribuer à un projet via un don ; – le crowdlending, qui consiste à contribuer à un projet par l’octroi d’un prêt ; – le crowdfunding, qui consiste à contribuer à un projet sous forme de titres de financement. Éléments de contexte 880. Les pratiques de crowdfunding ne disposaient pas d’un régime juridique propre, ce qui rendait difficile leur appréhension juridique. Afin de pallier l’absence de règles précises et spécifiques, mais également pour clarifier la situation des acteurs du financement participatif, l’AMF et l’ACPR ont publié le 14 mai 2013 deux guides1025 : l’un à destination des plateformes et l’autre à destination des porteurs. Dès septembre 2013, elles ont lancé une consultation publique sur les réformes envisageables et ont formulé des propositions afin de faciliter le développement du financement participatif1026. Cette réforme était attendue car cette forme de financement soulevait de nombreuses questions1027. La première étape d’adoption de règles spécifiques au financement participatif renvoie à l’habilitation confiée au Gouvernement de favoriser le développement
1023. G. Leclair, « Crowdfunding : peut-on raisonnablement être associé avec… la foule ? », JCP éd. E & A 2013, 1709. 1024. J. M. Mouin, « Régulation du crowdfunding : de l’ombre à la lumière », Bull. Joly Bourse, 1er juill. 2014, n° 7-8, p. 356. 1025. AMF et ACPR, « Guide du financement participatif (crowdfunding) à destination des plateformes et des porteurs de projet », 13 mai 2013 : http://www.acp.banque-france.fr/ fileadmin/user_upload/acp/Communication/Communiques%20de%20presse/20130514guide-professionnel-crowdfunding.pdf 1026. AMF et ACPR, « Consultation publique sur les réformes envisageables pour accompagner les initiatives du financement participatif (crowdfunding), un nouveau cadre pour faciliter le développement du financement participatif », 30 sept. 2013 : http://www.amf-france.org/ Publications/Consultations-publiques/Archives.html?docId=workspace%3A%2F%2FSpaces Store%2F9ca0ca5a-e7b5-40df-8391-122027eb7cc0 1027. J.-M. Moulin, « La régulation du crowdfunding à la française », RDBF n° 4, oct. 2013 ; P. Storrer, « Crowdfunding, bitcoin : quelle régulation ? », D. 2014, p. 832.
l es
services disposant d ’ un cadre juridique
| 393
du financement participatif1028. Par la suite, une ordonnance1029 en date du 30 mai 2014 relative au financement participatif est entrée en vigueur le 1er octobre 20141030. Cette ordonnance a été suivie par un décret1031 en Conseil d’État du 16 septembre 2014 venant préciser diverses mesures. L’ordonnance a entendu distinguer selon que le financement participatif est effectué sous forme de titres, de prêts ou de dons. Ainsi, elle a créé deux statuts de plateformes, propres à chacun de ces financements1032 : d’une part, les plateformes de financement participatif sous forme de titres (§ 1) et, d’autre part, les plateformes de financement participatif sous forme de dons et de prêts (§ 2). Pour autant, les deux types de plateforme créés sont soumis à certaines dispositions communes (§ 3).
1028. Loi n° 2014-1 du 2 janvier 2014 habilitant le Gouvernement à simplifier et sécuriser la vie des entreprises, JO 3 janv. 2014, p. 50. L’article 1 dispose : « Dans les conditions prévues à l’article 38 de la Constitution, le Gouvernement est autorisé à prendre par ordonnances toute mesure relevant du domaine de la loi afin : (...) 3° De favoriser le développement du financement participatif dans des conditions sécurisées, notamment en : a) Créant un statut de conseiller en investissement propre au financement participatif ainsi que les conditions et obligations qui s’y attachent ; b) Adaptant au financement participatif le régime et le périmètre des offres au public de titres financiers par les sociétés qui en bénéficient et en modifiant le régime de ces sociétés en conséquence ; c) Étendant au financement participatif les exceptions à l’interdiction en matière d’opérations de crédit prévue à l’article L. 511-5 du Code monétaire et financier ». 1029. Ordonnance n° 2014-559 du 30 mai 2014 relative au financement participatif, JO 31 mai 2014 p. 9075 ; F.-J. Crédot et Th. Samin, « Ordonnance n° 2014-559 du 30 mai 2014 relative au financement participatif », RDBF n° 5, sept. 2014, comm. 163. 1030. « La réforme du crowdfunding en vigueur », RLDI 2014, n° 108. 1031. Décret n° 2014-1053 du 16 septembre 2014 relatif au financement participatif, JO 17 sept. 2014, p. 15228 ; « Financement participatif : publication du décret d’application », RLDA 2014, n° 97 ; Th. Bonneau, « Le financement participatif », JCP éd. E & A 2014, 1523 ; X. Delpech, « Publication du décret sur le financement participatif », Dalloz actualité, 24 sept. 2014. Ce décret est notamment venu préciser : « s’agissant du financement participatif sous forme de prêts, le décret fixe les plafonds applicables aux prêts et aux emprunts. Il fixe les conditions d’honorabilité et de capacité professionnelle requises pour l’exercice de l’activité, les règles de bonne conduite applicables aux intermédiaires en financement participatif ainsi que les mentions qui doivent figurer sur les contrats type mis à disposition des prêteurs et des emprunteurs. Il prévoit des obligations allégées pour les intermédiaires en financement participatif qui présentent des appels aux dons. Le décret prévoit les conditions d’immatriculation des conseillers en investissements participatifs et des intermédiaires en financement participatif sur le registre unique géré par l’organisme pour le registre des intermédiaires en assurance (ORIAS). Il précise les règles applicables aux établissements de paiement qui bénéficient d’un régime prudentiel allégé, en matière de capital et de montant d’opérations de paiement qu’ils peuvent effectuer. Enfin, le décret comporte les dispositions applicables aux outre-mer » (notice du décret). 1032. P.-H. Conac, « Le nouveau régime du financement participatif (crowdfunding) », Rev. soc. 2014, p. 461 ; N. Rontchevsky, « Instauration d’un cadre juridique du financement participatif », RTD com. 2014, p. 662 ; A.-V. Le Fur, « Enfin un cadre juridique pour le crowdfunding, une première étape dans la réglementation », D. 2014, p. 1831.
394 | B anque
et
a ssurance
digitales
§ 1 – Les plateformes de financement participatif sous forme de titres
881. Le financement participatif sous forme de titres est proposé par les conseillers en investissement participatif, dont le statut a été créé1033 et encadré par l’ordonnance du 30 mai 2014. A.
Le conseiller en investissement participatif
882. Le statut de conseiller en financement participatif est défini à l’article 547-1-I du Code monétaire et financier. Il s’agit de « personnes morales exerçant à titre de profession habituelle une activité de conseil en investissement (…) portant sur des offres de titre de capital et de titres de créances définies par décret » mené au moyen d’un site Internet remplissant les caractéristiques fixées par le règlement général de l’AMF1034.
1033. A.-C. Muller, « Création du statut de Conseiller en Investissements Participatifs (CIP) », RDBF 2014, comm. 149. 1034. L’article 217-1 du règlement général de l’AMF dispose : « En cas d’offres réalisées par l’intermédiaire d’un site internet dans les conditions prévues à l’article 325-32 et ne faisant pas l’objet d’un prospectus visé par l’AMF, l’émetteur doit fournir par l’intermédiaire de ce site préalablement à toute souscription : 1° Une description de son activité et de son projet, accompagnée notamment des derniers comptes existants, des éléments prévisionnels sur l’activité ainsi que d’un organigramme de l’équipe dirigeante et de l’actionnariat ; 2° Une information sur le niveau de participation auquel les dirigeants de l’émetteur se sont eux-mêmes engagés dans le cadre de l’offre proposée ; 3° Une information exhaustive sur tous les droits attachés aux titres offerts dans le cadre de l’offre proposée (droits de vote, droits financiers et droits à l’information) ; 4° Une information exhaustive sur tous les droits (droits de vote, droits financiers et droits à l’information) attachés aux titres et catégories de titres non offerts dans le cadre de l’offre proposée ainsi que les catégories de bénéficiaires de ces titres ; 5° Une description des dispositions figurant dans les statuts ou un pacte et organisant la liquidité des titres ou la mention explicite de l’absence de telles dispositions ; 6° Les conditions dans lesquelles les copies des inscriptions aux comptes individuels des investisseurs dans les livres de l’émetteur, matérialisant la propriété de leur investissement, seront délivrées ; 7° Une description des risques spécifiques à l’activité et au projet de l’émetteur ; 8° Une copie des rapports des organes sociaux à l’attention des assemblées générales du dernier exercice et de l’exercice en cours ainsi que, le cas échéant, une copie du (ou des) rapport(s) du (ou des) commissaire(s) aux comptes réalisé(s) au cours du dernier exercice et de l’exercice en cours. L’émetteur est responsable du caractère complet, exact et équilibré des informations fournies. Une instruction de l’AMF précise les modalités de mise en œuvre de cet article ». L’article 325-32 du règlement général de l’AMF énonce : « En application du I de l’article L. 547-1 du Code monétaire et financier, les caractéristiques que doit présenter le site internet sont les suivantes : – l’accès aux détails des offres est réservé aux investisseurs potentiels qui ont fourni leurs coordonnées et qui ont pris connaissance des risques et les ont expressément acceptés ; – la souscription aux offres suppose que les investisseurs potentiels aient préalablement fourni les informations requises au 6° de l’article L. 547-9 du Code monétaire et financier ; – le site doit proposer plusieurs projets ; – les projets ont été sélectionnés sur la base de critères et selon une procédure préalablement définis et publiés sur le site ».
l es
services disposant d ’ un cadre juridique
| 395
Le conseiller en financement participatif ne constitue, ni plus, ni moins, qu’une sous-catégorie de conseillers en investissement, lesquels exercent à titre de profession habituelle les activités de conseil en investissement sur des titres financiers, de conseil sur la fourniture de services d’investissement et, sous certaines conditions, de conseil sur la réalisation d’opérations sur des biens divers. 883. De cette façon, afin de bénéficier de la qualification de conseiller en investissement participatif (CIP), la plateforme doit donc : – être établie en France, – être une personne morale, – exercer à titre de profession habituelle : • une activité de conseil en investissement portant sur des offres de titre de capital et de titres de créances, étant précisé par le décret n° 2016-1453 du 28 octobre 2016 relatif aux titres et aux prêts proposés dans le cadre du financement participatif que l’activité de conseil en investissement participatif porte sur les offres d’actions ordinaires et d’obligations à taux fixe1035 ; • via un site Internet conformément au règlement général de l’AMF mais aussi à la loi pour la République numérique1036. 884. Ce dernier prévoit que : – l’accès aux détails des offres est réservé aux investisseurs potentiels qui ont fourni leurs coordonnées et qui ont pris connaissance des risques et les ont expressément acceptés ; – la souscription aux offres suppose que les investisseurs potentiels aient préalablement fourni les informations requises aux 6°1037 de l’article L. 547-9 du Code monétaire et financier (v. obligation d’information) ; – le site doit proposer plusieurs projets ; – les projets ont été sélectionnés sur la base de critères et selon une procédure préalablement définis et publiés sur le site.
1035. CMF, art. D. 547-1. 1036. V. notamment N. Martial-Braz, « République numérique », RDBF 2016, comm. 204, sur la possibilité d’appliquer le statut d’opérateur de plateforme en ligne prévu à l’article L. 111-7 du Code de la consommation (nouveau) aux « Intermédiaires en financement participatif » (n° 2). 1037. Les CIP doivent « s’enquérir auprès de leurs clients ou de leurs clients potentiels de leurs connaissances et de leur expérience en matière d’investissement ainsi que de leur situation financière et de leurs objectifs d’investissement, de manière à s’assurer que l’offre proposée est adaptée à leur situation. Lorsque les clients ou les clients potentiels ne communiquent pas les informations requises, l’offre ne peut pas être considérée comme adaptée ».
396 | B anque
et
a ssurance
digitales
L’activité des conseillers en investissement participatif est limitée à certaines prestations. Ainsi, ils ne peuvent fournir que les prestations suivantes : – des conseils en matière de : • structure de capital ; • de stratégie industrielle et de questions connexes ; • de fusions et de rachat d’entreprises ; – prestation de prise en charge des bulletins de souscription dans les conditions du règlement général de l’AMF ; – donner des consultations juridiques à titre de profession habituelle et rédiger des actes sous seing privé pour autrui uniquement dans les conditions et limites des articles 54, 55 et 60 de la loi du 31 décembre 19711038 ; – des services d’investissement sans être soumis à la procédure d’agrément. Cependant, ils ne pourront prétendre au bénéfice des dispositions des articles L. 532-16 à L. 532-27 ; – une activité d’intermédiation en financement participatif dès lors qu’ils ne fournissent pas de services de paiement. Les CIP sont autorisés à se livrer ou à recourir à des activités de démarchage bancaire ou financier en vertu de l’article L. 341-3-6° du Code monétaire et financier. Dans l’exercice de leur activité, les conseillers en investissement participatif doivent respecter un certain nombre d’obligations. Toutefois, il est à noter que les Prestataires de services en investissement (PSI) ayant reçu un agrément pour fournir un service de conseil en investissement au sens du 5° de l’article D. 321-1 du Code monétaire et financier1039, ne sont pas soumis à ces obligations. B.
Le régime juridique des conseillers en financement participatif
885. Les conseillers en financement participatif sont tenus à un certain nombre d’obligations (1) sous le contrôle de l’AMF (2).
1038. Loi n° 71-1130 du 31 décembre 1971 portant réforme de certaines professions judiciaires et juridiques. 1039. CMF, art. D. 321-1 : « 5. Constitue le service de conseil en investissement le fait de fournir des recommandations personnalisées à un tiers, soit à sa demande, soit à l’initiative de l’entreprise qui fournit le conseil, concernant une ou plusieurs transactions portant sur des instruments financiers. Le règlement général de l’Autorité des marchés financiers précise la notion de recommandation personnalisée au sens de la présente disposition ».
l es 1.
Obligations
a.
Formalités
services disposant d ’ un cadre juridique
| 397
886. Avant toute chose, les conseillers en investissement participatif doivent être immatriculés au registre unique des intermédiaires (ORIAS) et doivent adhérer à une association chargée du suivi de ses membres dans les conditions fixées par le règlement général de l’AMF. Par ailleurs, ils doivent pouvoir justifier à tout moment de l’existence d’un contrat d’assurance les couvrant, en cas de manquement à leurs obligations professionnelles, contre les conséquences pécuniaires de leur responsabilité civile professionnelle. Toutefois, les CIP sont tenus par cette obligation depuis le 1er juillet 20161040. Au surplus, les dirigeants des plateformes de conseil en investissement participatif devront répondre aux exigences d’honorabilité et de compétences énoncées à l’article D. 547-2 et D. 547-3 du Code monétaire et financier. b.
Interdictions
887. Il est précisé que les conseillers en investissement participatif ne peuvent recevoir que les fonds destinés à les rémunérer, et donc en aucun cas recevoir les titres financiers de leurs clients. De ce fait, ils ne peuvent pas exercer l’activité d’établissement de paiement consistant à recevoir et transmettre des fonds. c.
Obligations
888. En outre, afin de protéger leurs clients, les conseillers en investissement participatif sont soumis à des règles de bonne conduite (précisées en particulier dans le règlement général de l’AMF). Ainsi, ils sont tenus à des obligations de loyauté, de mise en garde et d’information en vertu de l’article L. 547-9 du Code monétaire et financier. Ces obligations ont vocation à leur permettre de prévenir leurs clients des risques auxquels ils s’exposent et de s’assurer que l’offre proposée est adaptée. Ce faisant, les conseillers en financement participatif doivent : – s’informer des connaissances et expériences en matière d’investissement, de la situation financière ainsi que des objectifs d’investissement de leurs clients ; – informer les clients de la nature des prestations fournies aux émetteurs de titres, des frais qui s’y rapportent, de la nature juridique et de l’étendue des relations entretenues avec l’émetteur.
1040. Article 37 de l’ordonnance du 30 mai 2014 relative au financement participatif.
398 | B anque
et
a ssurance
digitales
Si la société dans laquelle le client souhaite investir (directement ou indirectement) a pour objet de détenir et de gérer des participations dans une autre société, le conseiller en financement participatif doit : – s’assurer que ces sociétés respectent les prescriptions de l’article L. 227-2-1 du Code de commerce, – que leurs clients ne sont pas lésés, – qu’ils disposent de toutes les informations nécessaires à l’appréciation de leur investissement, – le cas échéant, qu’ils sont destinataires du rapport du commissaire aux comptes aux associés. 2.
Le contrôle des conseillers en investissement participatif
889. L’AMF veille au respect des obligations légales, réglementaires ou professionnelles des conseillers en investissement participatif 1041. L’AMF veille à la régularité des « offres ne donnant pas lieu à la publication du document d’information mentionné au premier alinéa du I de l’article L. 412-11042 et réalisée par l’intermédiaire (…) d’un conseiller en investissements participatifs au moyen de son site Internet ». Étant soumis au contrôle de l’AMF, les CIP : – doivent une contribution dont le montant est supérieur à 400 euros mais inférieur ou égal à 1 000 euros ; – peuvent faire l’objet de sanctions de la part de la Commission des sanctions de l’AMF. Quelle que soit la nature des faits reprochés les professionnels contrôlés par l’AMF encourent des sanctions disciplinaires (l’avertissement, le blâme, l’interdiction à titre temporaire ou définitif de l’exercice de toute ou partie des services fournis) et des sanctions pécuniaires. Ces dernières ne peuvent excéder cent millions d’euros ou le montant x 10 des profits éventuellement réalisés. Les sommes sont
1041. Article 2 de l’ordonnance du 30 mai 2014 et article L. 561-36-I-2° du Code monétaire et financier. 1042. « Sans préjudice des autres dispositions qui leur sont applicables, les personnes ou les entités qui procèdent à une offre au public de titres financiers ou à une admission de titres financiers aux négociations sur un marché réglementé doivent, au préalable, publier et tenir à la disposition de toute personne intéressée un document destiné à l’information du public, portant sur le contenu et les modalités de l’opération qui en fait l’objet, ainsi que sur l’organisation, la situation financière et l’évolution de l’activité de l’émetteur et des garants éventuels des titres financiers qui font l’objet de l’opération, dans des conditions prévues par le règlement général de l’Autorité des marchés financiers. Ce document est rédigé en français ou, dans les cas définis par le même règlement général, dans une autre langue usuelle en matière financière. Il comprend un résumé et doit être accompagné, le cas échéant, d’une traduction du résumé en français, sauf si l’opération est une admission aux négociations sur un marché réglementé sans offre au public au sens de l’article L. 411-1 ».
l es
services disposant d ’ un cadre juridique
| 399
versées au Trésor public ou au Fonds de garantie auquel est affilié le professionnel condamné. Néanmoins, l’AMF peut déléguer le contrôle de l’activité des conseillers en financement participatif aux associations chargées de leur suivi (auxquelles les CIP ont l’obligation d’adhérer)1043. Les conseillers en investissement participatif ne sont cependant pas les seuls acteurs du financement participatif. De fait, un autre statut de plateforme de financement participatif a été créé conjointement : celui des intermédiaires en financement participatifs. § 2 – Les plateformes de financement participatif sous forme de dons ou prêts
890. Les plateformes proposant un financement participatif sous forme de prêts ou dons vont recevoir la qualification d’intermédiaire en financement participatif lequel sera soumis à des obligations dans l’exercice de son activité. A.
L’intermédiaire en financement participatif
891. Un intermédiaire en financement participatif (IFP) est : – une personne morale ; – exerçant à titre de profession habituelle ; – une activité d’intermédiation en financement participatif, qui consiste en la mise en relation, au moyen d’un site Internet, des porteurs d’un projet déterminé et des personnes finançant ce projet1044. En principe, les intermédiaires en financement participatif ne peuvent pas exercer d’autres activités que celle d’intermédiation en financement participatif. Il leur est ainsi prohibé d’exercer les fonctions d’Intermédiaire en opération de banque et service de paiement (IOBSP) ainsi que celle de Conseillers en investissement (CIF). Cependant, à titre d’exception, ils peuvent l’exercer en plus de celles qu’ils exercent en qualité de : – établissements de crédit, et quand leur activité d’intermédiation en financement participatif est exercée à titre accessoire ; elle est également cumulable avec celle d’intermédiaire en assurance ; – société de financement ;
1043. CMF, art. L. 621-9-II-10 bis. 1044. CMF, art. L. 548-1.
400 | B anque
et
a ssurance
digitales
– établissement de paiement. Les IFP peuvent donc, en plus, fournir des services de paiement et, notamment, collecter les fonds levés afin de les reverser ensuite au porteur de projet. Cependant, le cas échéant, un agrément par l’ACPR en qualité d’établissement de paiement ou un enregistrement en tant qu’agent prestataire de services de paiement sera nécessaire ; – agent de prestataire de services de paiement ; – établissement de monnaie électronique ; – entreprise d’investissement ; – conseiller en investissement participatif (pour rappel, dès lors que les IFP ne fournissent pas des services de paiement car les CIP ne peuvent pas recevoir d’autres fonds que ceux destinés à les rémunérer). Le projet en recherche de financement est entendu comme consistant en « un achat ou un ensemble d’achat de biens ou prestations de services concourant à la réalisation d’une opération prédéfinies quant à son objet, son montant et son calendrier » (CMF, art. L. 548-1). Le projet consistant en un achat, toute autre opération est exclue du financement participatif. Ainsi, par exemple, la recherche ne pourra pas lever de fond directement via ce type de plateforme (en revanche, on pourrait, entre autres, imaginer qu’elle puisse recourir à ce type de financement pour récolter de l’argent afin de financer l’achat de matériel nécessaire à la recherche). B.
Les modes de financement : prêts et/ou dons
892. Le financement d’un projet via une plateforme d’intermédiation en financement participatif peut être de deux natures : un don ou un prêt. Le prêt consenti en espèce par le prêteur est, a priori, un prêt de consommation dans la mesure où l’argent, prêté par le prêteur pour le financement du projet du porteur, se consomme dès qu’il est utilisé. De fait, le prêt de consommation (prêt) est défini comme « le contrat par lequel une des parties livre à une autre une certaine quantité de choses qui se consomment par l’usage, à la charge par cette dernière de lui en rendre autant de même espèce et qualité »1045. Par la suite, le prêt a la faculté d’être ou non à intérêts.
1045. C. civ., art. 1892.
l es 1.
services disposant d ’ un cadre juridique
| 401
Nature de la participation en fonction de la situation
893. Tout d’abord, il faut noter la création d’une nouvelle dérogation au monopole bancaire1046 permettant aux personnes physiques agissant à des fins non professionnelles ou commerciales de consentir des prêts rémunérés dans le cadre du financement participatif. De fait, en vertu de l’article L. 511-5 du Code monétaire et financier, les opérations de crédit à titre habituel sont l’apanage des établissements de crédit et des sociétés de financement. Si les utilisateurs ont toujours le choix entre la possibilité de faire un don ou un prêt, l’ordonnance a, dans certains cas, conditionné et a fortiori restreint la nature du financement possible en fonction de la finalité du projet du porteur : – Si les personnes (physiques et morales) agissent à des fins professionnelles, le projet pourra être financé par des : • crédits1047 (prêt à intérêt) ; • prêts ; • et dons. – Si les personnes physiques souhaitent financer une formation initiale ou continue, le projet pourra être financé par des : • crédits ; • prêts sans intérêts sous réserve que les prêteurs n’agissent pas dans un cadre professionnel ou commercial ; • et des dons. – Si les personnes physiques n’agissent pas pour des besoins professionnels : • prêt sans intérêts, sous réserve que les prêteurs n’agissent pas dans un cadre professionnel ou commercial ; • dons. Il faut ici constater que le prêt ne peut, dans cette hypothèse, a priori, être octroyé que dépourvu d’intérêts.
1046. CMF, art. 511-6-7° ; v. aussi, « Les incidences sur le monopole bancaire et le monopole des prestataires de services de paiement de l’ordonnance sur le financement participatif », Gaz. Pal., 18 sept. 2014, n° 261, p. 5. 1047. Ceux visés par l’article L. 511-6 7° du Code monétaire et financier : 7. L’interdiction des opérations de crédit ne s’applique pas « Aux personnes physiques qui, agissant à des fins non professionnelles ou commerciales, consentent des prêts dans le cadre du financement participatif de projets déterminés, conformément aux dispositions de l’article L. 548-1 et dans la limite d’un prêt par projet. Le taux conventionnel applicable à ces crédits est de nature fixe et ne dépasse pas le taux mentionné à l’article L. 313-3 du Code de la consommation. Un décret fixe les principales caractéristiques de ces prêts, notamment leur durée maximale ».
402 | B anque
et
a ssurance
digitales
Bien que certaines plateformes proposent des financements uniquement par don, elles peuvent choisir le statut d’intermédiaire en financement participatif 1048 et seront alors soumises aux mêmes obligations que ce dernier. Résumé des modes de financement participatif des projets : Prêts avec intérêt
Prêts sans intérêt
Dons
Titres financiers
Personnes morales
X
X
X
X
Personnes physiques agissant à des fins professionnelles
X
X
X
Sans objet
Personnes physiques souhaitant financer une formation initiale ou continue
X
X*
X
Sans objet
Non
X*
X
Sans objet
Porteurs de projet
Autres personnes physiques n’agissant pas pour des besoins professionnels
* sous réserve que les prêteurs n’agissent pas dans un cadre professionnel ou commercial. Source : Document AMF, ACPR : S’informer sur le nouveau cadre applicable au financement participatif, 2014.
2.
Régime du prêt et du crédit
894. S’agissant du financement de projet par un prêt, il a été précisé suite au décret n° 2016-1453 du 28 octobre 2016 relatif aux titres et aux prêts proposés dans le cadre du financement participatif que : – le prêt sans intérêt (crédit) ne peut excéder 5 000 euros par prêteur et par projet ; – le crédit ne peut excéder 2 000 euros par prêteur et par projet et ne peut excéder 7 ans ; – le porteur de projet ne peut emprunter plus de 2,5 millions d’euros. Il appartient à l’IFP de s’assurer, en recueillant tout élément auprès du porteur de projet, que ce dernier respecte bien ces exigences. C.
Le régime juridique des intermédiaires en financement participatif
895. Dans l’exercice de leur activité d’intermédiation, les intermédiaires en financement participatif sont tenus à des obligations (1) et, de ce fait, soumis à une surveillance des autorités de contrôle en la matière. Cependant, ils peuvent être également amenés à travailler en collaboration avec elles. 1.
Les obligations encadrant l’activité d’IFP
896. Afin d’exercer leur activité, les intermédiaires en financement participatif doivent accomplir certaines formalités, mais également respecter des obligations. 1048. CMF, art. L. 548-2-II.
l es a.
services disposant d ’ un cadre juridique
| 403
Formalités
Les intermédiaires en financement participatif sont soumis à un grand nombre d’obligations énoncées par l’ordonnance. À l’instar des CIP, il incombe aux intermédiaires en financement participatif : – de s’immatriculer au registre ORIAS, afin de bénéficier du label ; – que ses dirigeants ou gérants remplissent des conditions d’honorabilité et de compétences1049 ; – de pouvoir justifier à tout moment d’un contrat d’assurance les couvrants contre les conséquences pécuniaires de sa responsabilité civile professionnelle en cas de manquement aux obligations de l’article L. 548-6 du Code monétaire et financier. b.
Obligations
Les obligations des intermédiaires en financement participatif sont prévues à l’article L. 548-6 du Code monétaire et financier. Il s’agit de règles de bonne conduite et d’organisation qui consistent principalement en des obligations d’information et de transparence. Ainsi, ils sont tenus de : – s’identifier auprès du public. Pour ce faire, ils indiquent : leur nom et leur dénomination sociale, l’adresse de leur siège social, leur adresse de courrier électronique, leur numéro d’immatriculation au registre et, le cas échéant, leur agrément en tant qu’établissement de paiement ; – procurer les conditions de sélection des porteurs et de leurs projets ; – fournir leurs conditions de rémunération et les frais exigés ; – fournir les informations sur les caractéristiques du projet et du prêt (montant total, durée, modalités et conditions de remboursement, possibilité ou non de se rétracter) ; – mettre en garde contre les risques encourus : • par le prêteur : la défaillance du porteur (à ce titre l’IFP doit informer sur les taux de défaillance enregistrés sur les projets déjà présentés sur la plateforme) ; • par le porteur : un endettement excessif et les conséquences d’un défaut de paiement ; – mettre à disposition un outil permettant au prêteur d’évaluer ses capacités de financement. Il est précisé que ces capacités seront évaluées en tenant compte du montant déclaré de ses ressources annuelles, de ses charges annuelles et de son épargne ; 1049. CMF, art. R. 548-2 et R. 548-3.
404 | B anque
et
a ssurance
digitales
– fournir un contrat-type de financement dont les mentions obligatoires sont précisées à l’article R. 548-6 du Code monétaire et financier ; – fournir un document récapitulatif au porteur de projet : montant total, taux conventionnel, durée du prêt, modalité de remboursement et coût total ; – définir et organiser les modalités de suivi des opérations de financement et de leur gestion jusqu’à leur terme, même dans l’hypothèse où il cesserait son activité. 2.
Relations avec les autorités de contrôle
897. D’une part, les intermédiaires en financement participatif entretiennent des relations avec la Banque de France. En effet, il est prévu que : – la Banque de France est habilitée à se faire communiquer par les IFP tous documents et renseignements nécessaires pour l’exercice de ses missions fondamentales1050 ; – dans l’autre sens, la Banque de France peut communiquer tout ou partie des renseignements qu’elle détient sur la situation financière d’entreprises aux IFP1051. D’autre part, les IFP peuvent être soumis au contrôle de l’Autorité de contrôle prudentiel et de résolution, auquel cas leur seront applicables « les dispositions relatives au traitement des établissements de crédit, des sociétés de financement, des établissements de monnaie électronique, des établissements de paiement et des entreprises d’investissement en difficultés »1052. Dans le cadre du contrôle par l’ACPR, et compte tenu des modalités particulières de contrôle dont elles font l’objet, une contribution forfaitaire comprise entre 100 et 300 euros est due sauf si l’activité d’intermédiation en financement participatif est exercée par les établissements suivants : établissement de crédit, établissement de paiement, établissement de monnaie électronique ou sociétés de financement. § 3 – Dispositions communes
898. Tout d’abord, les IFP et les CIP sont assujettis aux obligations de lutte contre le blanchiment des capitaux et le financement du terrorisme1053. Ensuite, ils sont susceptibles de faire l’objet de sanctions pénales. Ainsi, l’exercice par une personne physique de la profession de CIP ou d’IFP en violation des 1050. 1051. 1052. 1053.
CMF, art. L. 141-6. CMF, art. L. 144-1-II. CMF, art. L. 613-24 à L. 613-31-19. Cf. partie I, chapitre III, section I.
l es
services disposant d ’ un cadre juridique
| 405
conditions d’exercice est sanctionné par le Code monétaire et financier (par renvoi au Code pénal) de 5 ans d’emprisonnement et 375 000 euros d’amende. Des peines complémentaires sont également susceptibles d’être prononcées : – interdiction des droits civiques, civils et de famille ne pouvant excéder 5 ans (droit de vote, éligibilité – lesquels emportent l’interdiction ou l’incapacité d’exercer une fonction publique – exercice d’une fonction juridictionnelle ou d’expert devant une juridiction)1054 ; – interdiction pour une durée maximum de 5 ans d’exercer une fonction publique ou d’exercer une activité professionnelle ou sociale dans l’exercice de laquelle ou à l’occasion de laquelle l’infraction a été commise1055 ; – affichage ou diffusion de la décision1056. La plateforme, personne morale, peut également, le cas échéant, être déclarée pénalement responsable de cette violation dans l’hypothèse où l’infraction a été commise pour son compte, par ses organes ou représentants. Alors, elle encourt, d’une part, une amende de 1 875 000 euros1057 et, d’autre part, les peines prévues par l’article 131-39 du Code pénal. Sont ainsi envisagés par cet article : la dissolution, l’interdiction, à titre définitif ou pour une durée de cinq ans au plus, d’exercer directement ou indirectement une ou plusieurs activités professionnelles ou sociales, le placement sous surveillance judiciaire, fermeture définitive ou pour une durée de cinq ans au plus des établissements, l’affichage de la décision. Dans le souci de faciliter la compréhension et donc la mise en œuvre de ce nouveau régime juridique des plateformes de financement participatif, l’AMF et l’ACPR ont publié le 30 septembre 2014 un document1058 d’information à destination des porteurs et des plateformes et le 1er octobre 2014 leur position sur les placements non garantis et le financement participatif1059.
1054. 1055. 1056. 1057. 1058.
Modalités prévues à l’article 131-26 du Code pénal. Modalités prévues à l’article 131-27 du Code pénal. Modalités prévues à l’article 131-35 du Code pénal. En vertu de l’article 131-38 du Code pénal, 5 fois 375 000 euros. ACPR et AMF, « S’informer sur le nouveau cadre applicable au financement participatif (crowdfunding) », 30 sept. 2014. 1059. « L’ACPR et l’AMF précisent le cadre réglementaire du financement participatif (crowdfunding) », JCP éd E. et A. n° 41, 9 oct. 2014, act. 742 ; AMF, Communiqué de presse, 25 sept. 2014.
CHAPITRE II Les services en cours d’encadrement 899. D’autres services – souvent dans un premier temps décriés par les organismes bancaires, financiers ou d’assurances – sont en cours d’encadrement comme : – les monnaies virtuelles (section I) ; – la technologie blockchain (section II) ; – les API (section III) ; – ou les « Réseaux mobiles virtuels » (section IV).
SECTION I LES MONNAIES VIRTUELLES1060 900. Le 11 avril 2016, la Banque centrale chinoise indiquait ne pas interdire Bitcoin (au contraire de la Russie, ou de la Banque australienne). A contrario, Amazon annonçait 3 jours plus tard refuser les bitcoins1061 sur ses services. En août 2016, la plateforme d’échange de bitcoins Bitfinex avait annoncé le vol de quelque 65 millions de dollars détenus par ses utilisateurs, soit 119 756 bitcoins1062. Au mois de février 2014, la plateforme Internet MtGox, qui permettait d’échanger des euros contre des bitcoins, a été victime d’une cyberattaque massive : plus de 750 000 bitcoins représentant une valeur de plusieurs centaines de millions d’euros ont été dérobés à quelque 125 000 utilisateurs à travers le monde. Cette attaque a eu pour conséquence la fermeture de MtGox1063. Ainsi, dans les faits, au-delà de l’opposition entre partisans et détracteurs, le bitcoin (mais aussi Litecoin, Namecoin, Ripple, Dogecoin et d’autres crypto1060. P. Storrer, Le droit de la monnaie électronique (préf. J.-J. Daigre et M. Roussille), RB Édition, 2014. 1061. Le bitcoin est l’unité de compte utilisée par ce système de paiement tandis que Bitcoin désigne un système de paiement utilisant l’Internet. 1062. J.-M. de Jaeger, « Des pirates volent 72 millions de dollars à une plateforme de Bitcoin », Le Figaro, 3 août 2016. 1063. « Le Bitcoin évite le krach malgré la fermeture de MtGox », Numerama, 25 févr. 2014 : http:// www.numerama.com/magazine/28568-le-bitcoin-evite-le-krach-malgre-la-fermeture-demtgox.html
408 | B anque
et
a ssurance
digitales
monnaies ou monnaies virtuelles) existe et le droit ne peut faire l’économie d’une analyse pour en déterminer les caractéristiques (§ 1), mais aussi les risques qui y sont associés (§ 2). § 1 – Les caractéristiques des monnaies virtuelles
901. Les monnaies virtuelles (et la monnaie emblématique qu’est le bitcoin) sont souvent considérées comme des objets financiers dont la qualification juridique est incertaine. Si les définitions sont nombreuses et par moments convergentes (A), l’essai de qualification juridique reste non concluant pour l’heure (B). A.
Les définitions du bitcoin
902. Plusieurs entités en charge de la régulation du secteur financier ont donné une définition du bitcoin : – pour la Commission européenne : confrontée aux attaques terroristes en 2015, la Commission a publié un plan d’action pour renforcer la lutte contre le financement du terrorisme le 2 février 20161064. Pour ce faire, elle a proposé de modifier certains aspects de la directive antiblanchiment en luttant contre l’anonymat associé à l’utilisation des monnaies virtuelles. Pour la première fois, la Commission intègre une définition des monnaies virtuelles : « a digital representation of value that is neither issued by a central bank or a public authority, nor necessarily attached to a fiat currency, but is accepted by natural or legal persons as a means of payment and can be transferred, stored or traded electronically »1065 (proposition article 3.18) reprenant la définition de l’Autorité bancaire européenne (ABE) (voir cette définition en français infra) ; – pour la Banque de France, le bitcoin est avant tout considéré comme une monnaie alternative à la monnaie légale qui se définit comme « une unité de compte virtuelle stockée sur un support électronique permettant à une communauté d’utilisateurs d’échanger entre eux des biens et des services sans avoir à recourir à la monnaie légale »1066 ; – pour l’Autorité bancaire européenne (ABE), il s’agit d’une monnaie virtuelle définie comme « une représentation numérique d’une valeur qui n’est ni délivrée par une banque centrale, une autorité publique ni nécessairement attachée à une monnaie conventionnelle, mais qui est utilisée par une personne physique ou morale comme un 1064. V. notamment : http://ec.europa.eu/justice/criminal/files/aml-factsheet_en.pdf 1065. Proposal for a Directive of the European Parliament and of the Council amending Directive n° 2015/849/EU on the prevention of the use of the financial system for the purposes of money laundering or terrorist financing and amending Directive n° 2009/101/EC, COM (2016) 450 final, 2016/0208 (COD). 1066. « Les dangers liés au développement des monnaies virtuelles : l’exemple du Bitcoin », Banque de France, Focus, n° 10, déc. 2013, disponible sur le site : https://www.banque-france.fr
l es
services en cours d ’ encadrement
| 409
moyen d’échange et qui peut être transférée, conservée ou échangée électroniquement »1067 ; – pour l’AMF, reprenant la Banque centrale européenne, il constitue une « monnaie non régulée et numérique, qui est émise et généralement contrôlée par ses développeurs et qui est utilisée et acceptée par les membres de communautés virtuelles spécifiques »1068 ; – pour la « Commodity Futures Trading Commission » (CFTC) : il constitue une matière première (« commodity ») au sens du « Commodity Exchange Act » au même titre que l’or, l’argent, le blé ou le pétrole. Elle a, par conséquent, sanctionné les exploitants de la plateforme Coinflip et ses dirigeants pour non-enregistrement en qualité de plateforme de négociation de swaps1069. Pour les techniciens, le bitcoin est une crypto-monnaie, créée en 2009, du fait de son architecture. Elle fonctionne dans un réseau de pair à pair, à l’aide d’un logiciel et d’un protocole open source, sans aucune autorité de régulation et repose sur un système de cryptographie asymétrique (à clef publique et à clef privée). « Le réseau de la plus populaire des crypto-monnaies, le bitcoin inclut deux types de nœuds (node). En premier lieu, les nœuds intégraux (full node) sauvegardent l’intégralité des transactions et sont au nombre d’un peu moins de dix mille. Ils ont la mémoire de la totalité de la block chain. En second lieu, les nœuds de paiement simplifié, NPS (Simplified Payment Verification Node) n’incluent que l’en-tête des blocs qui constituent la quasi-totalité des nœuds du réseau et prennent la forme le plus souvent de portefeuille électronique. La block chain n’est que l’enchaînement de blocs d’information qui ont la forme suivante : Block #387330 Nombre de transactions
1485
Nombre total de bitcoins transférés
38.222,06451731
Nombre de bitcoins transférés à des personnes autres que l’expéditeur
4.153,76036301
Hash du bloc précédent (#387329)
00000000000000000595cb35c10cb47efe32 caba1773f0955800405d4c6f79d6
Merkle Root
b5058af01451be965f5a5b923118ade17e4b1 eb88e90bf0a10fc7b2db42dbc6b
1067. EBA « Opinion on “virtual currencies” », 4 juill. 2014 : http://www.eba.europa.eu 1068. AMF, « Cartographie 2014 des risques et tendances sur les marchés financiers et pour l’épargne », n° 15, juill. 2014, disponible sur le site : www.amf-france.org 1069. Commodity Futures Trading Commission, Press release PR7231-15, 17 sept. 2015.
410 | B anque
et
a ssurance
digitales
Frais totaux de transaction
0.2716368 BTC
Numéro de bloc
38733
Cible à atteindre
79,102,380,900.23
Clé de cible (nonce)
3122803744
Récompense de minage
25 BTC
Liste des transactions
[liste non reproduite]
Un SPV ne stocke qu’un sommaire du bloc (header) qui n’est formé qu’une partie des informations se trouvant dans le bloc. Il s’agit de la version du protocole bitcoin utilisée, le hash du bloc précédent, la racine Merkle (Merkle Root), l’heure à laquelle le bloc a été miné, la cible à atteindre et la clé de cible (nonce). Ce sont les nœuds du réseau qui traitent chacune des transactions »1070. En outre, les questions relatives à l’utilisation des blockchains seront traitées dans la section II du présent chapitre. B.
La difficulté de qualifier juridiquement les monnaies virtuelles
903. Si le bitcoin est une monnaie virtuelle, on ne peut cependant pas le qualifier de monnaie électronique au sens de l’article L. 315-1 du Code monétaire et financier (issu de la transposition de l’article 2.2 de la directive n° 2009/110/ CE), qui la définit comme « une valeur monétaire qui est stockée sous une forme électronique, y compris magnétique, représentant une créance sur l’émetteur, qui est émise contre la remise de fonds aux fins d’opérations de paiement définies à l’article L. 133-3 et qui est acceptée par une personne physique ou morale autre que l’émetteur de monnaie électronique ». De prime abord, le bitcoin ne peut être qualifié de monnaie électronique ou de moyen de paiement au sens de la directive « Services de paiement » (v. partie II, chapitre II, section III) dans la mesure où il n’est pas émis contre remise de fonds, et ce même si certaines exigences doivent trouver à s’appliquer1071. 1070. Pour une description détaillée et compréhensible des aspects techniques d’une transaction via bitcoin : M. Bali, « Les crypto-monnaies, une application des blockchain technologies à la monnaie », RDBF 2016, étude 8. 1071. Notons à ce titre que l’ABE, dans son « Opinion on the EU Commission’s proposal to bring Virtual Currencies into the Scope of Directive 2015/849/EU » (EBA-Op-2016-07) du 11 août 2016, a indiqué : « 17. The EBA’s views are based on its previous assessment, as conveyed in the EBA Opinion in July 2014, that suggests that, while some of the provisions of the PSD2 could potentially be suitable to address specific risks arising from virtual currencies, VCs incur additional, technology-specific risks that makes them distinct from conventional fiat currencies that are in the scope of PSD2. So-called ’51 % attacks’, for example, is one such risk, which describes a scenario in which a pool of miners attains 51 % of the computational power with which units of a particular VC scheme are mined, which in turn allows that pool to block transactions.
l es
services en cours d ’ encadrement
| 411
Pour l’heure, une certaine incohérence perdure entre les positions de la Banque de France ou de l’ABE et d’autres autorités en charge de la régulation du secteur bancaire en France ou en Europe. Ainsi, la position de l’ACPR relative aux opérations sur bitcoins en France1072 met en exergue le fait que : « dans le cadre d’une opération d’achat/vente de bitcoins contre une monnaie ayant cours légal, l’activité d’intermédiation consistant à recevoir des fonds de l’acheteur de Bitcoins pour les transférer au vendeur de Bitcoins relève de la fourniture de services de paiement. Exercer cette activité à titre habituel en France implique de disposer d’un agrément de prestataire de services de paiement (établissement de crédit, établissement de monnaie électronique ou établissement de paiement) délivré par l’ACPR ». Ainsi, les plateformes d’intermédiation1073 permettant la conversion de monnaies virtuelles doivent disposer de cet agrément1074, induisant – indirectement en tous les cas – une qualification de monnaie. Cette position semble renforcée par les amendements proposés par la directive anti-blanchiment : « 1. Member States shall ensure that providers of exchanging services between virtual currencies and fiat currencies, custodian wallet providers, currency exchange and cheque cashing offices, and trust or company service providers are licensed or registered, and that providers of gambling services are regulated » (projet d’article 47). L’objectif de cette mesure est avant tout de réduire, voire d’éliminer tout risque d’anonymat lié à une transaction donnée. Contrairement à la monnaie électronique, le bitcoin n’est pas assorti d’une garantie légale de remboursement à tout moment et à la valeur nominale. Ainsi, il ne peut être considéré comme une monnaie légale et peut, à tout le moins
The risk of a 51 % attack is technologically not hypothetical: in the specific case of bitcoin, there have been occasions where mining pools have temporarily attained 51 % of the computational power, although this has not so far resulted in attacks occurring. Further legal and business model analysis would therefore be required before bringing VC schemes, or some of the entities, into the scope of PSD2. 19. PSD2 is therefore currently not suitable for mitigating all the risks arising from VC transactions. Instead, a separate regulatory regime, or more far-reaching amendments to PSD2, would be required, the elements of which the EBA had proposed in its Opinion of July 2014. Such a regulatory regime, or such amendments to PSD2, would require several years to develop, consult, finalise and transpose, and is therefore not an option, given the short time frame within which the Commission was asked to develop its proposals. It may therefore be advisable for the Commission and co-legislators to initiate as soon as possible the comprehensive analysis that is needed for assessing which, if any, regulatory regime would be most suitable for VC transactions ». 1072. Position 2014 P-01, 29 janv. 2014, disponible sur le site : https://acpr.banque-france.fr 1073. Il conviendra de déterminer là encore si le statut d’opérateur de plateforme défini par la loi pour la République numérique s’applique. V. N. Martial Braz, « République numérique », RDBF 2016, comm. 204. 1074. 338 bitcoins ont été saisis en France en juillet 2014 sur le site d’une plateforme d’échange non agréée par l’ACPR. Pour plus de détails, v. http://www.contrepoints.org/2014/07/12/171972les-autorites-francaises-ont-saisi-200-000-euros-en-bitcoin
412 | B anque
et
a ssurance
digitales
pour l’instant, être refusé en paiement sans contrevenir à l’article R. 642-3 du Code pénal1075. L’AMF les considère comme « un produit bancaire, un indice, une “mesure financière” au sens de l’article D. 211-1 A 1 du Code monétaire et financier pour servir de support à des contrats financiers, un bien assimilable à une marchandise ou même à un bien divers »1076. Cette voie est d’ailleurs retenue par certains États comme la Chine, la Thaïlande ou la Corée du Sud. D’autres, comme l’Allemagne, par l’entremise de son autorité de supervision financière, ont qualifié les monnaies virtuelles d’« unités de compte » qui entrent dans la catégorie des instruments financiers au même titre que les devises (soit une quasi-monnaie)1077. Mais, même si la qualification juridique des monnaies virtuelles semble difficile, leur existence est bien reconnue en matière fiscale1078 ! Elles sont assimilées à des gains aux jeux en ligne par la Chine et, à ce titre, sont soumises à l’impôt sur le revenu, comme des biens immobiliers par l’Allemagne ou comme des revenus du capital par les États-Unis. En France, une instruction fiscale du 11 juillet 20141079 a indiqué que les plus-values seront imposées au barème progressif de l’impôt sur le revenu, au premier euro, au titre des Bénéfices non commerciaux (BNC) si celles-ci sont occasionnelles, ou au titre des Bénéfices industriels et commerciaux (BIC) si l’activité d’achat-revente est habituelle. Cette qualification implique également leur déductibilité sous conditions en cas de moins-values. Ils seront aussi imposés au titre de l’Impôt de solidarité sur la fortune (ISF) et soumis aux Droits de mutation à titre. De même, la revente1080 par un « mineur » des unités de crypto-monnaie qui lui ont été remises au titre de sa participation au minage d’un bloc, voire de la perception d’une fraction des commissions de transaction est imposable.
1075. Cet article dispose : « Le fait de refuser de recevoir des pièces de monnaie ou des billets de banque ayant cours légal en France selon la valeur pour laquelle ils ont cours est puni de l’amende prévue pour les contraventions de la 2e classe ». 1076. AMF, préc. 1077. Rapport d’information n° 767 rectifié, « Enjeux liés au développement du Bitcoin et des autres monnaies virtuelles », Ph. Marini, F. Marc, Sénat, 23 juill. 2014 : http://www.senat.fr/ rap/r13-767/r13-7671.pdf Le Gouverneur de la Banque centrale chinoise a même comparé les bitcoins aux timbres échangés par les philatélistes. 1078. Il ne sera pas fait état de l’assujettissement ou non à la TVA, mais il convient de distinguer la vente de biens et de services contre des bitcoins et les échanges de bitcoins contre des monnaies légales. 1079. Instruction fiscale BNC – BIC – ENR – PAT – Régime fiscal applicable aux bitcoins, 11 juill. 2014, disponible sur le site : http://bofip.impots.gouv.fr 1080. Mais quid de la rémunération d’un mineur au titre d’une participation à un minage ou si le mineur n’utilise ses bitcoins que pour l’achat de biens ou de services ? M. Quéméner, « Les monnaies virtuelles ; risques et préconisations de Tracfin », RLDI oct. 2014, p. 33.
l es
services en cours d ’ encadrement
| 413
La CJUE1081 a considéré que des opérations d’échange de devises traditionnelles contre des bitcoins et, inversement, constituent des prestations de services fournies à titre onéreux dès lors qu’elles consistent en « l’échange de différents moyens de paiement » au sens de la directive TVA. Elle en déduit que ces opérations d’échange sont exonérées de TVA comme toutes opérations portant sur « les devises, les billets de banque et les monnaies qui sont des moyens de paiement légaux ». On peut penser que la démarche actuelle de la Commission européenne visant à imposer aux plateformes de monnaie virtuelle les obligations de lutte contre le blanchiment permettra d’acheter une certaine respectabilité à une monnaie sulfureuse (les bitcoins servent également à payer sur le « dark Web »), et pour laquelle de nombreux risques ont été pointés par les autorités réglementaires. § 2 – Les risques juridiques liés à l’utilisation des monnaies virtuelles
904. Le travail de qualification est rendu nécessaire pour déterminer les règles particulières trouvant à s’appliquer aux bitcoins et autres monnaies virtuelles et les leviers offerts au droit en cas de litige d’un consommateur ou d’une entreprise portant par exemple, sur la fermeture d’une plateforme de conversion, un piratage de portefeuille/compte de monnaie virtuelle, l’inexécution d’une transaction… L’une des principales craintes manifestées par Tracfin1082, l’ABE ou la Commission européenne a trait à l’anonymat des transactions et des personnes. En effet, l’ouverture d’un portefeuille/compte de monnaie virtuelle ne nécessite, actuellement, et en contravention le plus souvent avec la position de l’ACPR précitée, aucune formalité particulière. En qualité de prestataires de services de paiement (statut visé par l’ACPR), les plateformes de conversion intervenant en France doivent répondre aux exigences de vérification d’identité des clients conformément aux articles L. 561-5 et suivants du Code monétaire et financier1083. Cette démarche pourrait se généraliser suite à l’initiative de la Commission européenne qui vise à étendre le périmètre de la directive anti-blanchiment aux plateformes de conversion et son corollaire la mise en place d’un système de licence ou d’enregistrement obligatoire. L’identification du donneur d’ordre ou du bénéficiaire devrait donc en être facilitée dans une optique de lutte contre le blanchiment d’argent à l’échelle internationale : le fait de disposer d’un moyen d’authentification (ex. : certificat…)
1081. CJUE, 5e ch., 22 oct. 2015, aff. C-264/14, Hedqvist : Juris-Data n° 2015-023733 ; Europe 2015, comm. 516, note A.-L. Mosbrucker. 1082. Groupe de travail « Monnaies virtuelles » ‒ « L’encadrement des monnaies virtuelles », juin 2014, disponible à l’adresse : http://www.economie.gouv.fr/files/rapport_monnaies virtuelles_web.pdf 1083. V. partie I, chapitre III.
414 | B anque
et
a ssurance
digitales
de son correspondant peut constituer une précaution nécessaire pour pouvoir imputer une action (acheter ou vendre) à un tiers. De plus, les traces des transactions ne sont pas systématiquement conservées. Par exemple, la création d’un site fictif de e-commerce acceptant le paiement en monnaie virtuelle permettrait aux escrocs, une fois le site fermé, de disposer librement des fonds dans tous les pays sans trouver la moindre trace d’une transaction. Ces éléments mettent en exergue la nécessaire fiabilité des systèmes d’information que les plateformes de conversion devront pouvoir démontrer en justice. Le risque est en effet important que les coffres-forts contenant les bitcoins des clients soient l’objet de tentatives de piratage. Les certifications de sécurité (ISO 27001 par exemple) de ces dernières pourraient être un indice du sérieux des pratiques suivies par le prestataire, à destination des professionnels comme des particuliers. On peut penser que les modalités de la DSP 2 relatives aux mesures de sécurité pourraient servir de modèles aux exigences de sécurité propres aux plateformes de conversion (Partie I, Chapitre IV). De plus, si le Code monétaire et financier est applicable aux plateformes de conversion dans toutes les hypothèses lorsqu’il est installé en France, le Code de la consommation l’est également pour les clients consommateurs. Dès lors, les dispositions relatives à la vente à distance de services ou de services financiers (partie I, chapitre I) devraient également être prises en compte. Ainsi, l’information préalable ou le délai de rétractation au moment de l’inscription sur une plateforme de conversion ainsi que leur traduction en conditions contractuelles seront également à prendre en compte dans le choix d’un prestataire.
SECTION II LA TECHNOLOGIE BLOCKCHAIN 905. Avant tout, il convient de ne pas confondre LA Blockchain et UNE Blockchain1084. LA Blockchain est une technologie, souvent associée au Bitcoin (voir supra) qu’elle sous-tend. UNE Blockchain sera spécifique à une organisation donnée ou une application donnée. Elle désignera, pour chaque organisation, une chaîne de blocs, des conteneurs numériques, sur lesquels sont stockées des informations de toute nature : transactions, contrats, titres de propriétés, œuvres d’art…
1084. JO 29 avr. 2016. v. É. A. Caprioli, « La blockchain ou la confiance dans une technologie », JCP éd. G, 2016, En questions, 672 ; Y. Moreau et C. Dornbierer, « Les enjeux de la technologie de la blockchain », D. 2016, 1856.
l es
services en cours d ’ encadrement
| 415
En outre, l’ordonnance n° 2016-520 du 28 avril 2016 relative aux bons de caisse définit les minibons. Elle a intégré la première définition légale d’un type particulier de Blockchain à laquelle il peut être recouru « pour l’émission et la cession de minibons », ces opérations pouvant – de manière alternative enregistrée dans un registre papier (CMF, art. L. 223-4) ou « être inscrites dans un dispositif d’enregistrement électronique partagé permettant l’authentification de ces conditions, notamment de sécurité, définies par décret en Conseil d’État » (CMF, art. L. 223-12)1085. Pour autant, cette définition ne semble pas conforme aux caractéristiques souvent reconnues (voire attendues) à la Blockchain, à savoir un protocole ouvert permettant la gestion décentralisée et cohérente de l’historique des transactions (pour les blockchains dites « publiques »). Notons, concernant le décret en Conseil d’État, qu’un groupe de travail devra déterminer les conditions de nature à assurer la tenue d’un registre électronique distribué, fiable, sécurisé et susceptible d’être audité. En outre, l’article 120 de la loi n° 2016-1691 du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique prévoit : « (...) 1° Adapter le droit applicable aux titres financiers et aux valeurs mobilières afin de permettre la représentation et la transmission, au moyen d’un dispositif d’enregistrement électronique partagé, des titres financiers qui ne sont pas admis aux opérations d’un dépositaire central ni livrés dans un système de règlement et de livraison d’instruments financiers ; (...). ». L’Ordonnance est encore à venir. Cette ordonnance n’est qu’un premier pas vers la reconnaissance généralisée de la technologie de la blockchain. Il reste à souhaiter que le groupe de travail prévu dans le rapport de l’ordonnance puisse effectuer la synthèse nécessaire entre droit, technique et organisation pour cet objet aux confluents de bien des domaines. En d’autres termes, deux agents (qui se connaissent ou pas) peuvent échanger des actifs sans que la transaction ne doive être sécurisée et validée par une autorité centrale. § 1 – Les caractéristiques de la technologie de la Blockchain A.
Il s’agit d’un protocole ouvert…
906. Un protocole peut être entendu comme une méthode standard qui permet la communication entre des processus (s’exécutant éventuellement sur différentes machines), c’est-à-dire un ensemble de règles et de procédures à respecter pour émettre et recevoir des données sur un réseau. 1085. É. A. Caprioli, « Consécration légale de la “blockchain” dans les bons de caisse », Com. com. électr. 2016, comm. 58 ; P. Agosti, « La blockchain a sa première définition légale », Usine Digitale, mai 2016 : http://www.usine-digitale.fr/article/la-blockchain-a-sa-premieredefinition-legale.N392352 ; H. de Vauplane, « La blockchain et la loi », Les Échos, 21 févr. 2016 : http://www.lesechos.fr/idees-debats/cercle/cercle-154276-la-blockchain-et-la-loi1201704.php
416 | B anque
et
a ssurance
digitales
L’article 4 de la loi pour la confiance dans l’économie numérique1086 définit le « standard ouvert » comme « tout protocole de communication, d’interconnexion ou d’échange et tout format de données interopérable et dont les spécifications techniques sont publiques et sans restriction d’accès ni de mise en œuvre ». Cependant, le protocole de la Blockchain, quoiqu’en disent certains, n’a pas la même valeur universelle que le protocole de l’Internet TCP-IP : il n’est ni unique, ni normalisé par un organisme reconnu comme l’ISO ‒ International Organisation for Standardization, l’ETSI ‒ European Telecommunicationss Standards Institute, l’IETF ‒ Internet Engineering Task Force, ou le W3C ‒ World Wide Web. B.
...visant à assurer la gestion décentralisée et cohérente de l’historique de transactions
907. Que le système soit cohérent et décentralisé signifie qu’au lieu de devoir consolider l’information en un point qui serait l’autorité centrale, l’ensemble de l’information est disponible en chaque nœud du réseau. Il n’est plus besoin d’un « grand livre » central pour valider l’ensemble des informations. En effet, les « blocs » contenant plusieurs transactions sont détenus par les titulaires eux-mêmes et non par une autorité centrale. Ces blocs permettent de garantir à chaque instant l’intégrité et l’authenticité de chaque transaction (c’est-à-dire la cohérence d’une transaction donnée) avec les blocs de chaîne précédents en recourant à des outils cryptographiques, chaque transaction étant vérifiée chronologiquement puis intégrée dans la version N+1 de la blockchain. § 2 – Le mode de fonctionnement de la technologie de la Blockchain1087 A.
Description d’une Blockchain
908. L’horodatage permet de sauvegarder des documents sur la blockchain du réseau Bitcoin pour justifier de sa possession à un moment donné (le « timestamping » en anglais, horodatage en français). Parce que le document est inscrit sur la blockchain, cela suffit à prouver que le document existe bien à l’instant T et qu’il n’a pas été modifié en T+N. Néanmoins, il ne semble pas que l’horodatage utilisé dans le cadre des blockchains respecte les normes visées dans le règlement européen sur l’identification et les services de confiance du 23 juillet 2014, ni le décret du 20 avril 2011 relatif à l’horodatage ou encore la norme IETF RFC 3161.
1086. Loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique, JO 22 juin 2004, p. 11168. 1087. L. Leloup, Blockchain ‒ La révolution de la confiance, Eyrolles, 2017.
l es
services en cours d ’ encadrement
| 417
Pour qu’une transaction soit effectuée sur la Blockchain, ses informations doivent être intégrées à un bloc. L’ajout de nouveaux blocs est le résultat d’un consensus entre les acteurs du réseau. B.
Étapes de validation d’une transaction
909. Dès lors que des procédés cryptographiques sont utilisés, la validation d’une transaction nécessite la résolution d’un casse-tête numérique. Pour vérifier une transaction, les « mineurs » vont se servir de la clé publique jointe par le titulaire à la transaction et qui correspond à l’adresse où sont stockées les transactions. En utilisant un algorithme, ils vont vérifier la correspondance entre une clé publique et la signature du titulaire de la transaction. Une fois la transaction vérifiée ainsi que toutes les autres transactions contenues dans le bloc, les mineurs doivent valider la démarche en résolvant un casse-tête numérique. Dans chaque bloc à valider, on trouve un certain de nombre de transactions, mais aussi une référence aux derniers blocs de transactions tout juste précédemment validés ainsi qu’un nombre entier x dont il faut trouver la valeur et qu’on ajoute à la création du bloc de transactions. Le calcul à réaliser pour trouver la valeur de cet entier x doit être tel que le résultat du hachage, de toutes les informations formant le bloc, y compris la valeur x, soit inférieur à un nombre publiquement connu appelé « cible ». Tous les volontaires vont donc essayer de trouver ce x, ce qui est loin d’être évident. Il n’y a aucun indice qui permette de guider le choix de x et il est difficile de retrouver des données de départ à partir d’une empreinte donnée. Le seul moyen de calculer est de tester des valeurs au hasard, ce qui prend un temps considérable et consomme une grande puissance de calcul. Une fois le problème résolu, chaque utilisateur du réseau met à jour – via cette validation – sa chaîne de blocs quasi simultanément en y intégrant ce bloc nouvellement validé.
418 | B anque
et
a ssurance
digitales
Étapes de validation d’une transaction en bitcoins :
1. A. crée un portefeuille numérique.
2. A. génère un couple de clés de chiffrement : une clé publique et une clé privée.
3. A. achète des bitcoins sur un site Web et range aussi dans son portefeuille la référence de la transaction.
4. A. passe commande d’un livre auprès de B.
5. B. envoie à A. l’adresse à laquelle il doit transférer les bitcoins.
6. A. rassemble l’adresse de B., le montant de la transaction et les références des transactions précédentes .
7. À partir des éléments qu’elle a rassemblés et de sa clé privée, A. produit une Signature numérique.
8. A. envoie au réseau la transaction signée et sa clé publique.
9. La transaction et la clé publique sont mises avec d’autres transactions et leurs clés publiques dans un bloc.
10. Des volontaires, les « mineurs », vérifient l’authenticité de la signature d’A. à l’aide de la clé publique.
11. Puis ils tentent de résoudre un casse-tête numérique (Proof of Work) pour chaque bloc.
12. Le premier mineur qui a résolu le cassetête envoie la solution à tous les autres qui la vérifient.
13. Si la solution est juste, ils valident le bloc (qui vient incrémenter la blockchain) et donc la transaction entre A. et B.
14. Le mineur qui a résolu le casse-tête numérique perçoit une récompense en bitcoins.
§ 3 – Les aspects juridiques de la Blockchain1088
910. Le règlement européen eIDAS1089 sur l’identité et les services de confiance contient à la fois des règles juridiques et des normes techniques de sécurité. De plus, il est non moins essentiel que les transactions réalisées dans la blockchain répondent aux nouvelles exigences du Code civil applicables depuis le 1er octobre 2016, spécialement en matière de contrats, preuve et signature électroniques. 1088. É. A. Caprioli, « La blockchain dans la banque et la finance », in Études à la mémoire de Philippe Neau-Leduc, (à paraître en 2017) ; T. Bonneau et T. Verbiest, Fintech et Droit, RB Édition, 2017, v. spéc. p. 74 et s. Table-ronde : Blockchain et smart contracts : enjeux technologiques, juridiques et business, CDE, n° 2, mars-avril 2017, p. 8. 1089. V. pour plus de détails sur le règlement eIDAS, É. A. Caprioli, Signature électronique et dématérialisation, LexisNexis, coll. Droit et pratiques, 2014.
l es
services en cours d ’ encadrement
| 419
• Identification et anonymat : à défaut, d’identification, le contrat pourrait être
privé de ses effets juridiques, voire être annulé. Dans les blokchains publiques, l’identité est auto déclarée, la clé n’étant pas certifiée par une autorité de certification. De plus, l’authentification du titulaire repose sur l’adresse qui est connue (clé publique) et qui se trouve dans la transaction figurant dans le bloc attestant que telle transaction a bien été réalisée et vérifiée. Dès lors, comment bénéficier d’une signature électronique avancée (art. 26-a) ou qualifiée ? L’anonymat des parties pose des problèmes juridiques connexes, tels que par exemple l’intérêt à agir ou la mise en jeu des responsabilités et des garanties. • Horodatage : ce service est fondamental pour assurer la traçabilité et la validation des blocs ; il ne semble pas que les BC suivent les règles et normes énoncées dans le règlement eIDAS (TSP / RFC 3161). • Preuve : à l’évidence, les preuves (de travail ou de participation) ne sont pas des preuves d’actes juridiques conformes au Code civil, sauf en ce qui concerne la preuve libre (faits juridiques ou contrats inférieurs à 1 500 euros) ou si un texte en dispose autrement. • Sécurité : en vertu de l’article 19 du règlement, les prestataires de services de confiance (PSCo) sont tenus de prendre des mesures garantissant que le niveau de sécurité est adapté pour assurer la gestion des risques, de notifier les failles de sécurité et les violations de données personnelles ou pour les PSCo qualifiés de disposer d’un plan de continuité d’activité (art. 24-2, i). En outre, il ne faut pas omettre la question essentielle de la protection des données à caractère personnel comme notamment le respect du principe de « droit à l’oubli » que l’on retrouve à l’article 17 du règlement du 27 avril 2016 (effacement des données). Ce principe a été consacré par la CJUE dans l’affaire Google Spain du 13 mai 20141090. Or, dans la blockchain, on dispose d’un registre public qui suppose la conservation des données sans possibilité de les effacer. Cette conservation est sans limite. D’ailleurs, cela interroge sur qui doit procéder aux formalités ; et, plus généralement, qui est le responsable de traitement et qui détermine les finalités du traitement ? Comment établir une durée de conservation si la blockchain ne le prévoit pas ? Et quelles sont les mesures de sécurité ? § 4 – Les applications de la Blockchain
911. Pour l’instant, hormis les applications de crypto-monnaies, il existe encore peu de réalisations concrètes de Blockchains. Il convient d’analyser le transfert de propriété des minibons de caisse (§ 1) et de « The DAO » en vue de financer des projets d’Internet des objets (IOT) (§ 2).
1090. CJUE, gde ch., 13 mai 2014, aff. C-131/12, Google Spain SL, Google Inc. c/ Agencia Española de Protección de Datos e. a. : Juris-Data n° 2014-009597 ; JCP éd. E 2014, 1326, note M. Griguer ; JCP éd. E 2014, 1327, note G. Busseuil ; A. Debet, « Google Spain : Droit à l’oubli ou oubli du droit ? », Com. com. électr. 2014, étude 13.
420 | B anque
A.
et
a ssurance
digitales
Le transfert de propriété des minibons
912. L’article L. 223-13 du Code monétaire et financier, issu de l’ordonnance n° 2016-520 du 28 avril 2016 (préc.) énonce que « le transfert de propriété de minibons résulte de l’inscription de la cession dans le dispositif d’enregistrement électronique mentionné à l’article L. 223-12, qui tient lieu de contrat écrit pour l’application des articles 1321 et 1322 du Code civil ». Selon toute vraisemblance, cette disposition se projetait déjà dans « l’après 1er octobre 2016 », date à laquelle l’ordonnance n° 2016-131 du 10 février 2016 portant réforme du droit des contrats, du régime général et de la preuve des obligations1091 est entrée en application. En effet, les nouveaux articles 1321 et 1322 du Code civil traitent de la question spécifique de la cession de créances, transposable pour le transfert de propriété des minibons. Ainsi, le contrat écrit – requis sous peine de nullité pour les cessions de créances – prendra la forme de l’inscription de la cession dans la Blockchain. Ainsi, il convient de vérifier si les « smart contracts »1092, entendus comme « des programmes, accessibles et auditables par toutes les parties autorisées, dont l’exécution est donc contrôlée et vérifiable, conçus pour exécuter les termes d’un contrat de façon automatique lorsque certaines conditions sont réunies. Les règles qui régissent le programme peuvent notamment recouvrir tout événement vérifiable de façon informatique », et au rang desquels une inscription de cession peut figurer, intègrent le régime juridique des preuves écrites telles que reconnues par le Code civil, ainsi que par le règlement européen sur l’identification et les services de confiance du 23 juillet 2014, spécialement la signature et le cachet électroniques, et l’horodatage. B.
Ethereum et la confrontation de la Blockchain à la réalité
913. Ethereum est une fondation à but non lucratif dont le code est ouvert. Le produit – fondé sur un langage de programmation dédié (« Turing-complete ») et une crypto-monnaie propre l’Ether – est disponible au grand public depuis le printemps 2015 et rassemble une communauté étendue de développeurs indépendants. La majeure partie des projets Blockchain sont écrits avec Ethereum. L’une des grandes différences avec la Blockchain du Bitcoin a trait au fait que les participants du réseau d’Ethereum ne se contentent pas de valider des transactions monétaires : ils exécutent du code provenant d’applications que des développeurs peuvent créer et envoyer sur le réseau. Ce code permet en particulier la mise en place de « smart contracts », qui constituent le cœur du potentiel d’Ethereum. De plus, l’Ether a une fonction précise : payer l’exécution des « smart contracts », dont le fonctionnement peut consommer des ressources importantes. 1091. Cf. partie I, chapitre V. 1092. Éric A. Caprioli, « Les “Smart Contracts” dans la blockchain : quézako ? », disponible sur le site de l’Usine Digitale, 10 janvier 2017.
l es
services en cours d ’ encadrement
| 421
En juin 20161093, un individu (ou un groupe) a exploité une faille dans le code d’un « smart contract » d’une organisation autonome décentralisée (« The DAO ») développé par Slock.it qui s’appuie sur la blockchain Ethereum et utilise sa monnaie virtuelle, les ethers. Sa mission est de faire du crowdfunding en vue de financer des projets d’Internet des objets (IOT) et des voitures intelligentes. Finalement, le préjudice s’est élevé à près d’un tiers des 168 millions de dollars collectés, soit environ 50 millions de dollars. L’attaquant a respecté le code (informatique) de « The DAO » et s’est donc trouvé « juridiquement » inattaquable. Comme il n’existe pas d’organe central pour décider des actions à mener, les mineurs de « The DAO » avaient jusqu’au 14 juillet pour choisir la solution définitive par un vote. À défaut, l’individu aurait pu récupérer son butin au préjudice des investisseurs détenteurs des « tokens » (ethers). Pour résoudre le problème, Ethereum a recouru à un « hard forken » en juillet 2016 consistant à modifier le code de la Blockchain afin de récupérer les ethers « siphonnés » et de les redistribuer à leurs « légitimes » détenteurs. Pour choisir la solution, il n’y a eu qu’environ 20 % des détenteurs d’ethers qui ont pris part au vote. Ce qui semble relativement peu sur le plan de la représentativité. La faille du système réside essentiellement dans sa gouvernance (inexistante ou incertaine). La question ne se poserait pas dans une Blockchain non publique (de consortium ou privée), dans la mesure où la sécurité, le contrôle et l’organisation des pouvoirs de décisions relèveraient de l’organe central (une personne morale) investi de la gouvernance, mais aussi qui engagerait sa responsabilité. L’ensemble de cette organisation serait régi par des statuts et un règlement intérieur de fonctionnement.
SECTION III LES FOURNISSEURS D’API § 1 – Définition de l’API
914. Une API (« Application Programming Interface »), appelée en français « interface de programmation applicative », est un code qui permet à deux programmes logiciels de communiquer entre eux1094. Elle regroupe ainsi un ensemble de fonctions permettant à un développeur de rédiger un programme sollicitant les services d’un système d’information, d’une application et de concevoir des services.
1093. V. É. A. Caprioli « La blockchain pose de sérieux problèmes de confiance, de droit… et de sécurité », Usine Digitale, juill. 2016 : http://www.usine-digitale.fr/article/la-blockchainpose-de-serieux-problemes-de-confiance-de-droit-et-de-securite.N401527 ; « Blockchain : le délicat chemin de la confiance », Usine Digitale, nov. 2016 : http://www.usine-digitale.fr/ article/blockchain-le-delicat-chemin-de-la-confiance.N463208 1094. Définition donnée par Le MagIT via le lien : http://www.lemagit.fr/definition/API
422 | B anque
et
a ssurance
digitales
§ 2 – Les usages des API dans le monde de la banque, de la finance et de l’assurance
915. Dans le monde bancaire, financier ou de l’assurance, où les systèmes d’informations ont été créés de longue date par l’agrégation des différentes expériences et où les innovations sont alourdies par le poids des systèmes et contraints par la lourdeur des réglementations applicables qu’elles soient légales, réglementaires ou techniques, ces API peuvent permettre de repenser les modèles économiques et pratiques. Elles permettent par exemple aux développeurs de se connecter à des données de l’organisme bancaire, financier ou d’assurance, à son infrastructure pour les intégrer dans le développement de nouvelles applications1095. Elles peuvent avoir des usages1096 multiples tant internes qu’externes. En interne, ils peuvent permettre de fluidifier les interactions entre différentes applications d’un système d’information. En externe, elles permettent de faciliter le dialogue avec les applications des partenaires et de proposer aux clients les services attendus d’une banque. De fait, les API sont les premières briques acceptant la création de services à haute valeur ajoutée, ceux-ci permettant d’installer des dialogues et d’édifier de nouvelles pratiques. Les fournisseurs d’API deviennent, dès lors, les promoteurs d’une matière première dont la vocation est de créer de l’interaction là où régnait le cloisonnement. § 3 – L’Open banking
916. Progressivement, les API sont devenues de véritables enjeux stratégiques pour les banques et pour les sociétés de développement. En mai 2016, l’Euro Banking Association a publié un document d’information intitulé « Understanding the business relevance of Open APIs and Open Banking for banks » dont l’objet est de promouvoir des Open API1097. Séparant les API auxquelles seuls peuvent accéder les membres d’une organisation appelée « API fermées » ou « API privées » des API accessibles aux tiers appelées « Open
1095. V. sur ce point, Th. Dinard, « Les banques en route vers l’open innovation ? », disponible via le lien : http://www.revue-banque.fr/banque-detail-assurance/article/les-banques-enroute-vers-open-innovation 1096. Sur ce point v. Axway « Banking APIs State of the Market » disponible sous le lien : https:// www.axway.com/sites/default/files/report_files/axway_report_banking_apis_state_of_ the_market_report_apidays.pdf 1097. Euro Banking Association Information Paper « Understanding the business relevance of Open APIs and Open Banking for banks », disponible sous le lien : https://www.abe-eba. eu/downloads/knowledge-and-research/EBA_May2016_eAPWG_Understanding_the_ business_relevance_of_Open_APIs_and_Open_Banking_for_banks.pdf
l es
services en cours d ’ encadrement
| 423
API »1098, ce document rappelle que ces Open API permettent – contrairement à ce que pourrait laisser entendre le terme – aux entreprises de contrôler les accès en préservant la sécurité de leurs systèmes. Plusieurs initiatives ont vu le jour telle celle du Crédit Agricole qui, en créant une coopérative de concepteurs développeurs appelée « CA Store », propose de rémunérer les développeurs en fonction de l’utilisation de l’application mise à disposition par leurs soins1099. § 4 – Un encadrement juridique en cours d’évolution
917. Si la DSP 2 a pour objet de fluidifier les rapports entre les banques et les nouveaux entrants (cf. partie III, chapitre I, section II), elle ne fait pas explicitement référence aux API. Cependant, nombreux sont ceux qui estiment qu’en ouvrant la porte aux interactions avec les tiers (comme les agrégateurs de données et les initiateurs de paiement), la directive favorisera à terme la mise en œuvre des API, celles-ci étant à même de répondre aux besoins d’interopérabilité entre les systèmes.
SECTION IV MOBILE VIRTUAL NETWORK1100 918. Banques et réseaux mobiles sont longtemps apparus comme des services distincts mis en œuvre par des opérateurs distincts. Récemment, plusieurs mouvements ont démontré que ces deux services pouvaient être exercés par un seul et même opérateur. De nombreuses banques proposent désormais la possibilité de souscrire un abonnement téléphonique (par exemple, La Banque Postale, le Crédit Mutuel ou le CIC). Pareillement, un service de téléphonie mobile peut désormais permettre la mise en œuvre de paiements, notamment les paiements sans contact à l’aide du téléphone mobile et plus globalement permettre la mise en œuvre de la banque mobile (v. partie sur le paiement).
1098. Euro Banking Association Information Paper « Understanding the business relevance of Open APIs and Open Banking for banks », p. 7 : « APIs enable secure, controlled and cost-effective access to data and/or functionality, potentially by third parties. If APIs can only be accessed within the boundaries of one organisation, they are referred to as “Closed APIs” or “Private APIs”. If they can also be accessed by third parties (outside of the organizational boundaries), they are referred to as “Open APIs”. Open APIs are the focus of this information paper ». 1099. Sur ce point, v. Th. Dinard, « Les banques en route vers l’open innovation ? », disponible via le lien : http://www.revue-banque.fr/banque-detail-assurance/article/les-banques-enroute-vers-open-innovation 1100. Entendus comme « des opérateurs qui ne disposent pas de leur propre réseau radio et qui utilisent celui de l’un des trois opérateurs mobiles “historiques” (Orange, SFR ou Bouygues Télécom) en leur achetant des minutes de conversation en gros, pour offrir ensuite des services de communications mobiles à leurs abonnés », disponible sur le site : http://www. telecom-infoconso.fr/operateurs-mobiles-virtuels/
424 | B anque
et
a ssurance
digitales
En quelques années, le téléphone mobile, et plus particulièrement le smartphone, s’est généralisé. Permettant désormais la mise en œuvre d’applications toujours plus sophistiquées, ces équipements ont offert à chacun la possibilité de travailler à distance mais également de consommer à distance et à tout instant. Les paiements mobiles (v. partie II, chapitre II, section III), première étape de cet accès au monde via le téléphone mobile (après l’information), sont des transactions effectuées à l’aide d’un téléphone mobile. Le Livre vert « Vers un marché intégré des paiements par carte, par Internet et par téléphonie mobile »1101 définit les « m-paiements » comme « des paiements pour lesquels les données et l’ordre de paiement sont émis, transmis ou confirmés par le biais d’un téléphone ou d’un appareil mobile ». Certains États africains comme le Burkina Faso se sont dotés de dispositions législatives pour la contractualisation par téléphone mobile. Ces transactions peuvent être utilisées pour des achats en ligne ou non et peuvent être imputées selon différentes modalités, par exemple, sur le compte bancaire de la personne ou par le biais de la facture de l’opérateur. Le Livre vert différencie les paiements à distance par le biais d’Internet facturés par l’intermédiaire de l’opérateur de réseau mobile et les paiements de proximité passant par l’utilisation de téléphones spécialement équipés et utilisant notamment le protocole NFC. Les difficultés initiales du processus portaient sur l’acceptation même de ces transactions et sur les normes techniques nécessaires pour assurer la validité et la sécurité des transactions. L’une des questions parmi les plus épineuses est celle de la lisibilité des conditions générales de ventes sur l’écran du téléphone. Sur cette question des paiements mobiles, le Livre vert soulignait que le secteur bancaire et les opérateurs de réseau mobile avaient entamé des discussions sur la coopération et la normalisation afin d’assurer la totale interopérabilité des solutions de m-paiement et favoriser des normes ouvertes pour permettre la mobilité des consommateurs. Ce faisant, les questions proposées portaient essentiellement sur les travaux de normalisation à mettre en œuvre. L’article 104 de la Loi pour une République numérique prévoit : « I. – Dans les conditions prévues à l’article 38 de la Constitution, le Gouvernement est autorisé à prendre par ordonnance les mesures relevant du domaine de la loi permettant, par voie dématérialisée sur un support durable et accessible au client, de remettre, fournir, mettre à disposition ou communiquer des informations ou des documents relatifs à un contrat régi par le Code monétaire et financier, le Code des assurances, le Code de la mutualité, le titre III du livre IX du Code de la Sécurité sociale ou le livre III du Code de la consommation, ainsi que de conclure ou de modifier ces contrats, le cas échéant via une signature électronique, ces supports dématérialisés se substituant aux documents écrits sur support papier, tout en garantissant au
1101. COM/2011/0941 final. Document daté du 11 janvier 2012.
l es
services en cours d ’ encadrement
| 425
client une protection au moins équivalente. II. – L’ordonnance prévue au I du présent article est prise dans un délai d’un an à compter de la promulgation de la présente loi. Un projet de loi de ratification est déposé devant le Parlement dans un délai de cinq mois à compter de la promulgation de l’ordonnance ». Depuis lors, de nombreux acteurs de la téléphonie mobile ont entendu proposer un paiement mobile. Tel est le cas pour Apple, Samsung et Google. Apple a ainsi récemment lancé en France son service Apple Pay créé en 2014. Combinant technologie NFC et biométrie, ce service permet aux porteurs de certains produits Apple de payer en ligne et en magasin1102. Le groupe Société Générale a annoncé sa prise de participation au capital de TagPay1103, une FinTech française. Cette société avait développé une solution permettant à tout téléphone mobile de devenir un moyen de paiement grâce à une technologie basée sur le son (« Near Sound Data Transfer ») permettant de sécuriser les transactions par le biais d’un échange audio entre un téléphone portable et un récepteur (barne, terminal de point de vente ou un distributeur automatique de billets)1104. Proposant désormais un « Core Banking System », TagPay entend, par le biais de déploiement de filiales dans plusieurs pays africains, proposer ses services à toutes les populations mêmes munies d’un simple téléphone portable et non d’un smartphone.
1102. S. Chaptal, « Apple Pay arrive enfin en France », Rev. Banque, disponible sous le lien : http:// www.revue-banque.fr/management-fonctions-supports/breve/apple-pay-arrive-enfin-enfrance 1103. Société Générale, News room, « Société Générale entre au capital de la fintech Tagpay pour développer la banque mobile en Afrique », disponible sous le lien : https://www. societegenerale.com/fr/TagPay-Fintech-Capital-Banque-Mobile-Afrique 1104. G. Mussi, « TagPay transforme tous les téléphones en moyen de paiement », L’Expansion l’Express, disponible sous le lien : http://lexpansion.lexpress.fr/high-tech/tagpay-transformetous-les-telephones-en-moyen-de-paiement_1421727.html
INDEX Les chiffres renvoient aux numéros des paragraphes.
A
C
ABE ‒ Autorité bancaire européenne : 873 Accountability : 180 et s. ACPR ‒ Autorité de contrôle prudentiel et de résolution : 6, 29, 422 et s., 446 et s., 458, 459, 853 et s. Adresse IP : 140 et s. Agrégation de comptes de paiement : 874 et s. AMF ‒ Autorité des marchés financiers : 6, 30, 654 et s., 854, 903 Analyse d’impact : 183 et s. ANSSI ‒ Agence nationale en matière de sécurité et de défense des systèmes d’information : 559 et s., 634 et s. API ‒ Application Programming Interface : 914 et s. Archivage : 175 et s., 758 et s., 836 Arrêté du 3 novembre 2014 : 415 et s. Authentification : 90, 506 et s., 702 et s.
Certificat : 524 et s., 553 et s. Charte d’utilisation des ressources informatiques : 476 et s. Clause abusive : 87 et s., 681 Clauses contractuelles types : 334 et s. CNIL ‒ Commission nationale informatique et libertés : 105, 115 et s., 163 et s., 462, 627 et s., 762 Coffre-fort numérique : 857 et s. Compte de dépôt : 810, 818 Connaissance des clients (KYC) : 401 et s. Consentement : 311 et s., 731, 750 et s., 776 et s. Consentement préalable (CNIL) : 156 et s., 238 et s., 266 et s. Consommateur : 12 et s., 18 et s., 672 et s. Contrat d’assurance : 45, 80 et s., 837 et s. Contrat d’adhésion : 16 Contrat de crédit à la consommation : 44, 825 et s. Contrôle interne : 414 et s. Convention de preuve : 685 et s., Cookies : 145 et s., 258, 263, 268 Copie électronique : 769 bis et s. Cross canal : 2 Crowdfunding : 879 et s. Cybercriminalité : 559 et s. Cybersurveillance : 474 et s.
B Banque en ligne : 2, 76, 696 et s., 805 et s. Banque et assurance digitales : 3, 4 BCR ‒ Binding Corporate Rules : 334 et s. Big data : 297 et s. Blockchain : 9, 905 et s.
428 | B anque
et
a ssurance
digitales
D Data Loss Prevention : 602 et s. DGCCRF ‒ Direction générale de la concurrence, de la consommation et de la répression des fraudes : 30, 286, 290, 757, 824 Données à caractère personnel : 104 et s., 407 et s., 625 et s. Données bancaires : 132 et s., 254 et s. Données de santé : 126 et s., 247 et s., 463 et s. Données des personnes décédées : 138 Données pseudonymisées : 148 et s. Données relatives aux mineurs : 137, 257 DPD ‒ Délégué à la protection des données : 116 et s. Droit à l’effacement des données (CNIL) : 137, 223 Droit à l’information (CNIL) : 199 et s., 260 et s. Droit d’opposition (CNIL) : 209 et s., 281 et s. Droit de renonciation : 849 Droit de rectification : 222 Droit de rétractation : 69 et s. Droits des personnes (CNIL) : 195 et s., 275 et s. DSP 2 ‒ Directive sur les services de paiement : 32, 532, 652 et s., 872 et s.
F Failles de sécurité : 456, 638 et s., 650 et s. Faux ordres de virement internationaux : 588 et s. Finalité (principe de) : 152 et s., 265 et s., 310 et s., Fintech : 3, 8, 852 et s.
Formalités déclaratives (CNIL) : 163 et s., 272 et s. France Connect : 556 et s. Fuites d’information : 601 et s.
I Identification : 506 et s., 702 et s., 749 Imprévision : 682 et s. Informations précontractuelles : 34 et s., 46 et s., 679 et s., 829 et s., 838 et s. Initiation de paiement : 873 et s. Instant payment : 797 et s. Intégrité : 724 et s.
L LCEN ‒ Loi sur la confiance dans l’économie numérique : 22 et s., 229 et s. Loi de programmation militaire : 456, 633 et s. Lutte contre le blanchiment : 376 et s., 457
M Monnaies virtuelles : 900 et s.
O OIV ‒ Opérateur d’importance vitale : 634 et s. Open banking : 916 Original sous forme électronique : 736 et s.
P Paiement en ligne : 770, 772 et s.
i ndex | 429
PCI DSS ‒ Payment Card Industry Data Security Standard : 665 et s. Phishing : 572 et s. Portabilité des données : 204 et s. Prestataire de service de paiement : 773 et s. Prestations de Services Essentiels Externalisées : 438 et s. Preuve : 698 et s. Privacy by default : 181 et s. Privacy by design : 181 et s. Privacy Shield : 333 Profilage : 294 et s. Prospection commerciale : 224 et s.
Secret bancaire : 133, 450 et s., 694 Secret des affaires : 567 et s. Secret professionnel : 448 et s. Sécurité des données : 171 et s., 187 et s., 316 et s., 623 et s. Sécurité informatique : 90 et s., 534 et s. Signature électronique : 739 et s., 821, 846 et s. STAD ‒ Système de traitement automatisé de données : 562 et s. Support durable : 51 et s.
T Q Questionnaire de santé : 850 et s.
R Ransomware : 608 et s. Remise du contrat : 756 et s. Réseaux sociaux : 502 et s. RGPD ‒ Règlement général sur la protection des données : 108 et s., 632
S Safe Harbor : 332 et s.
Transfert des données : 262 et s., 318 et s., 340 et s.
U Usurpation d’identité : 579 et s.
V Validité de l’acte juridique : 729 et s. Vigilance : 385 et s. Violations de données personnelles : 189 et s. Virement SEPA : 791 et s. Vol de données : 616 et s.
BIBLIOGRAPHIE SÉLECTIVE Ouvrages AGOSTI, Pascal, CANTERO, Isabelle, CAPRIOLI, Éric A., CHOUKRI, Ilène, COUPEZ, François (ouvrage collectif sous la direction d’Éric A. CAPRIOLI), La Banque en ligne et le droit, RB Édition, coll. Les Essentiels de la Banque et de la Finance (Droit), 2014. ARESTAN, Philippe, Démarchage bancaire ou financier & Conseillers en investissements financiers (CIF) ‒ Aspects juridiques et pratiques. La loi de sécurité financière, 10 ans après, 5e éd., RB Édition, 2013. BONNEAU, Thierry et VERBIEST, Thibault, Fintech et Droit, RB Édition, coll. Les Essentiels de la Banque et de la Finance (Droit), 2017. BOUYALA, Régis, La révolution FinTech, RB Édition, coll. Les Essentiels de la Banque et de la Finance (Finance), 2016. CAPRIOLI, Éric A., Signature électronique et dématérialisation, LexisNexis, coll. Droit et pratiques, 2014. GEIBEN, Didier, OLIVIER Jean-Marie, VILOTTE, Jean-François, et VERBIEST, Thibault, Bitcoin et Blockchain. Vers un nouveau paradigme de la confiance numérique ?, RB Édition, coll. Les Essentiels de la Banque et de la Finance (Finance), 2016. LE TOURNEAU, Philippe, Contrats informatiques et électroniques, 9e éd., Dalloz, 2016. QUÉMÉNER, Myriam, Établissements financiers et cyberfraudes, RB Édition, coll. Les Essentiels de la Banque et de la Finance (Droit), 2011. STORRER, Pierre, Le droit de la monnaie électronique (préface de Jean-Jacques DAIGRE et Myriam ROUSSILLE), RB Édition, coll. Droit, 2014.
Revues « Protection des données personnelles. Commentaires sur le règlement européen du 27 avril 2017 », Banque & Droit, hors-série, mars 2017. Dossier « Données personnelles », Revue Banque, février 2014, n° 769, p. 22 à 63. « Quel droit pour le développement de la banque en ligne ? », Banque & Droit, hors-série, juin 2013.
432 | B anque
et
a ssurance
digitales
Colloque CAPRIOLI, Éric A., De l’authentification à la signature électronique : quel cadre juridique pour la confiance dans les communications électroniques internationales ?, Colloque de l’ONU sur le commerce électronique, New York, 14 au 16 février 2011, disponible sur le site : www.caprioli-avocats.com
TA B L E D E S M AT I È R E S Liste des principales abréviations ......................................................
7
Préface de Myriam Roussille ...............................................................
17
Introduction...........................................................................................
19
PARTIE I EXIGENCES JURIDIQUES APPLICABLES À LA BANQUE ET À L’ASSURANCE DIGITALES CHAPITRE I Enjeux et réalités de la protection des consommateurs en ligne ....
27
Section I Un cadre juridique hétérogène, stratifié et complexe ...................................
30
§ 1 – L’ordonnance du 6 juin 2005 sur la commercialisation à distance de services financiers auprès des consommateurs : la pierre angulaire de la transposition nationale ........................................................... § 2 – Le détour obligé par la loi pour la confiance dans l’économie numérique et l’ordonnance du 16 juin 2005 ........................................................................................... § 3 – Les principaux apports de la loi sur la consommation du 17 mars 2014 pour la banque et l’assurance en ligne .............................................................................. § 4 – La loi de séparation et de régulation des activités bancaires du 26 juillet 2013 : les mécanismes de contrôle pour les services bancaires ............................................. § 5 – Textes spécifiques aux produits et aux services financiers .........................................
35 36
Section II Les défis de l’obligation d’information précontractuelle du consommateur de banque et d’assurance en ligne .................................
38
§ 1 – Les contours de l’obligation d’information précontractuelle .................................... § 2 – Le contenu de l’obligation d’information précontractuelle ....................................... § 3 – La déclinaison de sanctions...................................................................................................
38 39 42
Section III La notion de support durable ..........................................................................
43
§ 1 – La notion de support durable en droit européen ..........................................................
44
31 32 33
434 | B anque
et
a ssurance
digitales
§ 2 – Les dispositions opérationnelles du droit français ........................................................ A. La reprise de la définition du support durable ........................................................ B. De l’usage du support durable en matière de contrats de banque et d’assurance en ligne .................................................................................................... 1. Les dispositions du Code de la consommation .............................................. 2. Les dispositions du Code monétaire et financier........................................... 3. Les dispositions du Code des assurances.......................................................... Section IV Droits de rétractation et de renonciation dans les services bancaires et assurantiels ..................................................................................................
46 46 47 47 48 49
50
§ 1 – Les dispositions du droit européen en matière de prestations bancaires et d’assurance à distance ....................................................................................................... § 2 – La transposition en droit français ....................................................................................... A. Les caractéristiques générales du droit de rétractation en matière de services financiers................................................................................. B. Les dispositions spécifiques à la banque en ligne ................................................... C. Les dispositions spécifiques à l’assurance en ligne................................................. A. Les modalités pratiques .................................................................................................. 1. Concernant le formulaire en ligne ...................................................................... 2. Concernant la détermination du point de départ .........................................
52 52 54 55 55 55
Section V Les mécanismes de protection contre les clauses abusives en ligne ........
56
§ 1 – Les clauses abusives touchant à l’authentification ........................................................ § 2 – La question de la survenance d’un problème technique..............................................
58 59
Section VI L’impact pour les consommateurs de la nature « hors sol » des contrats de banque et d’assurance digitale............................................
61
§ 1 – Au niveau de la réglementation européenne .................................................................. A. Le niveau de la protection du consommateur ......................................................... B. Le critère déterminant et néanmoins incertain du « lien étroit » ...................... § 2 – Au niveau de la législation nationale ................................................................................. A. Les règles entre États membres .................................................................................... B. Les rapports avec les États tiers et l’explicitation de la notion de lien étroit ......................................................................................................................
51 51
61 61 62 63 63 63
CHAPITRE II La protection des données à caractère personnel ............................
67
Section I Le cadre de la protection et certaines de ses évolutions à anticiper ..........
70
t aBle
des matières
§ 1 – La gouvernance des données ................................................................................................ A. Rappel du statut et des principales prérogatives de la CNIL .............................. B. Quelques lignes directrices sur le Délégué à la protection des données ........ 1. La désignation du Délégué à la protection des données personnelles ... a. La procédure..................................................................................................... b. La qualification ................................................................................................ c. Les incompatibilités ....................................................................................... 2. Les missions ............................................................................................................... 3. Les moyens................................................................................................................. 4. Le statut ...................................................................................................................... 5. Les responsabilités................................................................................................... § 2 – Le principe d’une protection différenciée selon les catégories de données ......... A. Les données protégées.................................................................................................... 1. Les données relatives à la santé .......................................................................... 2. Les données bancaires ............................................................................................ 3. Les données relatives aux mineurs ..................................................................... 4. Les données des personnes décédées ............................................................... B. Les identifiants numériques........................................................................................... 1. L’adresse IP ................................................................................................................. 2. Les témoins de connexion (cookies) .................................................................. 3. Les données pseudonymisées .............................................................................. § 3 – L’application des principes de protection aux services de banque et d’assurance en ligne ........................................................................................................... A. Le principe de finalité ..................................................................................................... B. L’accomplissement des formalités déclaratives...................................................... 1. Les principes du contrôle a priori de la CNIL .................................................. 2. Les formalités CNIL pour le secteur des assurances ..................................... 3. Les formalités CNIL pour le secteur bancaire ................................................. C. La sécurité des données .................................................................................................. D. Durée de conservation des données........................................................................... E. L’« Accountability » ou principe de responsabilité posé par le RGPD .............. 1. Les principes de « Privacy by design » et de « Privacy by default »........... 2. L’analyse d’impact sur la vie privée prévue par le RGPD ............................. 3. L’évolution du principe de sécurité pendant le traitement ....................... a. Les exigences portant sur les mesures de sécurité ............................... b. La notification des violations de données personnelles..................... c. L’évolution du statut du sous-traitant...................................................... § 4 – Le renforcement des droits des personnes ...................................................................... A. Les nouveaux droits .........................................................................................................
| 435
71 72 73 73 74 74 75 75 76 76 77 77 77 77 79 81 81 82 82 84 87 88 88 92 92 93 96 97 99 102 103 103 105 105 106 107 107 108
436 | B anque
1. 2. 3. 4.
et
a ssurance
digitales
Droit à l’information ............................................................................................... Droit à la limitation du traitement..................................................................... Droit à la portabilité des données ...................................................................... Droit lié à une décision automatisée .................................................................
108 109 110 111
B. Le renforcement des droits existants ......................................................................... 1. Le droit d’opposition .............................................................................................. a. Le droit d’opposition dans la loi « Informatique et Libertés »........... b. Le droit d’opposition dans le RGPD .......................................................... 2. Le droit d’accès aux données ............................................................................... a. Le droit d’accès dans la loi « Informatique et Libertés » ..................... b. Le droit d’accès dans le RGPD ..................................................................... 3. Le droit de rectification ......................................................................................... 4. Le droit à l’effacement des données..................................................................
111 111 111 112 113 113 116 117 117
Section II La prospection commerciale des données ....................................................
118
§ 1 – Les obligations posées par la loi pour la confiance dans l’économie numérique (LCEN) ....................................................................................................................
119
A. Le cadre juridique de la protection............................................................................. 1. Définition de la prospection directe ................................................................. 2. Critères de la prospection directe...................................................................... a. Les moyens visés ............................................................................................. b. Les personnes concernées ............................................................................
120 120 121 121 122
B. Le principe de la protection .......................................................................................... 1. Le consentement préalable (« Opt-in ») ............................................................ 2. L’obligation d’information ....................................................................................
123 123 124
§ 2 – Les contraintes liées à protection des données personnelles....................................
125
A. La constitution des fichiers de prospects ................................................................. 1. Les données interdites de prospection ............................................................. 2. Les données strictement encadrées ...................................................................
125 126 127
B. Le respect des principes « Informatique et Libertés »............................................ 1. L’information préalable de la personne concernée ...................................... 2. Le respect du principe de finalité ....................................................................... 3. L’accomplissement des formalités auprès de la CNIL .................................. 4. Le respect des droits des personnes .................................................................. a. Le droit d’opposition ..................................................................................... b. Le droit d’opposition avant toute prospection : les listes d’opposition...................................................................................................... c. Le droit d’opposition dans le RGPD ..........................................................
129 129 131 134 136 137
§ 3 – Les sanctions ..............................................................................................................................
139
137 139
t aBle
des matières
| 437
Section III Le profilage et le Big Data................................................................................
142
§ 1 – Définitions et caractéristiques du profilage ....................................................................
143
§ 2 – Définitions et caractéristiques du Big Data......................................................................
145
§ 3 – La difficile application des principes de protection .....................................................
146
Section IV Transfert des données à caractère personnel ...............................................
149
§ 1 – Cadre juridique applicable jusqu’en mai 2018..................................................................
151
A. Transfert et directive n° 95/46/CE du 24 octobre 1995 ........................................
151
1.
Le principe d’interdiction des transferts ne présentant pas un niveau de protection adéquat........................................................................
151
2. Les dérogations au principe ..................................................................................
152
a. La libre circulation des données dans les États membres ..................
153
b. Les pays bénéficiant d’un niveau de protection adéquat ...................
154
i.
Les fondements .....................................................................................
154
ii.
Le Safe Harbor .......................................................................................
154
iii.
Le bouclier de protection des données ou « Privacy Shield » .
156
Les clauses contractuelles ............................................................................
158
i.
Les clauses contractuelles types ......................................................
158
ii.
Les règles internes contraignantes ..................................................
159
B. Transfert et loi « Informatique, Fichiers et Libertés » ............................................
161
c.
1.
Le principe..................................................................................................................
162
2. Les dérogations.........................................................................................................
162
3.
Les sanctions..............................................................................................................
163
§ 2 – Transfert des données et règlement général de protection des données..............
164
A. Le principe général applicable aux transferts ..........................................................
165
B. Les fondements juridiques admis pour les transferts............................................
166
1.
Transferts fondés sur une décision d’adéquation ..........................................
166
a. Décisions d’adéquation .................................................................................
166
b. Décision d’inadéquation ...............................................................................
167
2. Transferts fondés sur des garanties appropriées ...........................................
168
3.
Transferts fondés sur des règles d’entreprise contraignantes ...................
169
C. Les dérogations prévues pour des situations particulières .................................
170
D. Les aspects internationaux des transferts .................................................................
170
438 | B anque
et
a ssurance
digitales
CHAPITRE III Conformité légale .................................................................................
173
Section I Lutte contre le blanchiment des capitaux et le financement du terrorisme.....................................................................................................
174
§ 1 – Les différents niveaux de vigilance..................................................................................... A. Vigilance simplifiée .......................................................................................................... B. Vigilance normale ............................................................................................................. C. Vigilance renforcée .......................................................................................................... § 2 – Identification et « connaissance client » ........................................................................... A. Extension du domaine de la connaissance client .................................................... B. Collecte raisonnable des informations en vertu de la protection des données personnelles............................................................................................... § 3 – Exemples de jurisprudence en matière de LAB-FT .........................................................
178 178 179 181 182 183 184 186
Section II Contrôle interne et sécurité de l’information .................................................
187
§ 1 – Arrêté du 3 novembre 2014 et contrôle interne dans le secteur bancaire.............. § 2 – Le Système d’Information, support du contrôle interne ............................................. § 3 – Prestations de services essentiels externalisées ............................................................. § 4 – Contrôle interne dans le secteur des assurances ...........................................................
187 190 194 196
Section III Secret professionnel ........................................................................................
197
§ 1 – Secret bancaire ......................................................................................................................... § 2 – Le secret des données de santé ...........................................................................................
198 202
CHAPITRE IV De la sécurité des systèmes d’information et de l’information ........
205
Section préliminaire Un cadre juridique de plus en plus étoffé ......................................................
205
Section I Sécurité et cybersurveillance des salariés ....................................................
206
§ 1 – Charte d’utilisation des ressources numériques ............................................................. A. Principes généraux............................................................................................................ B. Élaboration de la charte et respect de procédures................................................ C. Contenu de la charte ....................................................................................................... § 2 – Construction jurisprudentielle du régime juridique...................................................... A. Consécration de l’application de la charte ............................................................... B. Sécurisation interne et cyber-surveillance des salariés ........................................
207 208 209 212 212 212 214
t aBle
1. 2. 3. 4. 5.
des matières
| 439
Fichiers et messages électroniques .................................................................... Navigation sur Internet .......................................................................................... Équipements personnels ........................................................................................ Usage des réseaux sociaux .................................................................................... Les équipements téléphoniques ..........................................................................
214 215 217 218 219
Section II Identification et authentification .....................................................................
220
§ 1 – Principaux fondements relatifs à l’identification et l’authentification ................... A. Éléments de définitions .................................................................................................. 1. Sources françaises.................................................................................................... 2. Sources de l’Union européenne........................................................................... a. Identification électronique .......................................................................... b. Authentification .............................................................................................. B. Des bonnes pratiques relatives à l’authentification .............................................. C. Éclairages de la jurisprudence....................................................................................... 1. Manquement à l’obligation de sécurité ............................................................ 2. Authentification à facteur unique jugée trop faible ..................................... 3. Sur-authentification par SMS ............................................................................... 4. 3D Secure et l’obligation d’information............................................................ § 2 – Les usages de la pratique en matière d’authentification ............................................. A. Les systèmes reposant sur des codes et mots de passe........................................ 1. Login/mot de passe ................................................................................................ 2. Système dit de « bataille navale » ....................................................................... 3. Les OTP/SMS ou OTP par téléphone portable sur un serveur vocal ....... B. L’authentification biométrique .................................................................................... 1. Biométrie : des dispositifs sensibles ................................................................... 2. Authentification par reconnaissance vocale ................................................... 3. Les certificats électroniques ................................................................................ 4. France Connect ......................................................................................................... 5. Gestion de l’identité et Carte nationale d’identité électronique .............
222 222 222 223 223 226 228 231 231 231 232 233 234 234 234 234 234 235 235 236 238 240 241
Section III Lutte contre les fraudes numériques et la cybercriminalité .........................
242
§ 1 – Les directives européennes ................................................................................................... A. Directive relative aux attaques contre les systèmes d’information ................. B. La directive sur le secret des affaires ......................................................................... § 2 – De quelques délits applicables aux systèmes d’information ...................................... A. Phishing ................................................................................................................................ B. Usurpation d’identité ...................................................................................................... 1. L’infraction .................................................................................................................
244 244 245 246 247 249 250
440 | B anque
et
a ssurance
digitales
2. Applications jurisprudentielles............................................................................
250
C. Fraude aux « faux ordres de virement internationaux » (FOVI) ...........................
253
1.
La responsabilité de la banque ............................................................................
253
2. La sécurisation de l’accès ......................................................................................
256
D. Les fuites d’information..................................................................................................
257
« Data Loss Prevention » (DLP) : un moyen de protection des informations de l’entreprise..........................................................................
257
2. Une première jurisprudence sur la pratique des DLP....................................
258
3.
Quels enseignements retenir ? .............................................................................
259
E. Ransomware ou l’avènement de la prise d’otage numérique..............................
259
Les contours du « Ransomware » .........................................................................
260
2. Risques juridiques ....................................................................................................
261
3.
Parades juridiques ....................................................................................................
261
Le vol de données .............................................................................................................
263
Section IV Obligations relatives à la sécurité des systèmes d’information ..................
265
§ 1 – Principaux textes et leurs applications..............................................................................
266
A. Obligations dans le cadre de la protection des données à caractère personnel ......................................................................................................
266
B. Obligations dans le cadre de la protection des intérêts de la Nation .............
271
1.
1.
F.
1.
Obligations issues de la loi de programmation militaire.............................
271
2. Principales obligations à la charge des OIV .....................................................
272
C. Les notifications des failles de sécurité .....................................................................
274
1.
Les notifications des failles de sécurité dans l’ordonnance du 24 août 2011 ..........................................................................................................
277
a. Obligation de notification............................................................................
278
b. Le contenu de l’obligation de sécurité .....................................................
278
2. Les notifications dans la directive Sécurité des réseaux informatiques et la LPM .........................................................................................
279
3.
La DSP 2 .......................................................................................................................
280
D. Obligations de sécurité dans le règlement général de l’AMF..............................
281
§ 2 – Normes techniques et mesures de sécurité .....................................................................
281
A. Application des normes professionnelles .................................................................
282
B. Le standard PCI DSS .........................................................................................................
284
t aBle
des matières
| 441
CHAPITRE V Les aspects contractuels de l’assurance et de la banque digitale ..
287
Section I Le cadre juridique applicable à la banque digitale ........................................
287
§ 1 – Droit de la consommation et banque digitale ................................................................ § 2 – La réforme du Code civil et la banque digitale ............................................................... A. Les obligations d’informations précontractuelles .................................................. B. Les clauses abusives ......................................................................................................... C. La théorie de l’imprévision ............................................................................................
287 289 290 291 291
Section II Les clauses utiles .............................................................................................
292
§ 1 – Convention de preuve ............................................................................................................ § 2 – Le descriptif des services ....................................................................................................... § 3 – Obligations / responsabilités............................................................................................... § 4 – Les mesures de sécurité ......................................................................................................... § 5 – La clause « Informatique et Libertés » et la clause de secret bancaire ....................
292 293 294 294 294
Section III L’inclusion des stipulations relatives à la banque et à l’assurance digitales .............................................................................................................
294
§ 1 – Inclusion des conditions de Banque en ligne (BEL) dans la convention de compte de dépôt ............................................................................................................... § 2 – Inclusion des dispositions de banque en ligne (BEL) dans un document autonome ...................................................................................................................................
295 295
PARTIE II OPÉRATIONS DE BANQUE ET D’ASSURANCE DIGITALES CHAPITRE I Les principes de la digitalisation des documents.............................
299
Section I L’établissement d’un écrit électronique .........................................................
300
§ 1 – L’authentification / l’identification du client ................................................................. A. L’identification « KYC » de l’auteur .............................................................................. B. L’identification « civiliste » de l’auteur de l’acte ..................................................... § 2 – Les règles d’établissement de l’écrit sous forme électronique .................................. A. L’écrit requis à titre de preuve ..................................................................................... 1. L’identification de la personne ............................................................................ 2. L’intégrité de l’écrit dans le temps .....................................................................
300 300 303 305 306 306 306
442 | B anque
et
a ssurance
digitales
B. L’écrit requis à titre de validité de l’acte ..................................................................
308
C. L’original sous forme électronique..............................................................................
310
§ 3 – La phase de signature électronique proprement dite ..................................................
311
A. Le type de signature électronique utilisé..................................................................
311
B. Les fonctionnalités attendues de la signature électronique ............................... 1. L’identification du signataire................................................................................ 2. La manifestation du consentement....................................................................
315 315 316
§ 4 – Remise du contrat ....................................................................................................................
318
Section II La conservation des documents.....................................................................
319
§ 1 – Conservation de l’écrit électronique .................................................................................
319
§ 2 – Les copies électroniques ........................................................................................................
322
CHAPITRE II Les opérations de paiement numérique .............................................
327
Section I Les opérations de paiement ............................................................................
328
§ 1 – Obligations d’information .....................................................................................................
329
§ 2 – Consentement du client.........................................................................................................
330
§ 3 – Preuve de l’opération mal exécutée ..................................................................................
331
§ 4 – Modalités particulières de transmissions des ordres de paiement ..........................
331
§ 5 – Conservation – Prescription .................................................................................................
332
Section II Les instruments de paiement ..........................................................................
333
§ 1 – Les virements : le « SEPA Credit Transfer » .......................................................................
334
§ 2 – Les prélèvements : le « SEPA Direct Debit »......................................................................
335
§ 3 – Les paiements par carte bancaire : le « SEPA Card Framework »................................
336
§ 4 – L’« Instant Payment »...............................................................................................................
336
Section III Les formes des moyens de paiement .............................................................
337
§ 1 – Le paiement par SMS ..............................................................................................................
337
§ 2 – Le paiement via « E-Wallet » (réseaux sociaux)...............................................................
338
§ 3 – Le paiement via PayPal ...........................................................................................................
338
§ 4 – Le paiement par NFC...............................................................................................................
339
§ 5 – Le paiement en recourant à la vérification des transactions via la Blockchain ....
339
t aBle
des matières
| 443
CHAPITRE III Les fonctionnalités de la banque en ligne .........................................
341
Section I Consultation et émission de relevés d’opérations par voie électronique/Gestion des alertes ....................................................................
342
Section II Mise à disposition pour impression de Relevés d’identité bancaire ...........
343
Section III Les virements bancaires ..................................................................................
344
Section IV Fonctionnalité de base des espaces clients ..................................................
344
Section V Mise en place de simulations d’opération (crédit, assurance) .....................
346
Section VI Messagerie bancaire ........................................................................................
346
CHAPITRE IV La contractualisation d’opérations complexes .................................
349
Section I Ouverture d’un compte de dépôt ....................................................................
349
§ 1 – Obligation d’information précontractuelle et contractuelle..................................... § 2 – Remise de l’offre de contrat................................................................................................. § 3 – Acceptation du contrat / signature du client ................................................................. § 4 – Refus de souscription du contrat ........................................................................................ § 5 – L’exécution du contrat ........................................................................................................... § 6 – Sanctions.....................................................................................................................................
350 350 350 351 351 352
Section II La conclusion d’un contrat de crédit à la consommation ............................
353
§ 1 – L’information précontractuelle du consommateur ....................................................... § 2 – Offre de crédit .......................................................................................................................... § 3 – Conclusion du contrat de crédit.......................................................................................... A. Les règles de droit commun applicables ................................................................... B. Les règles dérogatoires du Code de la consommation ......................................... § 4 – Remise du contrat de crédit ................................................................................................. § 5 – Archivage / accessibilité du contrat de crédit ...............................................................
355 357 358 358 358 359 359
Section III La souscription d’un contrat d’assurance .....................................................
359
§ 1 – Notices précontractuelles .....................................................................................................
360
444 | B anque
et
a ssurance
digitales
§ 2 – Transmission de la proposition d’assurance émanant du souscripteur ................... § 3 – Établissement de la police d’assurance par la compagnie d’assurance ................... § 4 – Preuve de la remise ................................................................................................................. § 5 – Signature du contrat d’assurance ........................................................................................ § 6 – Le droit de renonciation ........................................................................................................ § 7 – Questionnaire de santé ..........................................................................................................
363 363 364 365 367 368
PARTIE III LES NOUVEAUX SERVICES DIGITAUX CHAPITRE PRÉLIMINAIRE Les Fintech, nouveaux acteurs du monde bancaire, financier, assurantiel.............................................................................................
373
Section I Fintech : une définition empirique ..................................................................
374
Section II Une prise en compte progressive par les autorités en charge de la régulation financière ...............................................................................
375
CHAPITRE I Les services disposant d’un cadre juridique .....................................
377
Section I Le coffre-fort numérique ..................................................................................
377
§ 1 – Définition du coffre-fort numérique .................................................................................
377
Sous-section 5 Appellation de coffre-fort numérique .................................................................
379
§ 2 – Documents cibles ..................................................................................................................... § 3 – Labellisation des coffres-forts numériques par la CNIL ............................................... § 4 – Les mesures de sécurité ......................................................................................................... § 5 – Quid en cas de décès du titulaire du coffre-fort ? .........................................................
379 380 382 382
Section II Les initiateurs de paiement et les agrégateurs de comptes de paiement ...
384
§ 1 – Régime juridique de l’initiation de paiement .................................................................. § 2 – Régime juridique de l’agrégation de comptes de paiement ....................................... § 3 – Quelles actions à venir ?.........................................................................................................
386 387 390
Section III Les plateformes de crowdfunding ..................................................................
392
§ 1 – Les plateformes de financement participatif sous forme de titres..........................
394
t aBle
des matières
| 445
A. Le conseiller en investissement participatif.............................................................
394
B. Le régime juridique des conseillers en financement participatif....................... 1. Obligations................................................................................................................. a. Formalités .......................................................................................................... b. Interdictions ..................................................................................................... c. Obligations ........................................................................................................ 2. Le contrôle des conseillers en investissement participatif.........................
396 397 397 397 397 398
§ 2 – Les plateformes de financement participatif sous forme de dons ou prêts .........
399
A. L’intermédiaire en financement participatif ............................................................
399
B. Les modes de financement : prêts et/ou dons ........................................................ 1. Nature de la participation en fonction de la situation ................................ 2. Régime du prêt et du crédit .................................................................................
400 401 402
C. Le régime juridique des intermédiaires en financement participatif ............... 1. Les obligations encadrant l’activité d’IFP ......................................................... a. Formalités .......................................................................................................... b. Obligations ........................................................................................................ 2. Relations avec les autorités de contrôle ..........................................................
402 402 403 403 404
§ 3 – Dispositions communes .........................................................................................................
404
CHAPITRE II Les services en cours d’encadrement ...............................................
407
Section I Les monnaies virtuelles ...................................................................................
407
§ 1 – Les caractéristiques des monnaies virtuelles ..................................................................
408
A. Les définitions du bitcoin ...............................................................................................
408
B. La difficulté de qualifier juridiquement les monnaies virtuelles .......................
410
§ 2 – Les risques juridiques liés à l’utilisation des monnaies virtuelles .............................
413
Section II La technologie Blockchain ..............................................................................
414
§ 1 – Les caractéristiques de la technologie de la Blockchain..............................................
415
A. Il s’agit d’un protocole ouvert… ...................................................................................
415
B. ...visant à assurer la gestion décentralisée et cohérente de l’historique de transactions...................................................................................................................
416
§ 2 – Le mode de fonctionnement de la technologie de la Blockchain ............................
416
A. Description d’une Blockchain .......................................................................................
416
B. Étapes de validation d’une transaction......................................................................
417
§ 3 – Les aspects juridiques de la Blockchain.............................................................................
418
446 | B anque
et
a ssurance
digitales
§ 4 – Les applications de la Blockchain........................................................................................ A. Le transfert de propriété des minibons ..................................................................... B. Ethereum et la confrontation de la Blockchain à la réalité .................................
419 420 420
Section III Les fournisseurs d’API .....................................................................................
421
§ 1 – Définition de l’API .................................................................................................................... § 2 – Les usages des API dans le monde de la banque, de la finance et de l’assurance ....................................................................................................................... § 3 – L’Open banking ......................................................................................................................... § 4 – Un encadrement juridique en cours d’évolution............................................................
421 422 422 423
Section IV Mobile Virtual Network .....................................................................................
423
Index ......................................................................................................
427
Bibliographie sélective.........................................................................
431
Des mêmes auteurs Dans la collection Essentiel de la Banque et de la Finance La banque en ligne et le droit Sous la direction de Éric A. Caprioli, avec les contributions de P. Agosti, I. Cantero, I. Choukri et F. Coupez
Dans la même collection Intermédiation financière – Opérations de banque – Services de paiement – Prêts participatifs – Services d’investissement : quelle réglementation et quelle responsabilité ? E. Bouretz Organismes de placements collectifs immobiliers (OPCI) (Les) – Régime juridiques É. Capron
Hors collection Big Data : menace ou opportunité pour l’Assurance ? P. Thourot et K. A. Folly Capital-investissement – Guide juridique et fiscal (Le) Fr.-Denis Poitrinal Financer une entreprise par le crowdfunding – Les nouvelles règles de l’investissement participatif D. Stucki êêêê Nouveauté Management et financement de l’innovation B. Yon, avec la collaboration de B. Attali Marchés obligataires – À la recherche des nouvelles frontières du risque S. Malécot êêêê Nouveauté Plus de marché pour plus d’État ! financière » F. Kramarz et Ph. Tibi
êêêê Grand Prix Turgot 2017 « Meilleur livre d’économie
Repères d’économie bancaire ‒ Les nouveaux défis du financement de l’économie Collectif sous la direction de V. Ohannessian et T. Waxin, avec M.-A. Barbat-Layani, C. Gallès, J. de Larosière, J.-H. Lorenzi, L. Quignon et A. Sienkiewicz êêêê Nouveauté Solvency 2 en 200 mots-clés Ph. Morin et P. Thourot (2e édition à paraître) Solvency 2 ‒ Impacts stratégiques et de marché F. Morlaye êêêê Nouveauté
Collection Marché / Finance Finance islamique (La) G. Causse-Broquet
Collection Master Analyse financière – Approche internationale – CFA Ph. Thomas Droit bancaire G. Decocq, Y. Gérard et J. Morel-Maroger Fusions-acquisitions Ph. Thomas Principes de Finance d’Entreprise – Corporate Finance – Création de valeur Ph. Thomas
448 | B anque
et
a ssurance
digitales
Collection Les essentiels de la banque et de la finance Banque et matières premières – Commodity Trade Finance D. Leboiteux et F. Constant êêêê Nouveauté Banque et son environnement en zone euro (La) J. Siliadin êêêê Nouveauté Bitcoin & Blockchain – Vers un nouveau paradigme de la confiance numérique ? Turgot 2017 de l’ouvrage collectif D. Geiben, O. Jean-Marie, T. Verbiest et J.-F. Vilotte
êêêê
Prix
Cyber-risques – Le nouvel enjeu du secteur bancaire et financier L. Zicry êêêê Nouveauté Fintech et Droit ‒ Quelle régulation pour les nouveaux entrants du secteur bancaire et financier ? Th. Bonneau et Th. Verbiest êêêê Nouveauté Hedge Funds ‒ Une analyse critique C. Kharoubi êêêê Nouveauté Innovation financière au service du climat (L’) – Les Obligations à Impact Environnemental A. Bouzidi et M. Mainelli êêêê Nouveauté Introduction à la comptabilité bancaire M. Formagne Introduction au Private Equity – Les bases du capital-investissement. France, Belgique, Luxembourg et Afrique francophone C. Demaria Investissement à haut rendement sociétal (L’) – La révolution de l’Impact Investing C. Antignac et B. Attali êêêê Nouveauté LBO – Montages à effet de levier – Private Equity Ph. Thomas Marketing bancaire et de l’assurance – Nouvelles tendances M. Badoc et E. Trouillaud Paiements à l’heure de l’Europe et de l’e/m-paiement (Les) R. Bouyala Real Estate – Finance de l’immobilier Ph. Thomas en collaboration avec A. Romanet-Perroux Révolution FinTech (La) R. Bouyala êêêê Nouveauté Trade Finance – Principe et fondamentaux D. Leboiteux (2e édition à paraître)
Retrouvez tous les ouvrages publiés chez RB Édition www.revue-banque.fr
Formaté typographiquement par DESK (53) : 02 43 01 22 11 – [email protected]
L
e secteur bancaire et assurantiel est au cœur de la révolution digitale qui innerve l’ensemble de la société. Précurseurs, les établissements bancaires et les entreprises d’assurance ont dû modifier en profondeur leurs pratiques et procédures pour satisfaire une clientèle toujours plus exigeante en termes de réactivité et de sécurité. La digitalisation de la banque et de l’assurance est la technique qui permet le passage de l’information analogique au numérique, au moyen des technologies de l’information, en vue de traitements et d’échanges entre systèmes d’information via les réseaux numériques, mais aussi avec les équipements personnels des clients. Les réglementations applicables sont de plus en plus complexes. Avec la digitalisation, le secteur bancaire et assurantiel doit non seulement prendre en compte les règles de droit commun, mais aussi les règles plus spécifiques qui encadrent les échanges digitaux/ numériques : quelles sont les exigences de sécurité des systèmes d’information qu’il convient de mettre en œuvre ? Quelles obligations juridiques pèsent sur l’entreprise de banque ou d’assurance en termes de conformité légale ou de protection des données à caractère personnel ? Selon quelles règles juridiques s’opèrent les relations digitalisées avec les clients ? Comment assurer le passage de la banque et de l’assurance traditionnelles au digital ? Quels sont les nouveaux services à valeur ajoutée et leurs cadres juridiques dont les banques et les assurances doivent se doter pour rester compétitives ? Cet ouvrage pratique et pragmatique a pour objectif de poser les fondements juridiques de la banque et l’assurance digitales. Les auteurs proposent une analyse approfondie, illustrée de références jurisprudentielles pour identifier les obligations et responsabilités des banques et des assurances, dans une optique de compliance réglementaire et de compétitivité. « Aborder dans un seul et même ouvrage la banque et l’assurance digitales est à la fois un choix judicieux et audacieux. Le rapprochement des activités, l’émergence de règles transversales et la supervision commune des secteurs – peut-être bientôt étendue au niveau européen – donne tout son sens à cette démarche. Dégager les questions juridiques, esquisser les réponses opérationnelles à y apporter – dans un contexte réglementaire en mouvement incessant – constituait un beau challenge. Éric Caprioli et ses associés l’ont relevé ». Myriam Roussille (Extrait de la préface)
Éric A. Caprioli est Avocat à la Cour de Paris, spécialiste en droit de l’informatique et des nouvelles technologies et en droit de la propriété intellectuelle. Il est habilité à diriger des recherches en droit et membre de la délégation française aux Nations unies. Pascal Agosti est Avocat au Barreau de Nice, spécialiste en droit de l’informatique, des nouvelles technologies et de la communication, Associé. Isabelle Cantero est Avocat au Barreau de Nice, Directeur du Pôle Vie privée et protection des données à caractère personnel et Vie privée et sécurité de l’information, Associé. Ilène Choukri est Avocat au Barreau de Nice, Directeur du Pôle Contentieux et Arbitrage, Docteur en droit, Associé.
revue-banque.fr ISBN : 978-2-86325-763-0 Code Géodif : G0070780 45 euros
Related Documents
Banque Et Assurance Digitales
February 2021 2
Assurance
February 2021 0
Comunicaciones Digitales
January 2021 1
Assurance Automobile
January 2021 0
Assurance Takaful
January 2021 0
Assurance Takaful
January 2021 0More Documents from "Mehdi Bouania"
Trading Laboratory Manual
February 2021 0
Banque Et Assurance Digitales
February 2021 2
Cibse Site Management Of Building Services Contractors
February 2021 0
Best Opening Lines
January 2021 2