L’agrégation des données bancaires permet de faire apparaître, sous divers angles, la situation financière d’une personne. Pour le Comité consultatif du secteur financier
(CCSF)
[1],
l’agrégateur est une société qui s’interpose « dans la relation entre le client et ses banques en vue de compiler toutes les informations relatives à ses différents comptes, pour faire un état général de son patrimoine à partir des éléments dont le client a demandé l’inclusion dans le service ».
L’agrégation des données bancaires est une pratique nouvelle en France, qui se répand lentement. Bien que proposée par certaines banques en ligne, elle est encore assez peu utilisée, alors que la multibancarité de nombre de Français la rendrait particulièrement utile. Aussi, des sociétés spécialisées apparaissent-elles, actuellement hors du champ de la réglementation des établissements de crédit, de paiement et d’investissement.
Intérêts et risques
Pour les clients, le service offert, en pratique dénommé «
Personal Finance Management (PFM)
[2]
», leur apporte une image globale de leurs comptes, de leurs rentrées et de leurs dépenses, ce qui leur donne une vision d’ensemble des flux et des soldes à diverses époques et leur permet d’en améliorer la gestion, en particulier de maximiser l’épargne qui peut en résulter.
Pour les agrégateurs, l’intérêt de cette activité est tout d’abord d’offrir aux clients une vision globalisée de leurs comptes, c’est-à-dire consolidée ; mais on peut douter que, compte tenu des investissements informatiques nécessaires, ce service soit rentable à lui seul. Ensuite, le PFM permet, comme le « couponnage » des grandes enseignes de la distribution, d’établir le profil du client et d’en tirer des enseignements, pour s’en servir ou les vendre ; là se trouve certainement un gisement de services à vendre, adaptés à la situation, aux habitudes et aux besoins du client.
Ces informations ont même une valeur économique en elles-mêmes. La jurisprudence y voit un bien susceptible d’appropriation, ce qu’a récemment reconnu la
Cour de cassation
[3]
. Après avoir affirmé que les dispositions de l’art. 314-1 du Code pénal relatif à l’abus de confiance « s’appliquent à un bien quelconque, susceptible d’appropriation » et donc de détournement, elle a jugé que tel était le cas de données relatives à une clientèle, bien qu’en l’espèce celles-ci n’aient pas été matérialisées par un fichier. Se pose alors la question de la propriété de ces informations. Bien que relatives à la personne et l’activité du client, elles sont produites par la banque, de sorte qu’elles sont la propriété de celle-ci. En effet, s’agissant d’un bien incorporel, il relève de la propriété de son auteur en vertu d’un principe classique :
Is quid fecit
[4]
.
Mais, plus encore que bien d’autres données, les données bancaires sont névralgiques, car elles sont à teneur personnelle accusée à raison de leur contenu, et vulnérables, à raison de leur
forme informatique
[5]
.
Agrégateurs bancaires
L’agrégation interne des données d’un client par une banque ne fait pas naître de réelle difficulté. La sécurité de la conservation des données par les banques est normalement de première qualité, même si aucun système n’est définitivement à l’abri d’un risque d’intrusion.
Il n’y a évidemment pas de question relative à leur obtention, dans la mesure où la banque les produit et les détient en vertu de la convention de compte. Il n’y a pas non plus de difficulté quant au regroupement de ces données, car aucune règle n’impose à la banque d’être schizophrène. Il s’agit certes de
données à caractère personnel
[6]
, au sens de la loi informatique et liberté du 6 janvier 1978, mais leur traitement, c’est-à-dire « la collecte, l’enregistrement, l’organisation…, l’extraction, la consultation, la communication […] le rapprochement ou l’interconnexion
[7]
», est expressément permis à celui ayant fait la déclaration à la CNIL et recueilli le consentement de l’intéressé.
Ces deux conditions sont par hypothèse remplies par les banques. La première l’est, car les données bancaires n’entrent pas dans la catégorie des
données sensibles
[8]
, même si certains le regrettent. La seconde, relative au consentement du client, l’est également, car celui-ci est systématiquement recueilli à l’ouverture du compte par l’acceptation de la convention de compte. En effet, la convention-type d’une des grandes banques de la Place dispose que « dans le cadre de la relation bancaire, la Banque est amenée à recueillir des données personnelles concernant le Client. Elles sont régies par les principes suivants : elles sont principalement utilisées par la Banque, responsable du traitement, pour les finalités suivantes : gestion interne, gestion de la relation bancaire, notamment des moyens de paiement, octroi du crédit, prospection, animation commerciale et études statistiques ».
Un problème se pose cependant relativement au partage de données au sein d’un groupe bancaire, et plus encore d’un conglomérat. La CNIL veille à ce que les informations ne puissent circuler que dans un cercle restreint, avec
l’accord exprès
[9]
et conscient du client. Aussi, les banques relevant d’un groupe prennent-elles soin de se faire clairement autoriser par leurs clients, le
secret bancaire
[10]
pouvant être levé par ceux-ci. Par ailleurs, les autorités se préoccupent de l’externalisation de ce service, en particulier par la technique du
Cloud computing
[11]
.
Agrégateurs non bancaires
Les agrégateurs non bancaires doivent également procéder à une déclaration à la CNIL, ce qui ne présente pas de difficulté particulière. De même, ils doivent recueillir l’assentiment de leur client, ce qui va de soi : pour avoir accès aux données de ses comptes bancaires, ils doivent obtenir les codes et mots de passe, que seul celui-ci peut leur donner. Mais c'est de là que peuvent venir les principaux dangers de l’agrégation des données bancaires par des tiers non régulés,
dangers
[12]
que la CNIL a mis en évidence.
Le premier danger vient de ce qu’en donnant son identifiant et son mot de passe à l’agrégateur, le client lui remet des données confidentielles, ce qui suppose une confiance particulière dans celui qui va les conserver. Or, en l’absence d’une réglementation contraignante, il n’est pas assuré que le stockage de ces données soit toujours sûr. Le deuxième danger vient du fait que la transmission de l’identifiant et du mot de passe à un tiers est une contravention à la convention de compte. Pour revenir à la convention-type déjà citée, celle-ci dispose que « le numéro client et le code secret sont strictement confidentiels. Ils sont utilisés et conservés sous la responsabilité du Client qui ne doit en aucun cas les communiquer à un tiers, y compris à un proche, que ce soit par oral, par écrit, par mail ou en remplissant un formulaire. » Dès lors, en cas de détournement, le client ne pourra pas s’en plaindre à la banque et ne sera pas assuré.
La CNIL alerte sur un troisième aspect : l’utilisation à des fins commerciales des données ainsi rassemblées. Dans l’hypothèse d’une banque, ces données sont soumises au secret bancaire, ce que rappelle la convention-type déjà citée, et ne peuvent pas être divulguées, sauf
autorisation expresse
[13]
du client. Il n’en va pas de même pour les agrégateurs non régulés, qui ne sont soumis à aucune obligation de secret et peuvent utiliser à des fins commerciales les données rassemblées. Il y a là un risque de divulgation, qui peut aller jusqu’à la transmission à un tiers des données brutes. Certes, ces agrégateurs non bancaires s’engageront probablement à ne pas révéler les données brutes, mais, d’une part, il n’est pas certain que tous offriront des conditions de sécurité suffisantes et, d’autre part, ils en tireront des profils qu’ils seront tentés de vendre à des tiers intéressés, car tel est nécessairement la finalité ultime de leur modèle économique, sans laquelle ils ne pourraient exister et se développer. Cependant, les agrégateurs non régulés ne pourront pas s’en servir pour proposer des services bancaires ou financiers, sauf à être enregistrés comme
IOBSP
[14]
, agent de services de paiement, agent lié d’un prestataire de services d’investissement ou démarcheur bancaire et financier. Ils ne pourront pas non plus faire du conseil, d’une part, parce qu’en matière bancaire, il est réservé aux IOBSP, d’autre part, parce qu’en matière financière, il est réservé aux conseillers en investissements financiers
(CIF)
[15]
.
Avenir proche : régulation des « prestataires de services de paiement tiers »
Cette situation de no man’s land réglementaire pour les agrégateurs non bancaires changera lorsque la proposition de nouvelle directive en matière de services de paiement, dite « DSP 2 », aura été adoptée. Elle tend à réglementer deux types de « prestataires de services de paiement tiers » : ceux qui fournissent des « services d’initiation de paiement » et ceux qui fournissent des «
services d’information sur les comptes
[16]
». Elle entend tout à la fois assurer que toute personne ait le droit effectif « de s’adresser à un prestataire de services de paiement tiers pour obtenir de services de paiement fondés sur un accès au compte de paiement
[17]
» et encadrer l’activité de ces PSP tiers en les soumettant à un agrément préalable, afin d’offrir aux consommateurs « une protection adéquate et une sécurité juridique quant à leur
statut
[18]
». Ils seront soumis à des règles de sécurité, en particulier s’agissant des conditions d’accès aux informations sur les comptes, à des exigences en matière d’authentification et à une répartition des responsabilités entre le prestataire de services de paiement gestionnaire du compte et le PSP tiers.
1
CCSF, Rapport annuel 2013, p. 54.
2
« Les banques en ligne sont en tête de la course pour le Personal Finance Management » : www.entreprises-et-decideur.fr.
3
Cass. crim. 16 novembre 2011, n° 10-87866 : D. 2012, p. 137, note G. Beaussonie.
4
G. Beaussonie, note sous Cass.crim. 16 novembre 2011, précité, pp. 139-140.
5
G. Beaussonie, note sous Com. 25 juin 2013, n° 12-17037 : D. 2013, p. 1867, spéc. p. 1869. Sur les dangers en général de la multiplication et la circulation des données numériques, voir l’article de J. Rochfeld, « La vie tracée ou le code civil doit-il protéger la présence numérique des personnes ? »,
Mélanges Hauser, LexisNexis et Dalloz.
6
Directive n° 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données. Voir J. Morel-Maroger, « La protection des données personnelles des clients des banques : bilan et perspectives »,
RDBF mars-avril 2011, Étude 30, p. 7.
7
Qui sont réservées aux informations concernant «
les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l’appartenance syndicale des personnes, ou qui sont relatives à la santé ou à la vie sexuelle de celles-ci » : Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, art. 2.
8
N. Martial-Braz, J. Rochfeld et E. Gattone, «
Quel avenir pour la protection des données à caractère personnel en Europe ? Les enjeux de l’élaboration chaotique du règlement relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données » : D. 2013, p. 2788, spéc.p. 2792, n° 11 : «
De la même façon, les données bancaires ne se trouvent pas formellement envisagées par la proposition de règlement, alors qu’elles mériteraient une attention toute particulière, eu égard à leur importance patrimoniale et à leur caractère très sensible (on peut connaître l’ensemble des pans de vie d’un individu à l’examen de ses relevés de comptes). »
9
CNIL, délibération n° 2005-196 du 8 sept. 2005 et délibération n° 2012-176 du 21 juin 2012.
10
Cass. com. 11 avril 1995, n° 92-20985 : BC, IV, n° 121. CE 30 décembre 2009, n° 306173 : Recueil Lebon.
11
ACPR, « Les risques associés au Cloud computing », Analyses et Synthèses n° 16, juillet 2013.
12
La CNIL alerte sur les services d’agrégation de comptes bancaires » : www.meilleure-banque-en-ligne.fr.
13
Art. L. 511-33 et L. 571-4 du Code monétaire et financier. Th. Bonneau,
Droit bancaire, Domat, 10e éd., n° 520 et s.
14
Loi de régulation bancaire et financière n° 2010-1249 du 22 octobre 2010, art. 36-VII, 1°.
15
Art. L. 541-1-1 du Code monétaire et financier.
16
Point 7 de l’annexe I de la proposition de directive du Parlement européen et du Conseil concernant les services de paiement dans le marché intérieur, modifiant les directives 2002/65/ CE, 2013/36/UE et 2009/110/CE et abrogeant la directive 2007/64/CE.
17
Art. 58.1.
18
Considérant 26.
