De la protection européenne des données personnelles bancaires

Le paradoxe de la vie numérique (immatérielle) est qu’elle laisse des traces, qu’elle crée même une identité (voire une personne) numérique, que l’on veut parfois oublier. Dans le cadre de la nouvelle « économie de la connaissance [1] », ces empreintes valent de l’or, l’« or noir d’Internet » dit-on parfois. À l’heure du big data (et du cloud computing [2] ), la protection des données à caractère personnel présente un véritable défi [3] , dont s’est ressaisi le législateur européen par sa proposition (en date du 25 janvier 2012) de règlement relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données).

Comme avant elle la Directive n° 95/46/CE du 24 octobre 1995, la proposition de règlement général tente de concilier deux points de vue opposés (inconciliables ?) :

• l’un « personnaliste » (la protection des personnes) ;
• l’autre « économique » (la libre circulation des données).

L’article 1 ^er du règlement est éloquent : certes, son objectif est de protéger les libertés et droits fondamentaux des personnes physiques, en particulier leur droit à la protection des données à caractère personnel ; mais la libre circulation des données au sein de l’Union n’est ni limitée ni interdite pour des motifs liés à la protection des personnes à l’égard du traitement de leurs données.

Si bien que l’on ne sait trop quel est le statut de la donnée : « est-ce une valeur, une création, un bien objet d’appropriation, dont il faut encadrer la patrimonialisation, ou un droit personnel et fondamental de chaque individu, qu’il convient de protéger au même titre que le droit au respect de la vie privée [4] ? ». Cette «  hésitation idéologique [5] » – celle d’ailleurs du droit européen dans son ensemble, oscillant entre protection du consommateur et libre concurrence – n’est sans doute pas étrangère aux débats sans fin (plus de 3 000 amendements !) qui reculent toujours plus l’adoption du règlement et douchent l’espoir de le voir publié avant la tenue des prochaines élections européennes, en mai 2014.

Des données sensibles

Une chose est sûre, c’est que les données bancaires sont des données à caractère personnel (toute information se rapportant à une personne concernée) et même des données sensibles (permettant, entre autres, de connaître et d’exploiter le profil économique de tout un chacun, auquel on attribue un score). Une autre ne l’est pas moins : la collecte et l’utilisation des données relatives aux clients sont à la base de l’activité bancaire (ouverture et gestion de comptes, octroi de crédits, etc., reposant sur un fort intuitu personae). Or ces données suscitent l’intérêt, par exemple celles échangées via le réseau SWIFT : « les États-Unis espionnent-ils nos données bancaires ? », s’inquiétait tout récemment le Parlement européen.

Les données personnelles bancaires ne sont cependant pas envisagées en tant que telles par la proposition de règlement européen, qui réserve l’interdiction des traitements portant sur des catégories particulières de données à caractère personnel à celles révélant l’origine raciale ou ethnique, les opinions politiques, la religion ou les croyances, l’appartenance syndicale ainsi qu’aux données génétiques ou concernant la santé ou relatives à la vie sexuelle ou à des condamnations pénales ou encore à des mesures de sûreté connexes [6] .

Il n’est évidemment pas envisageable de prôner l’interdiction du traitement des données financières pour la raison qu’elles seraient sensibles. Un régime adapté à leur sensibilité n’aurait-il pas cependant été souhaitable ? La Commission européenne s’est d’ailleurs timidement avancée dans cette voie, à l’occasion du règlement dit « data breach ») concernant les mesures relatives à la notification des violations de données à caractère personnel en vertu de la directive sur la vie privée et les communications électroniques [7] . On y lit ainsi, au considérant 12 : « Pour déterminer si une violation de données à caractère personnel est susceptible de porter atteinte aux données à caractère personnel ou à la vie privée d’un abonné ou d’une personne, il conviendrait en particulier de prendre en compte la nature et la teneur des données concernées, notamment s’il s’agit de données relatives à des informations financières comme les numéros de carte de crédit et coordonnées bancaires. »

Un droit des paiements passablement muet

Car en matière de données de paiement plus spécifiquement [8] , on ne peut que remarquer le peu de cas réservé à leur protection par la directive sur les services de paiement (DSP), dont le seul article 79 renvoie évasivement à la directive de 1995 [9] . La proposition de DSP 2 ( 24 juillet 2013) [10] n’est pas plus prolixe (et même un peu moins : cf. article 84 [11] ). Elle présente toutefois, sous l’angle de la protection des données, l’intérêt de prétendre réglementer les overlays payment providers, sous statut de prestataires de paiement tiers, qui offrent des services fondés sur l’accès aux comptes de paiement sous la forme de services d’initiation de paiement ou d’information sur les comptes [12] .

De son côté, la deuxième directive relative à la monnaie électronique (DME 2) est carrément muette sur le sujet des données personnelles. Il est vrai que l’une des caractéristiques majeures de la monnaie électronique est de préserver l’anonymat de son détenteur. Du moins lorsque, en l’absence de suspicion de blanchiment de capitaux ou de financement du terrorisme, la capacité maximale du support de la monnaie électronique (ayant uniquement vocation à être utilisée pour l’acquisition de biens ou services, à l’exclusion des opérations de transmission de fonds) n’est pas supérieure à 250 euros (instrument non rechargeable) ou à 2 500 euros cumulés sur une année civile ( instrument rechargeable [13] ).

Garantie d’anonymat qui participe d’ailleurs du succès (et de la mode) des monnaies dites virtuelles, à l’exemple du fameux bitcoin : « Par son caractère anonyme, le bitcoin favorise le contournement des règles relatives à la lutte contre le blanchiment des capitaux et le financement du terrorisme (LCB-FT) » alerte la Banque de France, qui prône en conséquence l’agrément (de prestataire de services de paiement) des plates-formes de conversion des bitcoins, notamment pour leur appliquer les règles relatives à la LCB-FT [14] .

Les risques de la lutte antiblanchiment

Alors pourtant que la lutte contre le blanchiment suppose par principe l’identification du client (voire du bénéficiaire effectif de la relation d’affaires), la 3^e directive Antiblanchiment n’aborde que très peu la question de la protection des données à caractère personnel [15] . La proposition de 4^e directive Antiblanchiment, présentée le 5 février 2013, est nettement plus diserte à ce sujet, dans la mesure où elle cherche à trouver un juste équilibre entre LCB-FT et protection du droit des personnes concernées [16] . Son considérant 31 est éloquent (même s’il n’est qu’une déclaration d’intention) : « Certains aspects de la mise en œuvre de la présente directive impliquent la collecte, l’analyse, l’enregistrement et le partage de données. Le traitement de données à caractère personnel devrait être autorisé aux fins du respect des obligations prévues dans la présente directive, et notamment l’application de mesures de vigilance à l’égard de la clientèle, l’exercice d’un suivi continu, la conduite d’enquêtes sur les transactions inhabituelles et suspectes et la déclaration de ces transactions, l’identification du bénéficiaire effectif d’une personne morale ou d’une construction juridique, et le partage d’informations par les autorités compétentes et par les établissements financiers. La collecte de données à caractère personnel devrait se limiter à ce qui est strictement nécessaire au respect des exigences de la présente directive, et ces données ne devraient pas être retraitées d’une manière non conforme à la directive 95/46/CE. En particulier, le retraitement de données à caractère personnel à des fins commerciales devrait être strictement interdit [17] ».

Il n’en demeure pas moins que la digue du secret bancaire paraît bien fragile face aux exigences de connaissance des clients (KYC dans le jargon bancaire). « Les pays devraient s’assurer que les lois sur le secret professionnel des institutions financières n’entravent pas la mise en œuvre des recommandations du GAFI », expose la recommandation 9 du Groupe d’action financière. En droit français, le client identifié peut bien faire valoir un droit d’accès, mais seulement indirect : lorsque des données à caractère personnel font l’objet d’un traitement aux seules fins de l’application des obligations de vigilance par un établissement assujetti aux règles de LCB-FT, le droit d’accès s’exerce auprès de la CNIL [18] .

Il serait bon, invite le Contrôleur européen de la protection des données (CEPD), que « compte tenu de la nature potentiellement très intrusive des obligations liées à la lutte contre le blanchiment d’argent, l’obligation d’information des personnes dont les données sont traitées apparaisse clairement dans la proposition de directive, en particulier quant à la potentielle analyse de leurs données personnelles et à leur transfert [19] ».

Les risques d’exploitation « sauvage », ou de compromission [20] , des données de paiement est réel. Car tous les nouveaux moyens de paiement électroniques impliquent le traitement de données personnelles et l’utilisation de réseaux de communication numériques, remarquait le Livre vert de la Commission européenne sur le marché intégré des paiements par carte, par Internet et par téléphone mobile [21] . On se demande même si l’essor contemporain des portefeuilles électroniques (wallets) ne servirait pas de prétexte (le prétexte du paiement) à la collecte d’informations personnelles. Mais c’est peut-être un mauvais procès…

N’est pas moins dangereux le fait, par exemple, que l’utilisation du numéro de carte bancaire en vente à distance, censément limitée à l’exécution d’une opération de paiement, permet de procéder à une « identification commerciale » de son titulaire, dont la Commission nationale de l’informatique et des libertés (CNIL) s’était alertée en 2003, recommandant en conséquence que « l’utilisation du numéro de carte bancaire à des fins d’identification commerciale soit subordonnée, lorsque ce numéro est conservé au-delà du temps nécessaire à la réalisation de la transaction, au recueil du consentement de la personne concernée [22] ».

Dix ans plus tard, une nouvelle recommandation de la CNIL sur le même sujet (curieusement non répertoriée sur le site de celle-ci) déclare, à titre de principe, que « la protection des données personnelles et par là même de la vie privée doit être envisagée comme la capacité de l’individu à maîtriser la collecte, l’enregistrement et l’utilisation des données à caractère personnel qu’il est tenu de communiquer dans le cadre d’un paiement [23] ».

Les données carte sont l’objet de toutes les convoitises. Il n’est qu’à constater, entre autres, le succès croissant de la pratique des offres promotionnelles personnalisées liées aux cartes de paiement (Card Linked Offers – CLO), qui combinent analyse des données de transaction et marketing ciblé. On dit que des centaines de banques américaines auraient été séduites par ce service ; que les établissements français y viendraient. Et le secret professionnel ?

De sorte qu’au terme de ces rapides développements, se dégage l’impression, nous semble-t-il, que le droit de la protection des données personnelles bancaires (spécialement de paiement) demeure encore à écrire. Un essor maîtrisé de l’économie (numérique) de la connaissance est à ce prix. Le futur règlement européen y parviendra-t-il ?

1 Expression tirée, par exemple, du considérant 1 de la proposition de directive du 28 novembre 2013 sur la protection des savoir-faire et des informations commerciales non divulguées (secrets d’affaires) contre l’obtention, l’utilisation et la divulgation illicites. 2 Cf. à ce sujet, ACP, « Les risques associés au Cloud computing », Analyses et Synthèses n° 16, juill. 2013. 3 Cf. P. Storrer, « Pour un droit commercial de l’exploitation des données à caractère personnel », Recueil Dalloz, 25 juill. 2013, n° 27, p. 1844. 4 N. Martial-Braz, J. Rochfeld et E. Gattone, « Quel avenir pour la protection des données à caractère personnel en Europe ? », Recueil Dalloz, 5 déc. 2013, n° 42, p. 2788. 5 Pour reprendre les termes de l’étude précitée. 6 Prop. Règl., art. 9, 1. Comp. Dir. n° 95/46/CE, art. 8, 1. Pour le droit français : L. n° 78-17, 6 janv. 1978, Informatique et Libertés, art. 8, I. 7 Règl. (UE) n° 611/2013, 24 juin 2013. 8 Nous n’abordons volontairement pas le domaine des opérations de crédit, qui mériteraient des développements à part entière. 9 « Les États membres autorisent le traitement des données à caractère personnel par les systèmes de paiement et les prestataires de services de paiement lorsque cela est nécessaire pour garantir la prévention, la recherche et la détection des fraudes en matière de paiements. Le traitement de ces données à caractère personnel est effectué conformément aux dispositions de la directive 95/46/CE ». 10 Sur laquelle cf, P. Storrer, « De la DME 2 à la DSP 2 : le nouvel horizon des paiements », Banque & Droit n° 152, nov.-déc. 2013, p. 8. 11 « Tout traitement de données à caractère personnel aux fins de la présente directive doit être effectué conformément à la directive 95/46/CE et aux règles nationales transposant ladite directive, ainsi qu'au règlement (CE) n° 45/2001 ». 12 Cf. Proposition de DSP 2, cons. 18 : « […] étant donné qu’actuellement, les prestataires tiers ne sont pas régis par la directive 2007/64/CE, ils ne sont pas nécessairement surveillés par une autorité compétente et ne sont pas soumis aux exigences de ladite directive. Cela soulève de nombreuses questions juridiques, notamment en matière de protection des consommateurs, de sécurité et de responsabilité, ainsi que de concurrence et de protection des données. Les nouvelles règles devraient donc répondre à ces questions ». 13 CMF, art. R. 561-16, 5°. 14 Banque de France, « Les dangers liés au développement des monnaies virtuelles : l’exemple du bitcoin », Focus n° 10, 5 déc. 2013. Comp. Tracfin, Rapport d’activité 2011, pp. 21-22. Voir encore European Banking Authority, « Warning to consumers on virtual currencies », 12 déc. 2013. 15 Cf. Dir. 2005/60/CE, 26 oct. 2005, cons. 33 et art. 28 relatifs à l’interdiction de divulgation. 16 CF. A. Banck, « 4e directive antiblanchiment et protection des données : quels impacts possibles ? », Revue Banque n° 762, juill.-août 2013. 17 Comp. Délibération CNIL n° 2011-180, 16 juin 2011, portant autorisation unique de traitements de données à caractère personnel mis en œuvre par des organismes financiers relatifs à la LCB-FT ainsi qu’à l’application des sanctions financières, art. 4 : « À l'exception des données relatives à l'identification et au justificatif de domicile, la collecte des informations […] avant l'entrée en relation ou au cours de celle-ci ne peut être systématique et indifférenciée pour l'ensemble des personnes concernées. Elle doit s'avérer nécessaire à l'évaluation du risque présenté par le client, l'opération demandée ou le contrat souscrit et être proportionnée à la classification des risques de l'établissement financier élaborée ab initio par grandes catégories de client, de produit et de contrat ». 18 CMF, art. L. 561-45. 19 CEPD, Communiqué de presse EDPS/2013/07, 4 juill. 2013. 20 Dernier exemple en date, le groupe Target (numéro trois de la grande distribution aux États-Unis) a annoncé, le 10 janvier 2013, avoir été victime d’un vol géant de données bancaires pendant la période des fêtes de fin d’année, ayant touché près de 40 millions de clients détenteurs de cartes de paiement. 21 COM(2011) 941 final, 11 janv. 2012. 22 CNIL, Délibération n° 03-34 du 19 juin 2003 portant adoption d’une recommandation relative au stockage et à l’utilisation du numéro de carte bancaire dans le secteur de la vente à distance. 23 CNIL, Délibération n° 2013-358 du 14 novembre 2013 portant adoption d’une recommandation concernant le traitement des données relatives à la carte de paiement en matière de vente de biens ou de fourniture de services à distance et abrogeant la délibération n° 03-034 du 19 juin 2013.