Espace Banque & Droit

Propos introductifs

Créé le

26.03.2019

-

Mis à jour le

27.03.2019

Le colloque, dont ce numéro spécial de Banque & Droit fait la synthèse, a porté d’abord sur l’articulation entre DSP 2 et RGPD ; puis sur la mise en oeuvre de ces textes, en incluant une intervention de la CNIL pour évoquer la position du régulateur

Thierry Bonneau
  • Agrégé des facultés de droit, professeur Université Paris-Panthéon-Assas

1. Les textes, qu’ils soient européens ou français, peuvent être sectoriels ou transversaux. Les premiers, telle que la directive du 25 novembre 2015, dite DSP2 [1] , ne s’appliquent que dans un secteur d’activité – les services de paiement – alors que les seconds, illustrés par le RGDP – le règlement du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données [2] – s’appliquent quel que soit le secteur d’activité, ce qui oblige à les combiner sauf lorsque les dispositions des textes sectoriels sont dérogatoires aux textes transversaux.

2. RGPD est l’acronyme de l’intitulé abrégé officiel du Règlement du 27 avril 2016 : « Règlement général sur la protection des données ». Acronyme facile, mais un peu trompeur, car les données peuvent être de deux sortes : des données générales, par hypothèse impersonnelles, et des données à caractère personnel. Seules les secondes sont à envisager dans le cadre de ce colloque bien que son titre se réfère, comme l’intitulé abrégé du règlement du 27 avril 2016, aux « données » sans autre précision. Cette conclusion s’impose d’autant plus que la DSP 2 vise à régir, outre les établissements de paiement [3] , la relation nouée entre les professionnels fournissant des services de paiement et leurs clients [4] .

3. Les données à caractère personnel sont elles-mêmes diverses et variées. Elles peuvent être bancaires comme non bancaires, extrapatrimoniales comme patrimoniales. Est-ce à dire que les données à caractère personnel doivent être identifiées aux seules données extrapatrimoniales ? La réponse est assurément négative [5] . Les données patrimoniales, tels que les types de comptes ouverts au nom des clients, la fréquence, le montant et le type des opérations qui y sont portées, l’amplitude des variations des soldes des comptes et le montant des mêmes soldes à un instant « T » sont, tout autant que les données extrapatrimoniales, des données à caractère personnel. Le confirme la définition du Règlement du 27 avril 2016 [6] selon lequel l’expression « données à caractère personnel » désigne « toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée “personne concernée”) » [7] , le règlement ajoutant qu’« est réputée être une “personne physique identifiable” une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale » [8] . Le confirme également l’article 2 de la loi du 6 janvier 1978 [9] , telle que modifiée notamment par les lois des 7 octobre 2016 [10] et 20 juin 2018 [11] selon lequel « constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres ».

4. Ces définitions, qui ne distinguent pas selon le type d’information, patrimoniale ou extrapatrimoniale, interpellent car elles ne prennent en considération que les seules personnes physiques ; les personnes morales ne sont pas visées. Ce qui n’est pas étonnant en raison de l’objet du RGDP qui est d’établir « des règles relatives à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et des règles relatives à la libre circulation de ces données » [12] . Est-ce à dire que ces personnes morales sont sans protection ? La réponse est assurément négative en raison du secret bancaire [13] dont le fondement est la protection des clients, personnes physiques comme personnes morales [14] .

5. Les données à caractère personnel sont quotidiennement recueillies par les établissements de crédit dans le cadre de leurs activités. Cela n’est pas étonnant car ces informations sont indispensables à la bonne exécution des opérations de clientèle tels que les virements, les paiements par carte ou autres services de paiement. Et comme les établissements de crédit, comme tout professionnel, souhaitent développer leurs activités avec leurs clients, ils sont tentés de les traiter afin d’approfondir leur connaissance de leurs clients, ce qui est utile pour cerner leurs besoins, et par voie de conséquence pour déterminer les services et opérations qu’ils peuvent opportunément leur proposer.

6. D’où l’importance, pour les établissements de crédit et autres prestataires de services de paiement, du RGDP car ce règlement définit ce qui est possible et ce qui est impossible en matière de traitement des données. Étant observé qu’il pose un certain nombre de principes en matière de traitement [15] et reconnaît des droits aux personnes concernées par les données à caractère personnel : les clients ont en particulier un droit d’accès qui s’analyse en un droit de confirmation et d’information [16] , un droit à la portabilité, qui est le droit de récupérer les données à caractère personnel et de les transmettre à un tiers sans avoir à obtenir l’autorisation du responsable du traitement [17] , et un droit à l’oubli, et donc à l’effacement desdites données [18] .

7. Le droit à la portabilité n’est pas sans interpeller, car il conduit à un partage de données par les établissements de crédit avec d’autres prestataires de services bancaires, ce qui est d’autant plus notable que ce partage de données, qui participe de l’open banking [19] , est imposé aux établissements de crédit ; il n’est pas volontaire de leur part. Le droit à la portabilité rejoint le partage des données imposées par la DSP2 dont l’objectif est la mise en place et le renforcement, via l’accroissement de la concurrence, d’un marché unique des services de paiement. Ce qui explique que les établissements de crédit se soient vus imposer de communiquer les informations qu’ils détiennent, en particulier aux professionnels qui fournissent le service d’initiation de paiement, défini comme « un service consistant à initier un ordre de paiement à la demande de l’utilisateur de services de paiement concernant un compte de paiement détenu auprès d’un autre prestataire de services de paiement » [20] .

8. L’accès des tiers à des informations détenues par d’autres et sans leur consentement traduit un changement de paradigme qui révèle un changement de culture, en particulier pour le monde bancaire car il impose « de passer d’une culture du secret à une culture de l’accès aux données dans le domaine bancaire et financier » [21] . Ce qui explique sans doute les réticences, qui sont d’autant plus grandes lorsque les informations sont communiquées à des tiers qui ne sont pas soumis aux mêmes exigences professionnelles que les personnes qui détenaient les informations – on pense en particulier aux fournisseurs informatiques en nuage – le fameux cloud [22] – et les difficultés d’adaptation que certains peuvent éprouver, étant observé que les textes sont complexes et que leur compréhension n’est pas aisée.

9. La difficulté n’est pas négligeable lorsque l’on prend en considération un seul texte. Aussi est-ce une évidence de dire que la difficulté est accrue lorsqu’il convient de combiner plusieurs textes. Laquelle est d’autant moins ordinaire que les objectifs des textes ne sont pas les mêmes : pour l’un, à savoir la DSP 2, organiser un marché unique des services de paiement ; pour l’autre, et donc le RGDP, protéger les libertés et droits fondamentaux des personnes physiques [23] . Et, bien sûr, si l’on ajoute des éléments d’extranéité pour envisager la protection des données dans un cadre international, la complexité semble atteindre son paroxysme.

10. C’est dire toute la difficulté du thème du présent colloque qui a été construit en deux temps. Dans un premier temps, on va essayer de voir comment la DSP 2 et le RGDP s’articulent : messieurs Richard, Storrer, Plankensteiner et Jouffin vont nous apporter leur lumière en ce qui concerne l’accès, le statut et le transfert des données à caractère personnel. Dans un second temps, c’est la mise en musique des textes qui va nous être exposée. Cette tâche est revenue à mesdames Laidi et Chatellier-Chamoulaud. Que tous nos intervenants, sans oublier madame Nerbonne qui va évoquer la position du régulateur, soient chaleureusement remerciés pour leurs présentations qui seront assurément passionnantes.

  1. 1 Directive (UE) 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015 concernant les services de paiement dans le marché intérieur, modifiant les directives 2002/65/CE, 2009/110/CE et 2013/36/UE et le règlement (UE) n° 1093/2010, et aborgeant la directive 2007/64/CE.
  2. 2 Règlement (UE) 2016/678 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données). V. not E. Jouffin et C. Bret, I. Falque-Pierrotin, A. Basdevant et J-P. Mignard, F. Parmentier, A. Bounfour, M. Griguer, E. A. Caprioli, G. Mathias et A. Alfer, « La donnée dans tous ses états », Hors-Série Banque et Droit, septembre 2018.
  3. 3 Art. 5 et s., Directive préc.
  4. 4 Art. 38 et s., Directive préc. et notamment art. 50 et s. qui régissent les contrats-cadres.
  5. 5 Contrats-Concurrence-ConsommationLa notion même de données personnelles est entendue largement et leur nature extra-patrimoniale ou patrimoniale n’est pas précisée ; s’il paraît consacrer la première conception, la seconde n’en est pas absente. 
  6. 6 Règlement(UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données).
  7. 7 Art. 4, point 1, Règlement préc.
  8. 8 Art. préc.
  9. 9 Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.
  10. 10 Loi n° 2016-1321 du 7 octobre 2016 pour une République numérique.
  11. 11 [1] Loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles. V. M. Bourgeois et M. Moine, « La nouvelle loi informatique et libertés, Une transposition du RGPD ? », JCP 2018, éd. E, 1417.
  12. 12 Art. 1, § 1, Règlement préc.
  13. 13 Art. L 511-33, Code monétaire et financier.
  14. 14 La Cour de cassation vise, dans ses arrêts, l’article 9 du Code civil (v. not. Cass. com. 8 juill. 2004, Banque et Droit n° 93, janv.-févr. 2004. 54, obs. Th. Bonneau ; Cass. com. 21 sept. 2010, Banque et Droit n° 134, nov.-déc. 2010. 21, obs. Th. Bonneau ; Rev. trim. dr. com. 2010. 761, obs. D. Legeais ; Rev. dr. bancaire et financier, mars-avril 2011, com. n° 35 p. 49, note F-J. Crédot et Th. Samin).
  15. 15 Art. 8, Règlement préc.
  16. 16 Art. 15, Règlement préc.
  17. 17 Art. 20, Règlement préc.
  18. 18 Art. 17, Règlement préc.
  19. 19 V. Th. Bonneau, « Open banking et services de paiements », in Régulation bancaire et financière européenne et internationale, 4e éd., 2018, Bruylant, p 765 et s.
  20. 20 Art. 4, point 15, Directive préc.
  21. 21 [1]le groupe de travail recommande que la Banque de France formalise sa procédure d’accès aux données confidentielles et qu’elle diffuse un guide d’accès comme le font par exemple la Bundebank et la Banque d’Angleterre 
  22. 22 V. not. R. Perray, « L’externalisation des données des Fintech : les risques du Cloud », rev. dr. banc. et financier, janvier-février 2017, dossier 9.
  23. 23 Art. 1, § 2, Règlement préc.

À retrouver dans la revue
Banque et Droit NºHS-2019-1
Notes :
11 [1] Loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles. V. M. Bourgeois et M. Moine, « La nouvelle loi informatique et libertés, Une transposition du RGPD ? », JCP 2018, éd. E, 1417.
22 V. not. R. Perray, « L’externalisation des données des Fintech : les risques du Cloud », rev. dr. banc. et financier, janvier-février 2017, dossier 9.
12 Art. 1, § 1, Règlement préc.
23 Art. 1, § 2, Règlement préc.
13 Art. L 511-33, Code monétaire et financier.
14 La Cour de cassation vise, dans ses arrêts, l’article 9 du Code civil (v. not. Cass. com. 8 juill. 2004, Banque et Droit n° 93, janv.-févr. 2004. 54, obs. Th. Bonneau ; Cass. com. 21 sept. 2010, Banque et Droit n° 134, nov.-déc. 2010. 21, obs. Th. Bonneau ; Rev. trim. dr. com. 2010. 761, obs. D. Legeais ; Rev. dr. bancaire et financier, mars-avril 2011, com. n° 35 p. 49, note F-J. Crédot et Th. Samin).
15 Art. 8, Règlement préc.
16 Art. 15, Règlement préc.
17 Art. 20, Règlement préc.
18 Art. 17, Règlement préc.
19 V. Th. Bonneau, « Open banking et services de paiements », in Régulation bancaire et financière européenne et internationale, 4e éd., 2018, Bruylant, p 765 et s.
1 Directive (UE) 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015 concernant les services de paiement dans le marché intérieur, modifiant les directives 2002/65/CE, 2009/110/CE et 2013/36/UE et le règlement (UE) n° 1093/2010, et aborgeant la directive 2007/64/CE.
2 Règlement (UE) 2016/678 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données). V. not E. Jouffin et C. Bret, I. Falque-Pierrotin, A. Basdevant et J-P. Mignard, F. Parmentier, A. Bounfour, M. Griguer, E. A. Caprioli, G. Mathias et A. Alfer, « La donnée dans tous ses états », Hors-Série Banque et Droit, septembre 2018.
3 Art. 5 et s., Directive préc.
4 Art. 38 et s., Directive préc. et notamment art. 50 et s. qui régissent les contrats-cadres.
5 Contrats-Concurrence-ConsommationLa notion même de données personnelles est entendue largement et leur nature extra-patrimoniale ou patrimoniale n’est pas précisée ; s’il paraît consacrer la première conception, la seconde n’en est pas absente. 
6 Règlement(UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données).
7 Art. 4, point 1, Règlement préc.
8 Art. préc.
9 Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.
20 Art. 4, point 15, Directive préc.
10 Loi n° 2016-1321 du 7 octobre 2016 pour une République numérique.
21 [1]le groupe de travail recommande que la Banque de France formalise sa procédure d’accès aux données confidentielles et qu’elle diffuse un guide d’accès comme le font par exemple la Bundebank et la Banque d’Angleterre