Nouveaux moyens de paiement, banque digitale et protection des données : A propos de l'arrêt BAWAG PSK Bank

Nous n’aimons guère commenter les arrêts, par trop pâteux, de la Cour de Justice de l’Union européenne. Mais, enfin, celui-ci est important, rendu le 25 janvier 2017 dans l’affaire C-375/15, BAWAG PSK Bank für Arbeit und Wirtschaft und Österreischiche Postparkasse AG c/ Verein für Konsumenteninformation. Car il intéresse directement la matière de la banque digitale (et de la néo-banque digitale) et, de surcroît, revêt une grande importance pratique dans la relation entre les prestataires de services de paiement et leurs clients.

En l’espèce, une clause du site Internet de banque en ligne de BAWAG prévoyait que « le client qui a souscrit à l’ebanking reçoit les communications et les messages (en particulier, les messages relatifs au compte, les extraits de compte, les relevés de cartes de crédit, les communications de modification, etc.) que la banque doit fournir au client ou mettre à la disposition de ce dernier par la poste ou au moyen d’une consultation ou d’une transmission par voie électronique dans le cadre du système e-banking de [BAWAG] ». Question préjudicielle fut alors posée à la Cour de Justice de savoir si une telle communication au moyen d’une boîte à lettres électronique intégrée au site de banque en ligne vaut fourniture d’informations, de conditions ou de modifications sur support durable au sens de la directive concernant les services de paiement [1] (DSP).

D’usage courant en droit de la consommation [2] , la notion de support durable (« équivalent fonctionnel » du support papier [3] ) est aussi connue de la DSP, qui la définit en son article 4, 25) comme « tout instrument permettant à l’utilisateur de services de paiement de stocker les informations qui lui sont personnellement adressées d’une manière telle que ces informations puissent être consultées ultérieurement pendant une période adaptée à leur finalité et reproduites à l’ identique [4] ». Elle intervient aux articles 36 et 41 (information générale préalable), 43 (accès aux informations et aux conditions associées au contrat-cadre) et, par renvoi, à l’article 44 (modification des conditions du contrat-cadre [5] ); dispositions qui doivent être lues au regard des considérants 24 et 25, le premier d’entre eux surtout, aux termes duquel « les exigences en matière d’information préalable sur les contrats cadres devraient être très détaillées et ces informations devraient toujours être fournies sur support papier ou sur un autre support durable, tel que les extraits imprimés par les automates bancaires, les disquettes, les CD-ROM, les DVD et les disques durs d’ordinateurs personnels sur lesquels le courrier électronique peut être stocké, ainsi que les sites Internet, à condition que ceux-ci puissent être consultés ultérieurement pendant une période adaptée aux fins auxquelles les informations sont destinées et permettent la reproduction à l’identique des informations stockées ».

La question soumise au juge européen était en réalité double : à quelles conditions une boîte mail de banque en ligne peut-elle constituer un support durable ? une information communiquée sur une boîte mail de banque en ligne est-elle « fournie » ou seulement « mise à disposition » ? Les réponses sont positives, mais les conditions trictes. Sur le premier point, l’arrêt énonce que le site de banque en ligne doit permettre à l’utilisateur de stocker les informations qui lui ont été personnellement adressées de manière qu’il puisse y accéder et les reproduire à l’identique, pendant une durée appropriée, sans qu’aucune modification unilatérale de leur contenu par le prestataire de services de paiement ou par un autre professionnel ne soit possible. Quant à l’action de fournir une information, poursuit la Cour, « si l’utilisateur de services de paiement est obligé de consulter ledit site Internet afin de prendre connaissance desdites informations, la transmission de ces informations est accompagnée d’un comportement actif du prestataire de services de paiement destiné à porter à la connaissance de cet utilisateur l’existence et la disponibilité desdites informations sur ledit site Internet ». Étant ajouté que, dans cette hypothèse, les informations seront considérées comme « simplement mises à disposition » – et donc non fournies – lorsque leur transmission ne sera pas accompagnée d’« un tel comportement actif » du prestataire de services de paiement [6] .

Qu’est-ce à dire concrètement ? Eh bien, d’abord, qu’il ne suffit pas de créer une boîte mail personnelle à chacun des utilisateurs des services de banque en ligne, puisque la communication d’informations sur celle-ci ne vaudrait que mise à disposition. De sorte, ensuite, que l’on s’orienterait vers un système « en deux temps », comme l’a suggéré l’Avocat général Michal Bobek au point 79 de ses conclusions : « Un système peut être mis en place qui garantit qu’un avis ou un message d’alerte est envoyé à l’adresse électronique privée du consommateur (ou un SMS sur leur téléphone personnel, ou même une simple lettre d’alerte), l’avertissant que de nouveaux messages sont disponibles dans la boîte mail de sa banque en ligne. Une telle procédure serait, selon moi, un complément approprié aux informations communiquées par une boîte mail de la banque en ligne sur un support durable, de sorte à constituer une “fourniture” d’ informations [7] ». Mais à quoi bon, alors, créer une boîte mail personnelle à chacun des utilisateurs de la banque en ligne si celle-ci ne permet pas de lui « fournir » utilement les informations contractuelles ?

Achevé de rédiger le 11 mars 2017.

La chronique Nouveaux moyens de paiement, banque digitale et protection des données est assurée par Myriam Roussille et Pierre Storrer.

1 Dir. 2007/64/CE, 13 nov. 2007. 2 L’arrêt de référence est sans doute CJUE, 5 juill. 2012, aff. C-49/11, Content Services Ltd : « L’article 5, paragraphe 1, de la directive 97/7/CE du Parlement européen et du Conseil, du 20 mai 1997, concernant la protection des consommateurs en matière de contrats à distance, doit être interprété en ce sens qu’une pratique commerciale qui consiste à ne rendre accessibles les informations prévues à cette disposition que par un hyperlien sur un site Internet de l’entreprise concernée ne satisfait pas aux exigences de ladite disposition, dès lors que ces informations ne sont ni “fournies” par cette entreprise ni «reçues» par le consommateur, au sens de cette même disposition, et qu’un site Internet tel que celui en cause au principal ne peut être considéré comme un “support durable” au sens dudit article 5, paragraphe 1. » 3 Arrêt précit., points 40 et 42. 4 Définition reprise à l’identique à l’article 4, 35) de la directive (UE) 2015/2366 du 25 novembre 2015, dite DSP 2. 5 On trouve ces prescriptions transcrites à l’article L. 314-13 du CMF. 6 Comp. DSP, cons. 27 : « […] la présente directive devrait distinguer deux modalités selon lesquelles le prestataire de services de paiement est tenu de fournir les informations : soit le prestataire de services de paiement devrait fournir, c’est-à-dire communiquer activement, les informations au moment opportun, comme requis par la présente directive, sans autre sollicitation de la part de l’utilisateur de services de paiement, soit les informations devraient être mises à la disposition de l’utilisateur de services de paiement, compte tenu de toute demande d’informations complémentaires qu’il pourrait formuler ». 7 Voir aussi le point 51 de l’arrêt lui-même.