Nouveaux moyens de paiement, banque digitale et protection des données : La loi pour une République numérique : une fâcheuse anticipation des textes européens

La loi n° 2016-1321 du 7 octobre 2016 pour une République numérique [1] , médiatiquement associée au nom de la secrétaire d’État qui l’aura portée (« loi Lemaire »), poursuit un objectif clairement affiché dans l’exposé de ses motifs : donner une longueur d’avance à la France dans le domaine du numérique en favorisant une politique d’ouverture des données et des connaissances. Quelle ambition ! Les acteurs du monde bancaire sont déjà sur le chemin, les services de banque en ligne étant désormais tout à fait rodés, le Big Data utilement exploité et la transition vers la banque digitale bien enclenchée.

Il y aurait donc a priori tout lieu de se réjouir de cette nouvelle loi… Mais la simple lecture de son plan suffit à révéler qu’elle risque en réalité d’alourdir les obligations à la charge des établissements. La loi pour une République numérique est en effet organisée autour de trois axes : favoriser la circulation des données et du savoir (titre I), oeuvrer pour la protection des individus dans la société du numérique (titre 2) et enfin garantir l’accès au numérique pour tous (titre 3). On le comprend, elle va nécessairement imposer aux banques de nouvelles sujétions, notamment dans le domaine du traitement des données personnelles. Car, sous couvert d’innovation, la loi pour une République numérique procède par anticipation, en avançant sur les terres du Règlement sur la protection des données [2] , mais sans en respecter rigoureusement les lignes. En outre, promouvoir une République numérique ne peut manifestement faire l’économie de s’intéresser au domaine des paiements (électroniques bien sûr – mais que reste-til des paiements non électroniques ?). Aussi le législateur n’a-t-il pas reculé face au risque de cavaliers législatifs et a profité de l’opportunité pour anticiper – là aussi de manière imparfaite – la deuxième directive Service de paiements [3] , dans des domaines certes limités, sans doute pour rendre (à la marge) la Place de Paris plus compétitive.

Données personnelles, paiements électroniques, la loi pour une République numérique intéressera donc le monde bancaire, même si la perspective de l’échéance de mai 2018, avec l’entrée en vigueur du RGPD, lui donne déjà une allure un peu obsolète (I.) et que sa confrontation à la DSP 2 qui devra être transposée presque concomitamment (janvier 2018) n’est guère plus heureuse (II.).

I. UNE OBSOLESCENCE PROGRAMMÉE AU REGARD DU RGPD ? (PAR E. JOUFFIN)

La loi pour une République numérique [4] entend favoriser la circulation des données et du savoir, tout oeuvrant pour la protection des individus dans la société du numérique. À ce titre, elle contribue à mettre le droit français au diapason avec le nouveau règlement n° 2016-679 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (ci-après RGPD [5] ) et modifie, ce faisant un certain nombre de dispositions de la loi Informatique et libertés [6] . Ceci, le diapason n’est pas un métronome. Le RGPD ne prenant effet que le 25 mai 2018, la loi pour une République numérique s’inscrit dans une démarche d’anticipation. Mais celle-ci est imparfaite, d’abord parce que des dispositions importantes du RGPD ont été laissées pour compte [7] , ensuite parce que certains dispositifs restent très en deçà de ce que le RGPD prévoit, ce qui imposera un nouveau remaniement des textes d’ici mai 2018. Diaposn donc, mais dissonant.

Nous examinerons les dispositions de la loi intéressant la protection des données à caractère personnel (ci-après DCP) dans l’environnement bancaire.

1. Les grands principes

« L’auto-détermination informationnelle [8] ». La loi Lemaire complète l’article premier de la loi Informatique et libertés en insérant un alinéa affirmant : « Toute personne dispose du droit de décider et de contrôler les usages qui sont faits des données à caractère personnel la concernant, dans les conditions fixées par la présente loi ». Cette disposition est centrale pour deux raisons. Tout d’abord, elle exprime la volonté de faire des DCP un attribut de la personnalité et non l’objet d’un quelconque droit de propriété. Ce choix clairement assumé par la secrétaire d’État, madame Lemaire [9] , rejoint le point de vue du Conseil d’État dans son rapport de 2014 [10] et du Conseil national du numérique [11] . Ensuite, l’autodétermination informationnelle se présente presque, au-delà d’un simple droit, comme un principe directeur puisqu’il irradie le régime des données personnelles, et il sous-tend les droits d’accès, de correction, d’oubli, la portabilité, etc. que consacre le RGPD.

On reconnaîtra à la loi pour une République numérique le mérite d’expliciter clairement un principe qui n’est pas exprimé expressis verbis par le RGPD même s’il est très largement sous-jacent, notamment au travers des notions de consentement [12] , de transparence [13] , d’ information [14] , d’ effacement [15] , de limitation [16] et de portabilité [17] . Pour autant, le droit de chacun de maîtriser les données qui lui sont propres a les allures d’un principe abstrait en matière bancaire, car il heurte de plein fouet l’obligation pour les banques de collecter et de conserver des données dans le cadre des obligations de KYC auxquelles elles sont tenues (au titre de la réglementation LCB-FT mais aussi des directives Crédit). Il va aussi à l’encontre de la mercantilisation des DCP qui préoccupe déjà l’Autorité bancaire européenne (ci-après ABE). Dans un discussion paper du 4 mai 2016 [18] sur les cas d’utilisations novatrices des données concernant les consommateurs par les institutions financières, l’ABE a relevé un risque lié à l’utilisation des données des clients dans le contexte du big data à savoir que « les individus peuvent être prêts à sacrifier la vie privée afin d’obtenir un crédit, mais peuvent ne pas apprécier les conséquences de ceci [19] ».

Protection des DCP à tous les instants de la vie : la protection des mineurs. La loi pour une République numérique met en place un dispositif de protection des mineurs qui va imposer aux banques d’opérer quelques ajustements dans le traitement de leur jeune clientèle [20] . Elle prévoit que le mineur âgé de quinze ans (ou plus) peut s’opposer à ce que les titulaires de l’exercice de l’autorité parentale aient accès aux données le concernant recueillies au cours de la recherche, de l’étude ou de l’évaluation. Si la mesure peut être saluée, elle reste loin de la protection générale offerte par l’article 8 du RGPD, lequel prévoit que les moins de 16 ans doivent obtenir l’autorisation du titulaire de l’autorité parentale afin de souscrire une offre « directe de services de la société de l’information ». Une évolution est donc à attendre sur ce point.

Par ailleurs, l’article 63 vise le droit d’effacement, à travers la modification de l’article 40 de la loi Informatique et libertés, traitant désormais du droit à l’effacement à l’égard des personnes mineures au moment de la collecte, que le RGPD énonce également [21] . Mais la loi pour une République numérique ne reprend pas la rédaction de l’article 17-2 du RGPD énonçant une certaine proportionnalité dans les moyens à mettre en oeuvre, « compte tenu des technologies disponibles et des coûts de mise en oeuvre » afin de prendre « des mesures raisonnables ». Elle précise par ailleurs que le responsable du traitement doit s’exécuter dans un délai d’un mois à compter de la demande. En l’absence de réponse, la personne concernée peut saisir la CNIL qui se prononce sur cette demande dans un délai de trois semaines à compter de la date de réception de la réclamation.

Protection des DCP à tous les instants de la vie : la « mort numérique [22] ». Le Conseil d’État, dans un arrêt du 8 juin 2016 [23] , a rappelé que seule la personne concernée peut demander, sous réserve de la justification de son identité, « […] la communication, sous une forme accessible, des données à caractère personnel qui la concernent [24] […] » et non ses héritiers. La loi pour une République numérique [25] aborde ce sujet au travers d’un nouvel article 40-1-I nouveau de la loi Informatique et libertés. Ce texte rappelle que les droits de la personne s’éteignent à son décès, sous réserve des directives relatives à la conservation, à l’effacement et à la communication de ses données à caractère personnel qu’elle a pu laisser. On notera que le RGPD n’aborde pas ce sujet [26] , le renvoyant à la compétence des États membres. De ce point de vue, la loi Lemaire complète le dispositif protecteur issu du RGPD.

2. Les nouveaux droits issus de la loi pour la République numérique

Portabilité des données [27] . Outre la question de l’application de la portabilité au domaine bancaire, se pose la question du périmètre d’application de la notion de prestataire d’un service de communication au public en ligne. L’idée-force de ce nouveau droit est de favoriser la mobilité numérique. La loi pour une République numérique, à travers un nouvel article L. 224- 42-1 qu’elle insère dans le Code de la consommation, pose un principe général : « Le consommateur dispose en toutes circonstances d’un droit de récupération de l’ensemble de ses données ».

Les internautes pourront récupérer les données qu’ils ont mises en ligne, dans un standard ouvert, aisément réutilisable et exploitable par un autre système de traitement automatisé (Art. L. 224-42-3). Tout comme pour le RGPD, la loi pour une République numérique prévoit que cette portabilité s’exerce auprès de la personne concernée et non auprès d’un autre professionnel assujetti à cette obligation. La loi prévoit un mécanisme à double détente selon que les données sont ou non à caractère personnel.

Portabilité des données à caractère personnel. L’article L. 224-42-2 du Code de la consommation fait un renvoi à l’article 20 du RGPD. Sont ainsi visées les données à caractère personnel, c’est-à-dire celles qui sont directement ou indirectement « identifiantes [28] ». On notera toutefois une hésitation sur l’exacte délimitation du périmètre de la notion de données à caractère personnel. La CNIL [29] estime en effet que l’accumulation de données détenues sur une seule et même personne permet « de la singulariser à partir d’un ou de plusieurs éléments qui lui sont propres. Ces données doivent, en tant que telles, être considérées comme identifiantes et non comme anonymes ».

L’article 20-1 du RGPD précise que cette portabilité ne s’applique qu’aux données à caractère personnel « fournies » à un responsable du traitement par un client. Schématiquement, sont portables les données personnelles apportées par un client, à l’exclusion de celles générées par le responsable du traitement. Lors d’un Fablab conduit par le G29 [30] , une distinction a été évoquée entre les données brutes et celles ayant été analysées, de même a été soulevée la question de l’application de la notion de DCP aux métadonnées [31] .

Cette portabilité doit être portée à la connaissance du client [32] , la gratuité de cette dernière n’étant pas mentionnée par le RGPD. On notera enfin que la portabilité n’est due que dans des cas restreints, à savoir lorsque les données ont été communiquées sur la base d’un consentement de la personne concernée pour une ou plusieurs finalités spécifiques [33] (en pratique, essentiellement pour la prospection commerciale et le démarchage ou pour les services à valeurs ajoutés donnés), ou bien lorsqu’elles sont utiles pour l’exécution d’un contrat ou l’exécution de mesures précontractuelles prises à la demande de la personne concernée [34] (hypothèse du scoring), le traitement desdites données devant être réalisé à l’aide de procédés automatisés [35] .

On regrettera que la loi pour une République numérique ne reprenne pas le contenu du considérant 68 du RGPD, lequel énonce : « Le droit de la personne concernée de transmettre ou de recevoir des données à caractère personnel la concernant ne devrait pas créer, pour les responsables du traitement, d’obligation d’adopter ou de maintenir des systèmes de traitement qui sont techniquement compatibles ». Les dispositions de la loi pour une République numérique ne seront applicables qu’au 25 mai 2018 [36] ce qui laisse supposer que, d’ici là, il n’existe pas d’obligation de portabilité s’agissant des données personnelles Or, a priori, le secteur bancaire est essentiellement concerné par ce type de données.

Portabilité des données qui ne sont pas à caractère personnel. Le nouvel article L. 224-42-3 du Code de la consommation énonce, sous réserve des textes relatifs aux secrets applicables en matière commerciale et industrielle et de propriété intellectuelle (le secret bancaire n’étant pas visé par le texte) que tout « fournisseur d’un service de communication au public en ligne » doit proposer gratuitement une fonctionnalité permettant la récupération « par une requête unique, (de) l’ensemble des fichiers ou données concernés » : (i) de tous les fichiers mis en ligne par le consommateur (cas typique des médias sociaux) ; (ii) de toutes les données résultant de l’utilisation du compte d’utilisateur du consommateur et consultables en ligne par celui-ci (sauf celles ayant fait l’objet d’un « enrichissement significatif [37] » par le fournisseur en cause) ; (iii) d’autres données associées au compte utilisateur du consommateur et répondant à deux conditions [38] .

Ces dispositions sont d’application immédiate. Tout manquement à cette obligation pourra être sanctionné, sur le fondement de l’article L. 242-20 du Code de la consommation, d’une amende administrative dont le montant ne pourra être supérieur à 3 000 euros pour une personne physique et 15 000 euros pour une personne morale.

Quid de l’application de cette disposition aux banques ? Les dispositions relatives aux DCP issues du RGP concernent tous les responsables de traitement y compris, ceux professant dans le domaine bancaire. Pour les autres données, on peut estimer que l’article L. 224-42-2 ne concerne que les services de communications électroniques [39] , du fait de son positionnement dans le code de la consommation, ce qui exclut les domaines bancaires et de l’assurance. Le décret à venir ne devrait pas pouvoir étendre les dispositions de l’article L. 224-42-2 au-delà du périmètre qui lui est assigné par la loi. Dès lors, les données dénuées de caractère personnel détenues dans le cadre d’une activité bancaire ou assurantielle ne devrait pas être soumises à l’obligation de portabilité.

La question qui se pose est celle de la définition de « fournisseur d’un service de communication en ligne » visée par l’article L. 224-42-3 du Code de la consommation. En effet, au-delà même de la notion de portabilité, se pose la question de l’application au secteur bancaire de toutes les obligations applicables aux fournisseurs d’accès.

Pour en revenir à la portabilité, le Code des postes et des communications électroniques (CPCE), précise qu’un opérateur de communications électroniques désigne « toute personne physique ou morale exploitant un réseau de communications électroniques ouvert au public ou fournissant au public un service de communications électroniques » (article L. 32- 15° du CPCE). Un fournisseur de service de communication en ligne apparaît ainsi, au premier chef, comme une personne assurant l’acheminement de communications électroniques.

L’article 68 de la loi pour une République numérique a ajouté un 23° à l’article L. 32 du CPCE afin de préciser ce qu’est un « fournisseur de services de communication au public en ligne ». Un tel fournisseur est toute personne assurant la mise à disposition de contenus, services ou applications relevant de la communication au public en ligne, au sens de la loi dite de « confiance dans l’économie numérique [40] ». Ce 23° de l’article 32 précise : « Sont notamment considérées comme des fournisseurs de services de communication au public en ligne les personnes qui éditent un service de communication au public en ligne, mentionnées au deuxième alinéa du II de l’article 6 de la même loi [41] , ou celles qui assurent le stockage de signaux, d’écrits, d’images, de sons ou de messages de toute nature mentionnées au 2 du I du même article 6 [42] . »

Au vu de tout ceci, les banques ne devraient pas entrer dans cette catégorie « fournisseur d’un service de communication en ligne » sauf, très marginalement, pour celles offrant des services tel que le coffre-fort électronique ou bien encore une messagerie sécurisée.

Enfin, on soulignera que les dispositions en faveur de la mobilité bancaire introduites par les lois Hamon et Macron paraissent avoir un impact pratique bien plus important pour les clients des banques que la loi pour une République numérique en termes de mobilité de leurs données. On rappellera pour mémoire que, dans le domaine bancaire, la loi organise une mobilité qui concerne bien évidemment la migration de toutes les données permettant le transfert des opérations de prélèvements et de virements récurrents par la nouvelle banque du client [43] .

Information sur la durée de conservation des données [44] . L’article 57 de la loi anticipe sur l’application du RGPD [45] en ajoutant, à l’article 32 de la loi Informatique et libertés, une nouvelle information à communiquer par le responsable de traitement, portant sur la durée de conservation des catégories de données traitées. Outre l’information sur cette durée, les responsables de traitement devront également veiller à ce que, à l’issue de cette date, les données soient effectivement effacées. Ces dispositions sont d’application immédiate.

Accessibilité des personnes handicapées aux services téléphoniques des entreprises [46] . La loi pour une République numérique ajoute au Code de la Consommation un article L. 112-8 [47] disposant que les entreprises, dont le chiffre d’affaires est supérieur à un seuil défini par décret, rendent le numéro de téléphone destiné à recueillir l’appel d’un consommateur en vue d’obtenir, la bonne exécution d’un contrat conclu avec un professionnel ou le traitement d’une réclamation, accessible aux personnes sourdes, malentendantes, sourdes-aveugles et aphasiques par la mise à disposition d’un service de traduction simultanée écrite et visuelle défini au sein de l’article 105 de la loi pour une République numérique.

Cette disposition entrera en vigueur à une date fixée par décret, au plus tard, deux ans après la promulgation de la loi pour une République numérique. Ce décret précisera également les modalités de suivi de l’application de cette disposition ainsi que les diplômes et qualifications nécessaire à l’exercice de l’activité d’accessibilité simultanée des appels. Par ailleurs, dans les 6 mois de la promulgation de la loi, le gouvernement présentera un plan destiné à développer des formations professionnelles [48] ad hoc. Hormis la question de l’accessibilité pour les handicapés, rappelons que 16 % de la population française est non internaute [49] .

Ce train de mesures est susceptible d’avoir un impact, tant financier qu’organisationnel réel.

3. Les nouveaux pouvoirs de la CNIL issus de la loi pour une République numérique

Extension des attributions missions de la CNIL [50] . La loi pour une République numérique modifie l’article 11 de la loi Informatique et libertés pour confier à la CNIL trois nouvelles attributions : (i) la consultation sur tout projet de loi ou de décret ou toute disposition de projet de loi ou de décret relatifs à la protection des données à caractère personnel ou au traitement de telles données, l’avis de la CNIL étant rendu public, (ii) une réflexion sur les problèmes éthiques et sur les questions soulevées par l’évolution des technologies numériques, (iii) la promotion de l’utilisation des technologies protectrices de la vie privée comme le chiffrement.

Par ailleurs, la CNIL se voit également conférer une mission de certification, d’homologation ou de publication des référentiels aux fins de certification de processus d’ anonymisation [51] . La certification est un mécanisme de conformité prévu par le RGPD [52] . Il s’agit d’une démarche volontaire par laquelle l’entreprise fait constater la conformité de ses procédures en matière de protection des données à une norme avalisée par la CNIL Contrairement aux codes de conduite, la certification ne peut être délivrée que par un organisme de certification, celui-ci ayant été au préalable agréé par l’autorité de contrôle.

Les sanctions [53] . La loi pour une République numérique anticipe le RGPD en prévoyant, notamment, un mécanisme d’aggravation des sanctions lesquelles demeurent est toutefois en deçà de celles prévues par ce dernier. L’article 83 du RGPD prévoit en effet des amendes administratives pouvant s’élever à 20 millions d’euros et, dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu. Ces amendes sont évaluées au niveau du Groupe, précision qui n’est pas présente dans la nouvelle loi. De manière très résumée, l’article 65 de la loi pour une République numérique propose un mécanisme répressif complexe.

De l’entrée en vigueur de la loi jusqu’au 25 mai 2018, date d’application du RGPD, le montant de l’amende que la CNIL peut prononcer est porté à 3 millions, avec la possibilité de moduler la répression en fonction de la gravité du manquement et du comportement du responsable du traitement. Ce dispositif vaut pour tous les manquements, y compris ceux relatifs à des DCP.

À partir du 25 mai 2018, l’article 83 du RGPD s’appliquera aux DCP, tandis que le dispositif de la loi pour une République numérique se verra cantonner dans le domaine résiduel non-couvert par le règlement européen.

II. UNE TRANSPOSITION PRÉMATURÉE DE CERTAINS ASPECTS DE LA DSP2 (PAR P. STORRER)

Mal à propos. Ce n’était ni le lieu ni le temps [54] . Las, placé sous une section intitulée « Fourniture de services de paiement dans le cadre de l’exclusion de demande d’agrément applicable à certains instruments de paiement », l’article 94 de la loi pour une République numérique transpose à contre-emploi deux dispositions particulières de la deuxième directive concernant les services de paiement (DSP 2) ; par anticipation, en outre, les autorités européennes ayant pourtant pris le soin de préciser que ses dispositions transposées s’appliquent « “à partir” (et non “au plus tard”) du 13 janvier 2018 » (art. 115, 2).

Transposition de dispositions de la DSP, donc, qui concernent deux hypothèses atypiques de fourniture de services de paiement : dans un cadre restreint pour les réseaux ou les éventails limités de biens ou services, d’une part, par des opérateurs particuliers, les opérateurs de télécommunications, de l’autre.

1. La fin de la déclaration préalable d’exemption pour réseau ou éventail limité

Une exception française ? Jusqu’à présent, l’exemption pour réseau ou éventail limité permettait à un prestataire de services de paiement de se soustraire à la réglementation de ceux-ci, mais à la condition d’engager une procédure de déclaration devant l’ ACPR [55] , laquelle disposait d’un délai de trois mois pour s’y opposer (CMF, art. L. 521-3, I et II).

La nécessité d’un passage devant l’autorité de contrôle était-elle le fruit d’une « sur-transposition » française de la DSP ? Sans doute, si l’on veut bien considérer que son article 3, k) exclut du champ d’application de la directive, sans autre forme de procès, les « services fondés sur des instruments qui ne peuvent être utilisés, pour l’acquisition de biens ou de services, que dans les locaux utilisés par l’émetteur ou, dans le cadre d’un accord commercial avec l’émetteur, à l’intérieur d’un réseau limité de prestataires de services ou pour un éventail limité de biens ou de services ». De sorte que ces services sont bien hors champ de la DSP sans qu’il soit besoin de le faire constater [56] .

Une suppression comme « sortie du chapeau ». La loi pour une République numérique supprime le principe de déclaration préalable d’exemption à l’ACPR. Pour ceux qui voudront y voir une mesurette, d’autres rétorqueront le gain d’efficacité. Une mesurette bienvenue alors, ne serait-ce que pour désengorger l’ACPR de « petits dossiers [57] », et qui peut même se prévaloir d’une disposition nouvelle de la DSP 2 : son article 37, 2, qui dispose que « les prestataires de services exerçant l’une ou l’autre des activités visées à l’article 3, point k) i) et ii), ou exerçant les deux activités, pour lesquelles la valeur totale des opérations de paiement exécutées au cours des douze mois précédents dépasse le montant de 1 000 000 EUR, adressent aux autorités compétentes une notification contenant une description des services proposés, précisant au titre de quelle exclusion visée à l’article 3, point k) i) et ii), l’activité est considérée être exercée ».

Mais que diable cela se retrouve-t-il dans la loi pour une République numérique ? D’autant, sauf erreur, qu’il faut attendre la toute fin de son parcours législatif, devant la commission mixte paritaire, sans exposé ni débat, pour qu’apparaisse cette modification du Code monétaire et financier : « Le II de l’article L. 521-3 est ainsi modifié : a) Au début du premier alinéa, les mots : “Avant de commencer à exercer ses activités” sont remplacés par les mots : “Dès que la valeur totale des opérations de paiement exécutées au cours des douze mois précédents dépasse un million d’euros” ; b) Au même premier alinéa, après le mot : “déclaration”, sont insérés les mots : “contenant une description des services proposés” ; c) A la première phrase du deuxième alinéa, les mots : “ou, si celle-ci est incomplète, du même délai suivant la réception de toutes les informations nécessaires,” sont supprimés ».

Et la monnaie électronique ? un oubli manifeste. Mais quitte à supprimer la procédure d’ exemption [58] (du moins sous le seuil d’un million d’euros annuel, ce qui est somme toute très bas) pour les prestataires de services de paiement, il eût été judicieux d’en faire de même pour les émetteurs de monnaie électronique, en réécrivant l’article L. 525-6 du CMF. Car, en effet, l’article 1er, 4 de la deuxième directive sur la monnaie électronique (DME 2) dispose que celle-ci ne s’applique pas à la valeur monétaire stockée sur des instruments exclus en vertu de l’article 3, point k), de la DSP. Renvoi, donc, que le législateur français n’a pas considéré, créant par-là une véritable distorsion réglementaire entre le régime des services de paiement et celui de la monnaie électronique.

2. De l’exception à l’exemption Telco

La suppression de l’exception Telco. La loi pour une République numérique procède d’abord à l’abrogation du 1° de l’article L. 311-4 du CMF, aux termes duquel n’est pas considéré comme mise à disposition ou gestion de moyens de paiement « la réalisation d’opérations de paiement exécutées au moyen d’un appareil de télécommunication ou d’un autre dispositif numérique ou informatique, lorsque l’opérateur du système de télécommunication numérique ou informatique n’agit pas en seule qualité d’intermédiaire. Cette condition est remplie lorsque les biens ou les services achetés sont livrés et doivent être utilisés au moyen de cet appareil de télécommunication, ou de ce dispositif numérique ou informatique ». La logique est ici inverse de la précédente : suppression d’une exclusion au bénéfice d’une exemption, mais pour un résultat qui n’est guère plus probant.

La nouvelle exemption Telco au service de la promotion du paiement par SMS. Deux articles, L. 521-3-1 et L. 525-6-1, sont ensuite ajoutés au CMF, mais rédigés à l’identique au bénéfice de deux types d’établissements différents : de paiement pour le premier, de monnaie électronique pour le second. Reproduisons l’article L. 521-3-1 :

« I. Par exception à l’interdiction prévue à l’article L. 521- 2, un fournisseur de réseaux ou de services de communications électroniques peut fournir des services de paiement, en sus des services de communications électroniques, à un abonné à ce réseau ou à ce service, pour l’exécution :

1° D’opérations de paiement effectuées pour l’achat de contenus numériques et de services vocaux, quel que soit le dispositif utilisé pour l’achat ou la consommation de ces contenus numériques, et imputées sur la facture correspondante ;

2° D’opérations de paiement exécutées depuis un dispositif électronique ou au moyen de celui-ci et imputées sur la facture correspondante, dans le cadre de la collecte de dons par les organismes faisant appel public à la générosité au sens de la loi n° 91-772 du 7 août 1991 relative au congé de représentation en faveur des associations et des mutuelles et au contrôle des comptes des organismes faisant appel à la générosité publique ;

3° D’opérations de paiement exécutées depuis un dispositif électronique ou au moyen de celui-ci et imputées sur la facture correspondante pour l’achat de tickets électroniques.

La valeur de chaque opération de paiement isolée ne peut excéder le montant de 50 €. La valeur mensuelle cumulée des opérations de paiement pour un même abonné ne peut excéder le montant de 300 €. Dans le cas d’un abonnement souscrit à des fins professionnelles, ce montant s’apprécie au niveau de l’utilisateur final.

Le présent I s’applique également lorsqu’un abonné préfinance son compte auprès du fournisseur de réseaux ou de services de communications électroniques.

II. Avant de commencer à exercer les activités mentionnées au I, le fournisseur de réseaux ou de services de communications électroniques adresse une déclaration contenant une description des services proposés à l’Autorité de contrôle prudentiel et de résolution, qui dispose d’un délai de trois mois à compter de la réception de cette déclaration pour notifier au déclarant que les conditions mentionnées au même I ne sont pas remplies. […] ».

Sur-transposition hier, sur-transposition aujourd’hui ? Le I de l’article L. 521-3-1, ou de l’article L. 525-6-1, est la reproduction plus ou moins fidèle de l’article 3, l) de la DSP 2 [59] … qui suit donc l’article 3, k) concernant l’exception de réseau ou éventail limité vue plus haut. Et, comme cette dernière, il n’y a ou n’y aurait pas de raison d’imposer une procédure de déclaration préalable à l’autorité de contrôle, puisqu’il s’agit encore d’un cas d’exclusion légal. Pourquoi, alors, ce II qui rétablit cette procédure là où elle est supprimée en cas de réseau ou éventail limité ?

On ne sait trop bien sinon que, à l’évidence, cette transposition anticipée et partielle de la DSP 2 ne pouvait guère être cohérente. D’autant qu’il fallait faire vite, qu’il fallait oeuvrer à « une entrée en vigueur rapide des dispositions relatives au paiement par SMS afin de permettre la collecte de dons par les associations pour la campagne de Noël [60] ». Cela est fort louable mais ne fait pas de bonnes lois.

La chronique Nouveaux moyens de paiement, banque digitale et protection des données est assurée par Pierre Storrer, Louise Laïdi et Myriam Roussille.

1 JO du 8 octobre 2016. 2 Voir à cet égard : M. Roussille et P. Storrer, « Premiers regards sur l’impact du RGPD en matière bancaire », Banque et Droit n° 169, septembre-octobre 2016, p. 41 et E. Jouffin, « Les lignes de force du Règlement général sur la protection des données », Banque et Droit n° 168, juillet-août 2016, p. 8. 3 Dir. (UE) 2015/2366 du 25 novembre 2015 concernant les services de paiement : JOUE 23 déc. 2015. Sur ce texte : P. Storrer et M. Roussille, « L’économie numérique à l’heure de la DSP 2.0 », Banque et Droit n° 165, janvier-février 2016, p. 67, et numéro spécial « DSP 2 », Banque et Droit, juillet-août 2016. 4 JO du 8 octobre 2016. 5 Règlement n° 2016-679 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) du 27 avril 2016 JOUE du 4 mai 2016 ; E. Jouffin, « Les lignes de force du Règlement général sur la protection des données », Banque et Droit n° 168 juillet-août 2016, p. 8 ; MN Gibon, X. Lemarteleur et E. Jouffin, « Le Règlement sur la protection des données : les 10 commandements à connaître pour passer de la théorie à la pratique », RDBF, juill.-août 2016, Études 18, p. 11. Cf. Dossier JCP E n° 22, 2 juin 2016, 1324 à 1328. 6 À cet égard, l’article 65-III de la loi Lemaire prévoit que le Gouvernement remettra au Parlement, avant le 30 juin 2017, un rapport sur les modifications de la loi informatique et libertés rendues nécessaires par l’entrée en vigueur du RGPD, ce dernier prenant effet le 25 mai 2018. 7 Il en va notamment ainsi des dispositions relativesà l’obligation pour les entreprises de plus de 250 salariés de nommer un CIL, lequel sera remplacé par un délégué à la protection des données dans le cadre du RGPD. 8 L. n° 2016-1321, 7 oct. 2016, art. 54. 9 Questions au Gouvernement ; Débat d’orientation pour la stratégie numérique de la France du 14 janvier 2015 : « Le Gouvernement considère que la donnée personnelle n’est pas une donnée commerciale comme une autre et refuse l’idée d’une propriété, d’un droit patrimonial qui y serait attaché. » 10 Rapport annuel du 9 septembre 2014 : « Le numérique et les droits fondamentaux », spéc. p. 237 et s. : http://www.ladocumentationfrancaise.fr/var/storage/rapportspublics/ 144000541.pdf, spéc. pp. 265-266. 11 CNN, « Avis 2014-2 sur la neutralité des plateformes : réunir les conditions d’un environnement numérique ouvert et soutenable », p. 37. 12 Notamment articles 4-11 et 7 du RGPD. 13 Article 12 du RGPD. 14 Articles 13 et 14 du RGPD. 15 Article 17 du RGPD. 16 Article 18 du RGPD. 17 Article 20 du RGPD. 18 Discussion paper « on Innovative Uses of Consumer Data by Financial Institutions » : EBA/ DP/2016/01, 4 mai 2016 : https://www.eba.europa.eu/documents/10180/1455508/EBA-DP- 2016-01+DP+on+innovative+uses+of+consumer+data+by+financial+institutions.pdf. 19 § 31 et traduction libre. 20 L. n° 2016-1321, 7 oct. 2016, art. 56 et 63 21 Article 17-f du RGPD, qui renvoie à l’article 8-1 du même texte s’agissant des DCP collectées auprès d’un enfant mineur. Notons que le RGPD prévoit de nouveaux cas d’ouverture au droit à l’effacement lorsque les données ne sont plus nécessaires à la poursuite de la finalité liée à la collecte, lorsque la personne concernée retire son consentement ou bien encore, lorsque le fondement juridique du traitement a disparu. 22 L. n° 2016-1321, 7 oct. 2016, art. 63. 23 CE 10e et 9e ch. réunies, n° 386525, 8 juin 2016. 24 Article 39- 4°de la loi Informatique et libertés. 25 L. n° 2016-1321, 7 oct. 2016, art. 63 26 Considérant 27 : « Le présent règlement ne s’applique pas aux données à caractère personnel des personnes décédées. Les États membres peuvent prévoir des règles relatives au traitement des données à caractère personnel des personnes décédées. » 27 L. n° 2016-1321, 7 oct. 2016, art 48. 28 Art. 4-1° du RGPD : « toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée “personne concernée”) ; est réputée être une “personne physique identifiable” une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ». 29 CNIL, délibération n° 2013-420 du 3 janvier 2014 de la formation restreinte prononçant une sanction pécuniaire à l’encontre de la société Google Inc. 30 Pour accéder au compte-rendu : ec.europa.eu/.../20160930_fablab_results_of_discussions_ en.pdf 31 Il s’agit des données associées à une autre donnée quel que soit son support (papier ou électronique) tels que par exemple les coordonnées GPS associées à une photographie. Les métadonnées associées à un document permettent ainsi d’obtenir des informations sur la source de ce dernier (titre, auteur, date, sujet, éditeur, etc.), la nature du document (monographie, périodique, etc.), son contenu informationnel (descripteurs, mots-clés, résumé) et sa localisation physique (la cote). 32 S’agissant des données personnelles qui n’ont pas été directement collectées auprès de la personne concernée : RGPD, art. 13-2 b et 14-2 c. 33 Cf. les articles. 6 § 1 pt a et 9 § 2 pt. a du RGPD auxquels renvoie l’article. 20. 34 Art. 6 § 1, pt. b, du RGPD auquel renvoie l’article 20. 35 Art. 20-1 b du RGPD. 36 48 II de la loi Lemaire, date correspondant à la prise d’effet du RGPD (article 99). 37 Notion à déterminer par voie de décret. 38 Ces données facilitent le changement de fournisseur de service ou permettent d’accéder à d’autres services ; L’identification des données prend en compte l’importance économique des services concernés, l’intensité de la concurrence entre les fournisseurs, l’utilité pour le consommateur, la fréquence et les enjeux financiers de l’usage de ces services. 39 L’article L. 224-42-2 du Code de la consommation se situe dans le Titre II du Livre II du Code de la consommation concernant les « règles de formation et d’exécution de certains contrats », dont le chapitre IV fixe « les règles spécifiques à des contrats ayant un objet particulier ». Dans ce chapitre, la nouvelle sous-section IV se trouve dans une section 3 consacrée aux « contrats de services de communications électroniques ». Or, dans le chapitre IV, c’est la section 10 qui est dédiée aux « contrats dans les domaines bancaire, financier et des assurances ». 40 Art. 1° -IV al. 4 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique : « On entend par communication au public en ligne toute transmission, sur demande individuelle, de données numériques n’ayant pas un caractère de correspondance privée, par un procédé de communication électronique permettant un échange réciproque d’informations entre l’émetteur et le récepteur. » 41 « Elles fournissent aux personnes qui éditent un service de communication au public en ligne des moyens techniques permettant à celles-ci de satisfaire aux conditions d’identification prévues au III. » 42 « Les personnes physiques ou morales qui assurent, même à titre gratuit, pour mise à disposition du public par des services de communication au public en ligne, le stockage de signaux, d’écrits, d’images, de sons ou de messages de toute nature fournis par des destinataires de ces services ne peuvent pas voir leur responsabilité civile engagée du fait des activités ou des informations stockées à la demande d’un destinataire de ces services si elles n’avaient pas effectivement connaissance de leur caractère illicite ou de faits et circonstances faisant apparaître ce caractère ou si, dès le moment où elles en ont eu cette connaissance, elles ont agi promptement pour retirer ces données ou en rendre l’accès impossible. » L’alinéa précédent ne s’applique pas lorsque le destinataire du service agit sous l’autorité ou le contrôle de la personne visée au dit alinéa. 43 L’article L. 312-1-7 du Code monétaire et financier (issu de la loi n° 2014-344 du 17 mars 2014 dite loi Hamon) consacre l’obligation pour les établissements de crédit de proposer un service d’aide à la mobilité bancaire. Le décret n° 2015-838 du 8 juillet 2015 a imposé aux émetteurs de prélèvements de prendre en compte les modifications de coordonnées bancaires de leurs clients dans les 20 jours, jusqu’au 1er avril 2017, puis dans les 10 jours. 44 L. n° 2016-1321, 7 oct. 2016, art. 57. 45 RGPD, art. 13-2 a. 46 L. n° 2016-1321, 7 oct. 2016, art. 105-III. 47 Inséré dans le Chapitre II « Information sur les prix et conditions de vente » du titre Ier « information des consommateurs » du Livre Ier « Information des consommateurs et pratiques commerciales ». 48 L. n° 2016-1321, 7 oct. 2016, art. 105 VIII. 49 Baromètre du numérique ARCEP 2015 et enquête du CREDOC « Conditions de vie et aspirations », juin 2015. 50 L. n° 2016-1321, 7 oct. 2016, art. 59 et 60. 51 Art. 11 2° g de la loi Informatique et libertés. 52 Art. 42 du Règlement. On notera que le texte évoque trois mécanismes : certification, labels et marques. 53 L. n° 2016-1321, 7 oct. 2016, art. 64, 65 et 66. 54 Cf. P. Storrer, Quand un texte hors sujet entend transposer à contretemps une directive (DSP 2), Revue Banque n° 799, sept. 2016, p. 88. 55 Cf. Instruction ACPR n° 2013-I-13 relative aux formulaires de déclaration d’exemption d’agrément d’établissement de crédit pour la fourniture de services bancaires de paiement, de déclaration d’exemption d’agrément d’établissement de monnaie électronique pour l’émission et la gestion de monnaie électronique et de déclaration d’exemption d’agrément d’établissement de paiement pour la fourniture de services de paiement. 56 On retrouve par exemple la logique d’exclusion de la DSP dans la loi luxembourgeoise du 10 novembre 2009 relative aux services de paiement, à l’activité d’établissement de monnaie électronique et au caractère définitif du règlement dans les systèmes de paiement et les systèmes de règlement des opérations sur titres (art. 3, k) ; ou dans la loi belge du 21 décembre 2009 relative au statut des établissements de paiement et des établissements de monnaie électronique, à l’accès à l’activité de prestataire de services de paiement, à l’activité d’émission de monnaie électronique et à l’accès aux systèmes de paiement (annexe II). 57 Comp. Rapport annuel ACPR 2015, p. 44, relevant que « l’année 2015 a confirmé la croissance continue des demandes d’exemption d’agrément d’établissement de paiement ou de monnaie électronique fondées sur l’utilisation du moyen de paiements, dans un réseau limité d’accepteurs ou pour l’achat d’un éventail réduit de biens et services (36 sociétés contre 30 un an plus tôt sont concernées par cette autorisation) ». 58 Qui demeure, faut-il rappeler, pour les établissements de crédit et leurs services bancaires de paiement (CMF, art. L. 511-7, II). 59 Voir encore ses considérants 15 et 16. 60 Rapport fait au nom de la Commission mixte paritaire, n° 3902 et n° 743, p. 46.