Internet et opérations bancaires

La notation de la clientèle bancaire et la protection des données

B. La notation de la clientèle bancaire

778. La question du scoring1180

Pratique validée par le Conseil d’Etat à l’encontre d’une délibération de la CNIL1181, les établissements de crédit utilisent souvent des systèmes de notation de leurs clients (scoring) afin d’apprécier le risque lié aux opérations engagées (ouverture de compte, crédit).

Précisons que cette technique constitue le domaine exclusif d’établissements spécialisés dénommés « agences de notation »1182 dont les règles ont été édictées par la loi de sécurité financière1183.

Plus particulièrement, la CNIL s’est prononcée récemment1184 sur les nouveaux systèmes mis en œuvre dans le cadre du ratio de solvabilité1185 «Mac Donough»1186 et à leur conformité à la loi de 1978.

L’utilité d’un tel système n’est pas à remettre en cause tant il est indispensable que les établissements de crédit disposent d’un niveau de fonds propres suffisant pour combler leurs pertes éventuelles, afin d’assurer la stabilité du système financier et de prévenir les faillites bancaires.

En bref, ce nouveau ratio vise à mesurer l’ensemble des risques auxquels l’établissement de crédit est exposé (risque de crédit, risques opérationnels, etc.) au moyen de systèmes informatiques de surveillance et de notation de la clientèle1187.

779. Problématique liée aux données nominatives1188

Cette réforme a pour conséquence directe le développement de systèmes informatiques analysant l’ensemble des informations disponibles sur les consommateurs.

Continuer la lecture

La mise en œuvre du traitement des données à caractère personnel

Section 2 :

La mise en œuvre du traitement

773. Pluralité d’obligations

La légalité du traitement du point de vue de sa mise en œuvre suppose que soient réalisées un certain nombre de formalités préalables (§1). Les obligations du responsable du traitement ne se limitent cependant pas à ces formalités et pèsent sur lui les traditionnelles obligations du professionnel (§2)

§1. Obligations préalables à la mise en œuvre du traitement

774. Plan

Selon la nature du traitement, il devra être soit déclaré auprès de la CNIL, soit soumis à autorisation préalable. Le contenu de ces formalités (A) laisse apparaître un problème propre au secteur bancaire et financier, celui de la notation de la clientèle bancaire (B).

A. Contenu des obligations préalables

775. Déclaration du site

Selon l’article 22 de la loi de 1978 modifiée, les traitements automatisés de données à caractère personnel doivent faire l’objet d’une déclaration auprès de la CNIL.

Afin de faciliter cette démarche, la CNIL a adopté le 7 juin 2005 une nouvelle norme destinée à alléger les procédures relatives à la gestion des fichiers clients1174. Ainsi, les sites Internet des établissements de crédit qui mettent en œuvre une collecte de données personnelles doivent être déclarés préalablement à leur mise en ligne.

Il s’agit incontestablement d’une protection pour le consommateur puisqu’à la vue de cette déclaration, la CNIL pourra effectivement contrôler le bon respect de la légalité et de la finalité du traitement.

Continuer la lecture

La protection des données à caractère personnel

Chapitre 2 :

La protection par les obligations imposées

755. Un ensemble protecteur

législateur français, sous impulsion communautaire, crée véritablement un cadre sécuritaire pour le consommateur dans le cadre de l’utilisation des données à caractère personnel le concernant ; en plus d’une série de droits qu’il lui accorde, il impose au responsable du traitement, le professionnel dans notre cas, de respecter de nombreuses obligations.

Celles-ci, au-delà de leur « sanctionnablilité », n’ont pour autre objectif que de moraliser les pratiques de collecte et de traitement.

En effet, avec l’Internet, qui organise par définition un transfert (émission, réception) d’informations depuis l’ordinateur de l’utilisateur, un flot considérable de données se retrouve accessible en ligne.

756. Un ensemble cohérent

Les obligations du responsable du traitement, corollaires des droits du consommateur, ont également pour vocation d’intervenir à tous les stades du traitement au sens large.

Avant même la réalisation effective de la collecte de données, le consommateur devra en connaître la finalité : la collecte doit être loyale et la durée de conservation des données devra respecter la finalité prévue.

757. Plan

Aussi, diverses obligations à la charge du responsable sont-elles identifiées par la loi de 1978. Certaines concernent la légalité du traitement (section 1), d’autres sa mise en œuvre (section 2).

Continuer la lecture

Le champ d’application de la protection des données personnelles

Chapitre 1er :

La protection par les droits accordés

730. Une protection ancienne

Les droits accordés à la personne concernée par les données à caractère personnel ne sont pas une nouveauté issue de la loi de 2004. Déjà, la loi informatique et libertés, dans sa rédaction de 1978, lui consentait un droit d’accès et de rectification à travers son article 34.

L’objectif affirmé de ce texte est de protéger la personne fichée, le législateur ayant considéré que les collectes de telles données ainsi que leur traitement constituaient des atteintes aux libertés et à la vie privée.

731. Internet et monde bancaire

Si certains ont pu la qualifier de « réussite législative assez exceptionnelle »1112, la montée en puissance de l’Internet et des moyens informatiques, permettant une mondialisation et une automatisation des collectes et des traitements, soumet la loi de 1978 à un nouveau défi.

Pourtant, à sa lecture, force est de constater qu’elle n’est pas particulièrement propre à l’Internet. L’article 23 envisage toutefois la possibilité d’effectuer la déclaration du traitement électroniquement et l’article 32 vise expressément les utilisateurs des réseaux de communication électroniques.

Certes, l’Internet n’est qu’un canal de communication mais le texte apparaît pauvre en références électroniques. La question de l’adaptation des droits du consommateur au contexte dématérialisé est donc importante, d’autant plus que les établissements de crédit semblent concernés au premier plan par le traitement des données à caractère personnel.

Continuer la lecture

Protection des données personnelles – Opérations financières sur l’internet

Titre 3 :

La protection des données personnelles dans le cadre des opérations bancaires et financières sur l’internet

725. Panorama législatif

Il reste un dernier élément à examiner s’agissant de la protection du consommateur investisseur dans les prestations bancaires et financières en ligne.

En effet, l’Internet est marqué par la traçabilité des transactions, « la navigation de l’internaute sur le Web laisse des traces1094 », et n’est pas aussi anonyme qu’il y paraît de prime abord : de la simple consultation des pages du site d’un établissement de crédit à la réalisation d’une opération bancaire en ligne, comme par exemple un virement, des données relatives à l’utilisateur sont collectées.

La protection de ces données nominatives est assurée en droit interne1095 par la loi « informatique et libertés » du 6 janvier 19781096, modifiée par la loi du 6 août 20041097, l’ordonnance du 6 juin 20051098, le décret du 20 octobre 20051099 et par d’autres textes plus généraux comme l’article 9 du Code civil concernant de respect de la vie privée.

Cette protection a fait également l’objet d’une directive communautaire1100 en date du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.

Dans le domaine bancaire et financier, notons une recommandation du Conseil de l’Europe relative à la protection des données à caractère personnel à des fins de paiement1101 ; néanmoins il n’existe pas à notre connaissance de réglementation générale concernant les données nominatives à caractère financier.

Continuer la lecture

L’adaptation des autres législations sectorielles à l’Internet

Section 2 :

L’articulation des directives avec les autres textes

703. Plan . La question de « l’internetisation » totale des services financiers renvoie aux législations particulières en la matière

En effet, la directive de 2002 ne peut utilement définir les obligations qu’elle impose que parce qu’il existe antérieurement un terrain propice, préparé par la directive sur le commerce électronique : la légalité de tels services est déjà assurée par la clause de marché intérieur.

Si leur soumission à la directive de 2002 n’est pas en cause, en ce qu’elle concerne tous les services financiers susceptibles d’être fournis à distance, la cohérence du système juridique mis en place peut, quant à elle, être remise en question dans la mesure où la directive sur le commerce électronique prévoit un certain nombre de dérogations1073 à cette clause.

En outre, elle prévoit la possibilité de mesures spécifiques concernant les services financiers non harmonisés (§2) ; néanmoins, s’agissant de la question de l’adaptation à l’Internet des autres législations sectorielles se pose au préalable (§1).

§1. L’adaptation des autres législations sectorielles à l’Internet

704. Les dérogations

La directive de 2000 prévoit, elle-même, dans son annexe les dérogations à la clause de marché intérieur.

Il s’agit principalement de la réglementation relative aux obligations contractuelles concernant les contrats conclus par les consommateurs (A). D’autres problèmes spécifiques seront ensuite évoqués(B).

Continuer la lecture

Les directives sur les contrats à distance et sur le e-commerce

§2. Les recoupements entre la directive de 2002 et celle de 2000

694. Plan. Les deux textes sont fondés par des logiques différentes

La directive sur le commerce électronique s’articule autour d’une notion centrale, celle de service de la société de l’information.

De cette notion découlent celles de prestataire et de destinataire du service, qui en sont, avec le consommateur, les acteurs principaux. A son instar, la directive de 2002, partant de la notion de services financiers, développe les notions de consommateur et de fournisseur.

Les deux directives présentent donc des points de contact (A) ; cependant, malgré les distinctions apparentes, l’analyse révèle davantage les complémentarités (B).

A. Points de contact

695. Les services financiers sur l’Internet

Les deux directives ont pour point commun d’être applicables aux services financiers sur l’Internet. Celle de 2000 est propre au commerce électronique, donc à l’Internet, mais englobe les services financiers tandis que celle de 2002, propre à ces derniers, réglemente tout mode de conclusion du contrat à distance et, par conséquent, via l’Internet.

Il en est de même pour leurs mesures respectives de transposition (LEN et ordonnance de 2005).  En premier lieu, le champ d’application de la directive sur le commerce électronique est plus étendu que celui de la directive sur les services financiers à distance.

Continuer la lecture

L’articulation des directives e-commerce et services financiers à distance

Chapitre 2 :

L’articulation des directives « commerce électronique » et « services financiers à distance »

677. Hypothèse de départ

La réussite d’un marché intégré des services financiers passe par la confiance de ses acteurs. Si, d’un côté, il parait souhaitable qu’un établissement de crédit puisse proposer ses produits et services financiers dans tous les Etats membres, réciproquement, le consommateur d’un Etat membre doit, lui aussi, logiquement, pouvoir « accéder sans discrimination à l’éventail le plus large possible de services financiers disponibles »1027.

Il en résultera conséquemment une concurrence exacerbée entre les différents prestataires, ce qui ne peut qu’engendrer une situation favorable pour l’investisseur consommateur.

678. Une question d’objectif

En réalité, de ces deux propositions émanent deux textes. A l’analyse, la directive sur le commerce électronique apparaît plus favorable au prestataire – établissement de crédit – en ce qu’elle lui permet de proposer ses produits et services financiers sur la base de la réglementation de son pays d’origine.

La directive sur les services financiers à distance, postérieure, vient au contraire renforcer et harmoniser a maxima1028 la protection des consommateurs investisseurs, exclus jusque là, d’une manière générale, de la protection accordée au consommateur cocontractant d’un contrat à distance1029.

Continuer la lecture

Le régime des communications commerciales non sollicitées

C. Le régime des communications commerciales non sollicitées1010

663. Directive de 2002

Comme la directive sur les contrats à distance, la directive sur les services financiers à distance prévoit une disposition visant à réglementer l’envoi de communications commerciales non sollicitées, en faisant une distinction selon les techniques utilisées (art. 10).

Il est à cet effet interdit d’envoyer des communications commerciales non sollicitées au consommateur par fax ou par un système automatisé d’appel téléphonique sans intervention humaine. Dans ce cas, le consentement préalable du consommateur (opt-in) est indispensable.

Pour les autres techniques de communication à distance, la directive laisse aux Etats membres le choix entre l’interdiction des communications commerciales non sollicitées sans consentement préalable (opt-in) ou l’autorisation de telles communications sauf opposition manifeste du consommateur (opt-out).

L’ordonnance de 2005, quant à elle, unifie opportunément le régime sur les communications non sollicitées en soumettant les services financiers1011 à l’article L. 34-5 du Code des postes et communications électroniques.

664. Directive de 2000

De son côté, la directive sur le commerce électronique laissait également le choix aux Etats membres entre l’opt-in ou l’opt-out pour l’envoi de communications commerciales non sollicitées par courrier électronique, en exigeant seulement que ces dernières puissent être identifiées de manière claire et non équivoque dès leur réception par le destinataire (art. 7, § 1er).

Continuer la lecture

L’utilisation frauduleuse de la carte bancaire du consommateur

Section 2 :

Les protections complémentaires

657. Un système de protection complet

La directive sur les services financiers à distance accorde d’autres protections au consommateur, à titre complémentaire, en matière de paiement par carte (A), de vente forcée (B) ou de communications commerciales non sollicitées (C).

En outre, un certain nombre de voies de recours doivent être assurées au consommateur en cas de conflit (D) ; d’autres mesures également envisagées par la directive concourent à la protection du consommateur (E).

A. Les mesures réparatrices en cas d’utilisation frauduleuse de la carte bancaire du consommateur

658. L’imprécision de la directive

La directive oblige les Etats membres à prendre des mesures en cas d’utilisation frauduleuse d’une carte de paiement996 dans le cadre des contrats à distance.

Dans ce cas, le consommateur victime d’une telle utilisation frauduleuse doit pouvoir demander l’annulation du paiement et être recrédité des sommes versées (art. 8).

Continuer la lecture

Le droit de rétractation : le délai et les exceptions

§2. Le droit de rétractation

648. Plan

La directive sur les services financiers à distance donne au consommateur un droit de rétractation, c’est-à-dire le droit de renoncer au contrat postérieurement à sa conclusion, dérogeant par là au « principe qui veut que les parties soient liées irrévocablement dès la rencontre des volontés989 ».

Ainsi, les consommateurs investisseurs bénéficient d’un délai pendant lequel ils peuvent remettre en cause leur contrat (A) ; ce droit n’est cependant pas absolu (B).

A. Délai de rétractation

649. Modalités

La directive ainsi que l’article L. 121-20-12 I du Code de la consommation accordent au consommateur un délai de rétractation de 14 jours calendrier, sans pénalités ni indications de motifs990. En principe, ce délai commence à courir à partir du jour de la conclusion du contrat.

Cependant, si le consommateur reçoit les informations exigées et les conditions contractuelles après la conclusion du contrat, le délai ne commence à courir qu’à partir de la réception de ces informations (art. 6, § 2, 2e tiret, art. L. 121-20-12 II 2°).

650. Services financiers ou Internet

On peut noter que l’harmonisation des délais en cas de conclusion de contrat en ligne s’effectue logiquement par secteur (financier ou non) et non en raison de l’Internet lui-même.

Les contrats portant sur des services non financiers conclus via l’Internet restent soumis à un délai classique de rétractation de 7 jours, tandis que les mêmes contrats relatifs à des services financiers pourront être remis en cause pendant 14 jours.

Continuer la lecture