Introduction

1 - Selon l'article 9 du Code civil, auquel font écho la Convention européenne des droits de l'homme 1 et la Charte des droits fondamentaux 2, « chacun a droit au respect de sa vie privée ». Toute personne a donc droit de garder confidentielles les informations la concernant, et par conséquent à ce que ces informations ne soient pas communiquées, ce qui implique une interdiction d'accès à ces données, notamment aux données détenues par les établissements de crédit.

2 - On pourrait, il est vrai, être tenté de discuter cette conclusion en s'appuyant sur le contenu desdites données, qui sont diverses et variées 3, d'autant qu'elles sont de deux ordres. On distingue en effet les données macro-bancaires, ce qui visent des données agrégées et des statistiques 4, et les données microbancaires, ce qui couvrent des données individuelles, lesquelles peuvent être elles-mêmes de deux sortes, confidentielles et non confidentielles, le critère résidant dans le respect à la vie privée 5. Toutefois, cette référence elle-même met à mal toute discussion puisque le respect de la vie privée implique que les informations dites confidentielles le demeurent et soient donc hors d'accès.

3 - Encore que l'on peut se demander si les données bancaires, c'est-à-dire celles détenues par les établissements de crédit, telles que les numéros de compte et les numéros de chèques, relèvent de la vie privée. La réponse est toutefois traditionnellement positive et même s'impose à l'évidence lorsqu'il s'agit des données tels que les types de comptes ouverts au nom d'un client, la fréquence et le montant des opérations qui y sont portées, l'amplitude des variations des soldes des comptes et le montant des mêmes soldes à un instant T. Ces données bancaires sont précises : elles constituent des données à caractère personnel 6 au sens du règlement général sur la protection des données, en date du 27 avril 2016 7, et sont couvertes par le secret bancaire dont le fondement est la protection des clients 8 de sorte que les établissements bancaires qui les détiennent ne sont pas autorisés à les communiquer.

4 - Le règlement, qui est applicable depuis le 25 mai 2018 9, est important car les données personnelles font l'objet de traitements qui peuvent être utiles aux établissements de crédit s'ils souhaitent affiner la connaissance qu'ils ont de leurs clients, cela pour mieux cibler leurs besoins et ainsi leur proposer les produits et les services qui semblent répondre à leurs attentes. Ces traitements, qui ont d'ailleurs été facilités par l'essor des nouvelles technologies et qui sont en principe subordonnés au consentement des personnes concernées 10, doivent être transparents et accessibles : le principe de transparence impose de reconnaître aux clients un droit d'accès aux informations les concernant. Étant observé que la question de l'accès aux données bancaires ne se pose pas uniquement au regard des clients mais également des tiers.

5 - Cette question est classique car le secret bancaire n'a jamais été absolu. Des intérêts autres que le seul respect de la vie privée justifient, en effet, depuis longtemps, de donner accès, à des tiers, aux données bancaires des clients. Les établissements de crédit ont été ainsi autorisés à communiquer des informations couvertes par le secret bancaire aux agences de notation pour les besoins de la notation des produits financiers et à leurs partenaires pour les besoins de leurs opérations, telles que des opérations de crédit et les cessions de créance (C. mon. fin., art. L. 511-33, I, al. 3.). 6 - Ces communications dites autorisées 11, qui facilitent les opérations des établissements de crédit, doivent être distinguées de celles qui caractérisent l'open banking 12, lequel est défini comme le partage de données par les établissements de crédit avec d'autres prestataires de services bancaires, notamment les prestataires qui initient des paiements. Car en ce cas, on impose aux établissements de crédits de partager leurs informations ; le partage n'est pas volontaire de leur part.

7 - L'accès aux données bancaires comporte ainsi un double aspect. Le premier est le droit d'accès des clients aux informations les concernant (1). Le second est l'accès des tiers auxdites informations (2). Les deux aspects sont en lien avec le respect de la vie privée car des personnes autres que les personnes concernées par les informations détiennent celles-ci ou sont en situation de les obtenir alors même que lesdites informations devraient rester confidentielles.

1. L'accès des clients aux données bancaires les concernant

8 - Les clients ont logiquement accès aux données les concernant et détenues par leurs banquiers : le secret bancaire ne leur est pas opposable puisque, tout au contraire, ils en sont les bénéficiaires et que ce sont eux qui sont autorisés à le lever dans les hypothèses où aucune dérogation légale ne s'impose à eux 13. L'accès des clients aux informations les concernant postule qu'ils peuvent en avoir communication et qu'ils puissent en contrôler le contenu, ce qui est particulièrement important lorsque les informations sont collectées et traitées par les établissements bancaires 14.

9 - Le principe de transparence justifie le droit d'accès reconnu par le règlement du 27 avril 2016 15. Toutefois, son exercice suppose que l'on puisse identifier le client qui entend avoir cet accès. Étant observé que cette question ne se pose pas seulement au regard de ce règlement ; elle est classique en matière de secret bancaire. Identification (A), transparence (B) et portabilité (C) sont ainsi des mots-clefs lorsqu'il s'agit d'examiner l'accès des clients aux données bancaires les concernant.

A – Identification

10 - La question de l'identification ne se pose normalement pas si c'est la personne concernée par les informations confidentielles qui agit, que cela soit sur le terrain du secret bancaire ou sur celui du règlement du 27 avril 2016. Elle n'est toutefois pas aussi simple qu'il y paraît comme le montre la jurisprudence rendue sur le terrain du secret bancaire. En certains cas, on peut en effet s'interroger sur l'identité de l'auteur de la demande de communication : est-ce la personne concernée par les informations ou est-ce un tiers ? La question se pose d'ailleurs moins pour des questions de fait que pour des questions de droit, certains mécanismes ou principes juridiques permettant finalement de considérer que c'est moins un tiers que la personne concernée qui agit.

11 - Il est ainsi certain, en ce qui concerne les personnes physiques, que l'établissement de crédit est fondé à opposer le secret bancaire à la demande faite par un conjoint ou un enfant à propos des comptes personnels ouverts au nom du mari/père ou l'épouse/mère. Mais cela n'est fondé que si ledit bénéficiaire est vivant. Il n'en est plus ainsi en cas de décès 16 : le principe de la continuation de la personne du défunt impose au banquier de répondre favorablement à la demande de renseignements des héritiers.

12 - La question de l'identification ne concerne pas seulement les personnes physiques. Elle se pose également pour les personnes morales, d'autant que celles-ci ne peuvent pas agir par elles-mêmes mais nécessairement par le biais de personnes physiques. Étant observé que si les représentants légaux ne peuvent se voir opposer le secret professionnel pour des informations relatives à la société qu'ils dirigent, cette solution n'est certaine que pour le gérant 17 ou le président d'un conseil d'administration qui est en même temps directeur général 18. Elle est en revanche incertaine lorsqu'il s'agit des membres du conseil d'administration ou du conseil de surveillance : les membres de ces conseils peuvent-ils demander à titre individuel des informations au banquier ? La doctrine est partagée 19. Il semble que l'on doive tenir compte de l'étendue des pouvoirs exercés par les membres de ces conseils.Onsait que ces derniers exercent un pouvoir collectif et que si le conseil d'administration est investi du pouvoir de gestion 20, le conseil de surveillance est titulaire d'un large pouvoir de contrôle 21. Aussi doit-on considérer que si les membres de ces conseils ne peuvent individuellement obtenir des établissements de crédit la fourniture de renseignements, ils le peuvent collectivement.

B – Transparence

13 - Les informations auxquelles ont accès les clients peuvent faire l'objet de traitements. Ceux-ci doivent, en vertu du règlement du 27 avril 2016, être transparents. D'où la reconnaissance d'un droit d'accès aux personnes concernées par ces traitements. C'est l'objet de l'article 15 du règlement, lequel est intitulé « droit d'accès de la personne concernée ».

14 - Le droit d'accès s'analyse en un droit de confirmation et d'information. Confirmation que des données personnelles sont effectivement traitées. Information portant sur le traitement : en particulier les finalités du traitement, les catégories de données à caractère personnel concernées, les destinataires auxquels les données ont été ou seront communiquées 22. Étant précisé que l'information ne concerne pas uniquement l'existence du traitement : elle concerne également les garanties visées à l'article 46 du règlement 23, celles-ci étant en quelque sorte la contrepartie nécessaire aux décisions de transfert de données que les responsables des traitements peuvent prendre en l'absence d'une décision de la Commission européenne concernant l'adéquation de la protection organisée par les pays tiers en matière de données à caractère personnel 24.

15 - Le droit d'accès est accompagné du droit d'obtenir copie des informations. Selon le § 3 de l'article 15 du règlement, « le responsable du traitement fournit une copie des données à caractère personnel faisant l'objet d'un traitement. Le responsable du traitement peut exiger le paiement de frais raisonnables basés sur les coûts administratifs pour toute copie supplémentaire demandée par la personne concernée. Lorsque la personne concernée présente sa demande par voie électronique, les informations sont fournies sous une forme électronique d'usage courant, à moins que la personne concernée ne demande qu'il en soit autrement ».

C – Portabilité

16 - Du droit d'accès qui concerne l'ensemble des informations ayant fait l'objet d'un traitement est distingué le droit à la portabilité qui est le droit de récupérer les données à caractère personnel et de les transmettre à un tiers sans avoir à obtenir l'autorisation du responsable du traitement. Ce droit à la portabilité, prévu par l'article 20 du règlement du 27 avril 2016, emporte ainsi le droit d'obtenir une copie, mais uniquement sous une forme informatisée et standardisée. Par ailleurs, il ne concerne que les informations qui ont été fournies par la personne concernée par celles-ci. Étant précisé d'une part, que le traitement automatisé a été consenti par les personnes concernées par les données à caractère personnel ou était « nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci » 25. Étant précisé d'autre part que cette portabilité emportera levée du secret bancaire au profit de l'établissement bénéficiaire de la communication des données bancaires qui lui ont été transmises par l'établissement bancaire ayant traité lesdites données 26.

17 - À ces règles européennes faisaient écho les règles introduites dans le Code de la consommation 27 par la loi du 7 octobre 2016 28. Elles devaient entrer en vigueur le 25 mai 2018 29. Elles ont toutefois été abrogées par la loi du 20 juin 2018 30, avec une entrée en vigueur à la date du 25 mai 2018 31.

Cette abrogation a été justifiée par la difficulté d'appliquer à la portabilité des données deux régimes juridiques différents.

2. L'accès des tiers aux données bancaires de la clientele

18 - Le partage de données imposé à des professionnels au profit d'autres professionnels participe de l'open banking 32. Cet accès aux données bancaires des clients traduit un changement de paradigme car jusqu'à présent, la question du consentement concernait moins les professionnels détenteurs de données que les personnes concernées par ces données. D'où les dérogations légales au secret bancaire afin de permettre la communication d'informations sans l'accord des clients.

19 - Ces communications bénéficient classiquement aux autorités de supervision et aux juges, y compris en certains cas aux autorités étrangères 33 ; en l'absence du consentement des personnes concernées, le secret bancaire fait obstacle à la communication à des personnes privées, telles que des créanciers 34, sauf lorsque la responsabilité des établissements de crédit est en cause 35. Aujourd'hui, les tiers intéressés sont les professionnels eux-mêmes, en particulier ceux qui souhaitent fournir des services de paiement aux clients des établissements de crédit.

20 - Ce changement de paradigme conduit à un élargissement de l'accès des tiers aux données bancaires, qu'il y ait externalisation (A) ou partage desdites données (B). Ce changement de paradigme invite à s'interroger sur le devenir du respect de la vie privée, certains 36 souhaitant d'ailleurs passer de la culture du secret à une culture de l'accès (C).

A – Externalisation

21 - L'externalisation implique l'intervention d'un tiers à qui est transmis un certain nombre d'informations, dont des données à caractère personnel : le cloud ou nuage en est l'illustration 37. Le fournisseur informatique en nuage – qui dispose du matériel, des raccordements de réseaux et des logiciels nécessaires – peut en effet offrir le stockage de données, soit directement à des clients finaux, soit à des professionnels qui eux-mêmes collectent les données et qui recourent au cloud pour la conservation et la gestion des données collectées.

22 - On distingue notamment le cloud privé du cloud public. Le premier désigne un nuage dédié à une organisation particulière. Le second vise un nuage qui est partagé par plusieurs utilisateurs de sorte que le stockage des données d'une personne est lui-même inclus dans un ensemble partagé et accessible par d'autres. Le second est bien sûr plus fragile que le premier en termes de protection des données, étant observé que la question de la confidentialité se pose au-delà de cette distinction en raison du principe même qui fonde le cloud, à savoir l'intervention d'un tiers qui n'est pas nécessairement soumis aux mêmes exigences réglementaires que le professionnel qui recourt aux services du cloud.

23 - Il n'en reste pas moins que les exigences du règlement du 27 avril 2016 doivent être mises en oeuvre. En particulier, les clients des professionnels qui recourent au cloud doivent en avoir été clairement informés et donc avoir accepté l'intervention du fournisseur de nuage. Et lorsque ces professionnels sont des établissements de crédit, ils doivent agir conformément aux règles qui gouvernent le secret bancaire.

B – Partage

24 - Le transfert des données au fournisseur de nuages participe des partages entre professionnels. Partages qui sont de plus en plus imposés aux établissements de crédit parce que, en tant que teneurs de comptes de leurs clients, ils disposent d'informations pouvant intéresser d'autres professionnels et sont même en position d'entraver les activités de ceux-ci s'ils n'acceptent pas de tenir compte de leur rôle dans les opérations de leurs clients ou s'ils refusent de communiquer les informations qui peuvent leur être indispensables dans le cadre de leurs activités. Aussi le législateur 38 est-il intervenu, sous l'influence du droit de l'Union européenne, afin d'imposer aux établissements de crédit gestionnaires de compte de collaborer avec les autres prestataires de services de paiement.

25 - Les articles L. 133-17-1, L. 312-23 et L. 521-5 du Code monétaire et financier posent les principes directeurs. D'une part, « les règles régissant l'accès des établissements de paiement et des établissements de monnaie électronique aux services de comptes de paiement tenus par des établissements de crédit au nom des autres prestataires de services de paiement doivent être objectives, non discriminatoires et proportionnées. Cet accès est suffisamment étendu pour permettre aux établissements de paiement et aux établissements de monnaie électronique de fournir des services de paiement de manière efficace et sans entraves » (C. mon. fin., art. L. 312-23). D'autre part, « les prestataires de services de paiement n'ont accès à des données à caractère personnel nécessaires à l'exécution de leurs services de paiement, ne les traitent et ne les conservent qu'avec le consentement exprès de l'utilisateur de services de paiement » (C. mon. fin., art. L. 521-5). Enfin, « un prestataire de services de paiement gestionnaire du compte peut refuser à un prestataire de services de paiement fournissant un service d'information sur les comptes ou d'initiation de paiement l'accès à un compte de paiement, pour des raisons objectivement motivées ou documentées liées à un accès non autorisé ou frauduleux au compte de paiement de la part de ce prestataire, y compris l'initiation non autorisée ou frauduleuse d'une opération de paiement » (C. mon. fin., art. L. 133-17-1, al. 1er).

26 - Des règles complémentaires sont posées pour le service d'initiation de paiement. Ce service est rendu lors d'achats en ligne dont le règlement nécessite de donner un ordre de paiement au gestionnaire du compte de paiement. Cet ordre peut être initié par un prestataire qui va s'adresser audit gestionnaire afin que celui-ci lui confirme que le montant nécessaire à l'exécution de l'opération de paiement est disponible sur le compte de paiement du payeur (C. mon. fin., art. L. 133-39). Cette obligation bénéficie au prestataire qui initie un paiement effectué par le client à l'aide d'une carte que ledit prestataire a émis et est subordonnée à plusieurs conditions, dont le consentement exprès du client. Le service ainsi rendu permet d'assurer au bénéficiaire que le paiement a été initié, ce qui doit l'inciter à livrer le bien ou à fournir le service sans retard injustifié.

27 - Le partage des données ne caractérise pas seulement les services de paiement. Elle caractérise également la technologie du blockchain qui postule une pluralité de registres de transactions qui sont conservés au sein d'un réseau distribué ou partagé de participants et non par une entité centralisatrice 39. Ces registres paraissent fonctionner d'une façon « antinomique avec la philosophie de la protection de la vie privée qui s'oppose à une conservation ou une traçabilité sans limitation comme à l'absence de confidentialité » 40. Ils sont néanmoins soumis au règlement du 27 avril 2016 dès lors qu'ils comprennent des données à caractère personnel.

28 - En revanche, celui-ci ne s'applique pas si les registres sont anonymes ou anonymisés, « c'est-à-dire lorsque les données ne permettent pas de réidentifier directement ou indirectement la personne concernée » 41. Étant observé que le règlement du 27 avril 2016 « mentionne une troisième catégorie de données, les données pseudonymes, qui sont des données non nominatives mais qui permettent cependant l'identification indirecte d'un individu et sont donc considérées comme des données personnelles soumises aux règles du GDPR.

La blockchain utilise généralement des identifiants non nominatifs, dont l'objet est de pouvoir réidentifier les participants à une opération sans pour autant rendre publiques les données nominatives les concernant. Quand bien même certains commentateurs mentionnent que les blockchains qui traitent des opérations entre individus sont « anonymes », il s'agit de données pseudonymes, c'est-à-dire de données personnelles qui sont soumises aux règles du GDPR » 42.

C - Nouveau paradigme ?

29 - Les nouvelles technologies conduisent ainsi à s'interroger sur le devenir du respect de la vie privée. Dans le même temps, certains 43 souhaitent une meilleure diffusion des données bancaires et financières, y compris les données individuelles confidentielles, ce qui « suppose un changement de paradigme : il convient de passer d'une culture du secret à une culture de l'accès aux données dans le domaine bancaire et financier » 44. Et il est bien vrai que la transparence est l'un des thèmes prédominants en matière de régulation bancaire et financière 45.

30 - Il nous semble néanmoins nécessaire de juguler cette transparence, de faciliter l'accès aux informations non confidentielles, mais de préserver le respect de la vie privée et donc de limiter l'accès aux données à caractère personnel. Il convient d'éviter que des tiers n'aient accès à des informations que les personnes concernées souhaitent conserver comme confidentielles.

31 - Il est vrai que, dans nombre de cas, l'accès des tiers à ces informations est subordonné au consentement desdites personnes. Il convient de prendre garde à ce que ce consentement ne devienne un faux rempart, ce consentement étant systématiquement demandé et consenti pour permettre l'accès des tiers auxdites informations.

Footnotes

1. Conv. EDH, art. 8, § 1 : « Toute personne a droit au respect de sa vie privée et familiale, de son domicile et de sa correspondance ».

2. Charte des droits fondamentaux de l'Union européenne, art. 7 : « Toute personne a droit au respect de sa vie privée et familiale, de son domicile et de ses communications ».

3. G. Capelle-Blancard, R. Bellando, L'accès aux données bancaires et financières : une mission de service public : CNIS, rapp. du groupe de travail, juill. 2015, p. 3.

4. G. Capelle-Blancard, R. Bellando, L'accès aux données bancaires et financières : une mission de service public, préc. note n° 3, p. 17.

5. G. Capelle-Blancard, R. Bellando, L'accès aux données bancaires et financières : une mission de service public, préc. note n° 3, p. 18 et 32.

6. PE et Cons. UE, règl. (UE) n° 2016/679, 27 avr. 2016, relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), art. 4, 1 : « « données à caractère personnel », toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée « personne concernée ») ; est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ».

7. PE et Cons. UE, règl. (UE) n° 2016/679, 27 avr. 2016. – V. E. Jouffin, Les lignes de force du Règlement général sur la protection des données : Banque et droit 2016, n° 168, p. 8. – E. Jouffin, X. Lemarteleur et M.-N. Gibon, Le règlement sur la protection des données : les 10 commandements à connaître pour passer de la théorie à la pratique : RD bancaire et fin. 2016, étude 18. – M. Bourgeois, F. Régnier-Pécastaing et D. Pélanchon, RGPD : les bonnes résolutions 2018 : JCP E 2018, 1036.

8. La Cour de cassation vise, dans ses arrêts, l'article 9 du Code civil, V. not. Cass. com., 8 juill. 2004 : Banque et droit 2004, n° 93, p. 54, obs. Th. Bonneau. – Cass. com., 21 sept. 2010 : Banque et droit 2010, n° 134, p. 21, obs. Th. Bonneau ; RTD com. 2010, p. 761, obs. D. Legeais ; RD bancaire et fin. 2011, comm. 35, note F.-J. Crédot et Th. Samin.

9. PE et Cons. UE, règl. (UE) n° 2016/679, 27 avr. 2016, art. 99, § 2.

10. PE et Cons. UE, règl. (UE) n° 2016/679, 27 avr. 2016, art. 6, § 1, a).

11. V. not. Th. Bonneau, Droit bancaire : LGDJ, 12e éd., 2017, n° 587.

12. D. Legeais, Open Banking : menace ou opportunité pour les banques ? : RD bancaire et fin. 2017, repère 5. – C. Coppenolle, J.-S. Goetschy, S. Guillo, C. Kanoute, V. Liétard, B. Madjar et B. Mellado, La banque en mode ouvert : Banque et Stratégie 2018, n° 366, p. 5. –M. Delbaere, Open banking : vers l'avènement des services partagés d'industrie : Banque et Stratégie 2018, n° 366, p. 12.

13. C. mon. fin., art. L. 511-33, I, al. 4 : « Outre les cas exposés ci-dessus, les établissements de crédit peuvent communiquer des informations couvertes par le secret bancaire au cas par cas et uniquement lorsque les personnes concernées leur ont expressément permis de le faire ».

14. Nous supposons que les clients ne s'y sont pas opposés. – Sur le droit d'opposition au traitement des données à caractère personnel, V. PE et Cons. UE, règl. (UE) n° 2016/679, 27 avr. 2016, art. 21.

15. Ce règlement est pris en compte par le projet de loi relatif à la protection des données personnelles (projet de loi n° 490, 13 déc. 2017 : JCP E 2017, 916).

16. V. CA Reims, 25 févr. 1993 : RDbancaire et bourse 1993, p. 226, note crit. F.-J. Crédot et Y. Gérard.

17. Sur l'opposabilité du secret à l'ancienne gérante d'une société liquidée, V. Cass. com., 16 janv. 2001, n° 98-11.744 : JurisData n° 2001-007769 ; Bull. civ. IV, n° 12 ; RD bancaire et fin. 2001, comm. 74, note F.-J. Crédot et Y. Gérard ; JCPG2003, 396, note J. Stoufflet ;D. 2001, p. 545, obs. A. Lienhard. ; Dr. sociétés 2001, comm. 55, note Th. Bonneau ; RJDA 2001, n° 453 ; Bull. Joly Sociétés 2001, p. 491, § 121, note B. Saintourens ; D. 2003, p. 340, obs. H. Synvet.

18. Le président dissocié peut-il obtenir communication des informations couvertes par le secret bancaire ? La réponse est, à notre avis, positive (V. Th Bonneau, Président dissocié et secret bancaire. Des implications possibles de la NRE : Dr. sociétés 2002, comm. 1).

19. Si M. Rives-Lange EtMme Contamine-Raynaud (préc., p. 162) estiment que le secret bancaire ne peut être opposé aux membres des conseils d'administration et de surveillance, en revanche, M. Vasseur (préc., p. 48) est favorable à l'application du secret bancaire lorsque la demande d'information est formée à titre individuel.

20. C. com., art. L. 225-35 : « Le conseil d'administration détermine les orientations de l'activité de la société et veille à sa mise en oeuvre. Sous réserve des pouvoirs expressément attribués aux assemblées d'actionnaires et dans la limite de l'objet social, il se saisit de toute question intéressant la bonne marche de la société et règle par ses délibérations les affaires qui la concernent ».

21. C. com., art. L. 225-68 : « Le conseil de surveillance exerce le contrôle permanent de la gestion de la société par le directoire ».

22. PE et Cons. UE, règl. (UE) n° 2016/679, 27 avr. 2016, art. 15 : « 1. La personne concernée a le droit d'obtenir du responsable du traitement la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées et, lorsqu'elles le sont, l'accès auxdites données à caractère personnel ainsi que les informations suivantes : a) les finalités du traitement ; b) les catégories de données à caractère personnel concernées ; c) les destinataires ou catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, en particulier les destinataires qui sont établis dans des pays tiers ou les organisations internationales ; d) lorsque cela est possible, la durée de conservation des données à caractère personnel envisagée ou, lorsque ce n'est pas possible, les critères utilisés pour déterminer cette durée ; e) l'existence du droit de demander au responsable du traitement la rectification ou l'effacement de données à caractère personnel, ou une limitation du traitement des données à caractère personnel relatives à la personne concernée, ou du droit de s'opposer à ce traitement ; f) le droit d'introduire une réclamation auprès d'une autorité de contrôle ; g) lorsque les données à caractère personnel ne sont pas collectées auprès de la personne concernée, toute information disponible quant à leur source ; h) l'existence d'une prise de décision automatisée, y compris un profilage, visée à l'article 22, paragraphes 1 et 4, et, au moins en pareils cas, des informations utiles concernant la logique sous-jacente, ainsi que l'importance et les conséquences prévues de ce traitement pour la personne concernée ».

23. PE et Cons. UE, règl. (UE) n° 2016/679, 27 avr. 2016, art. 46 : « 2. Les garanties appropriées visées au paragraphe 1 peuvent être fournies, sans que cela ne nécessite une autorisation particulière d'une autorité de contrôle, par : a) un instrument juridiquement contraignant et exécutoire entre les autorités ou organismes publics ; b) des règles d'entreprise contraignantes conformément à l'article 47 ; c) des clauses types de protection des données adoptées par la Commission en conformité avec la procédure d'examen visée à l'article 93, paragraphe 2 ; d) des clauses types de protection des données adoptées par une autorité de contrôle et approuvées par la Commission en conformité avec la procédure d'examen visée à l'article 93, paragraphe 2 ; e) un code de conduite approuvé conformément à l'article 40, assorti de l'engagement contraignant et exécutoire pris par le responsable du traitement ou le sous-traitant dans le pays tiers d'appliquer les garanties appropriées, y compris en ce qui concerne les droits des personnes concernées ; ou f) un mécanisme de certification approuvé conformément à l'article 42, assorti de l'engagement contraignant et exécutoire pris par le responsable du traitement ou le sous-traitant dans le pays tiers d'appliquer les garanties appropriées, y compris en ce qui concerne les droits des personnes concernées. 3. Sous réserve de l'autorisation de l'autorité de contrôle compétente, les garanties appropriées visées au paragraphe 1 peuvent aussi être fournies, notamment, par : a) des clauses contractuelles entre le responsable du traitement ou le soustraitant et le responsable du traitement, le sous-traitant ou le destinataire des données à caractère personnel dans le pays tiers ou l'organisation internationale ; ou b) des dispositions à intégrer dans des arrangements administratifs entre les autorités publiques ou les organismes publics qui prévoient des droits opposables et effectifs pour les personnes concernées ».

24. PE et Cons. UE, règl. (UE) n° 2016/679, 27 avr. 2016, art. 45, § 3 : « La Commission, après avoir évalué le caractère adéquat du niveau de protection, peut décider, par voie d'actes d'exécution, qu'un pays tiers, un territoire ou un ou plusieurs secteurs déterminés dans un pays tiers, ou une organisation internationale, assure un niveau de protection adéquat au sens du paragraphe 2 du présent article. L'acte d'exécution prévoit un mécanisme d'examen périodique, au moins tous les quatre ans, qui prend en compte toutes les évolutions pertinentes dans le pays tiers ou au sein de l'organisation internationale. L'acte d'exécution précise son champ d'application territorial et sectoriel et, le cas échéant, nomme la ou des autorités de contrôle visées au paragraphe 2, point b), du présent article. L'acte d'exécution est adopté en conformité avec la procédure d'examen visée à l'article 93, paragraphe 2 ».

25. PE et Cons. UE, règl. (UE) n° 2016/679, 27 avr. 2016, art. 6, § 1, a et b auquel renvoie, art. 20, § 1, a.

26. En ce sens, E. Jouffin, préc. note n° 7, p. 13.

27. Anciens articles L. 224-42-1 et suivants, relevant de la sous-section 4 de la section 3 du chapitre IV du titre 2 du Livre 2 du Code de la consommation. La récupération des données prévues à l'article L. 224-42-1 – selon lequel « le consommateur dispose en toutes circonstances d'un droit de récupération de l'ensemble de ses données » – s'exercait, selon l'article L. 224-42-2, dans les conditions de l'article 20 du Règlement du 27 avril 2016. Étant observé que cette récupération ne concernait pas seulement les données à caractère personnel ; elle comprend toutes les données des clients, y compris les « données de consommation » (Th. Bonneau et Th. Verbiest, Fintech et Droit :RB Edition 2017 p. 40). Notons que l'article L. 224-42-3 visait notamment les fichiers mis en ligne par le consommateur et les données résultant de l'utilisation du compte d'utilisateur du consommateur et consultables en ligne par celui-ci. Ce droit n'était toutefois pas sans limite car étaient exclues « les données ayant fait l'objet d'un enrichissement significatif par le fournisseur », un décret devant déterminer « une liste de types d'enrichissements présumés non significatifs ne pouvant pas justifier un refus de récupération des données » (Art. L 224-42-3, 2° et avant dernier alinéa). Cette limite se comprenait car les données récupérées avaient vocation à être transférées à des tiers, le plus souvent des concurrents à ceux qui détenaient lesdites informations, et cela sans le consentement de ces professionnels.

28. L. n° 2016-1321, 7 oct. 2016 pour une République numérique, art. 48, I.

29. L. n° 2016-1321, 7 oct. 2016, préc., art. 48, II.

30. L. n° 2018-493, 20 juin 2018 relative à la protection des données personnelles, art. 33.

31. L. n° 2018-493, 20 juin 2018, préc., art. 37.

32. V. supra n° 6.

33. Sur les communications aux autorités d'États tiers, PE et Cons. UE, règl. (UE) n° 2016/679, 27 avr. 2016, art. 45 et s.

34. V. Th. Bonneau, Droit bancaire, préc. note n° 11, spéc. n° 586.

35. Cass. com., 29 nov. 2017 : JCPG2018, note Th. Bonneau. – Sur les limites à apporter au secret bancaire en cas d'atteinte à un droit fondamental, V. Th. Bonneau, Le secret bancaire à l'aune de l'arrêt Coty Germany, CJUE, 16 juill. 2015, aff. C-580/13 : RAE 2015, p. 571 ; Le secret bancaire à l'épreuve de la CJUE : RD bancaire et fin. 2016, repère 4.

36. G. Capelle-Blancard, R. Bellando, L'accès aux données bancaires et financières : une mission de service public, préc. note n° 3, p. 45.

37. V. R. Perray, L'externalisation des données des Fintech : les risques du Cloud : RD bancaire et fin. 2017, dossier 9.

38. Ord. n° 2017-1252, 9 août 2017, portant transposition de la directive 2015/ 2366 du Parlement européen et du Conseil du 25 novembre 2015 concernant les services de paiement dans le marché intérieur. – V. J. Lasserre Capdeville, Nouvelle réforme des services de paiement : la « DSP2 » est transposée. À propos de l'ordonnance n° 2017-1252 du 9 août 2017 : JCPG2017, 923.

39. ESMA, The distributed ledger technology applied to securities markets, Discussion paper, 2 June 2016/ESMA/2016/773, spéc. n° 1, p. 8. – V. Th. Bonneau, Blockchain : RD bancaire et fin. 2017, comm. 43.

40. J. Deroulez, Blockchain et données personnelles, Quelle protection de la vie privée ? : JCP G 2017, 973, spéc. n° 9.

41. FINTEC, rapp. du groupe, Paris Europlace, Les impacts des réseaux distribués et de la technologie Blockchain dans les activités de marché, 23 oct. 2017, spéc. p. 82.

42. FINTEC, rapp. du groupe, préc. note n° 38.

43. G. Capelle-Blancard, R. Bellando, R. Lacroix, L'accès aux données bancaires et financiers : une mission de service public, préc. note n° 3, p. 45.

44. V. FINTEC, rapp. du groupe, préc. note n° 38, recomm. 11 : « Le groupe de travail recommande que la Banque de France formalise sa procédure d'accès aux données confidentielles et qu'elle diffuse sur son site un guide d'accès, comme le font par exemple la Bundesbank et la Banque d'Angleterre ».

45. Th. Bonneau, Régulation bancaire et financière européenne et internationale : Bruylant, 4e éd., 2018, n° 348 et s.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.