L'accès aux Données Bancaires au Regard du Respect de la vie Privée
Introduction
1 - Selon l'article 9 du Code civil, auquel font écho la Convention européenne des droits de l'homme 1 et la Charte des droits fondamentaux 2, « chacun a droit au respect de sa vie privée ». Toute personne a donc droit de garder confidentielles les informations la concernant, et par conséquent à ce que ces informations ne soient pas communiquées, ce qui implique une interdiction d'accès à ces données, notamment aux données détenues par les établissements de crédit.
2 - On pourrait, il est vrai, être tenté de discuter cette conclusion en s'appuyant sur le contenu desdites données, qui sont diverses et variées 3, d'autant qu'elles sont de deux ordres. On distingue en effet les données macro-bancaires, ce qui visent des données agrégées et des statistiques 4, et les données microbancaires, ce qui couvrent des données individuelles, lesquelles peuvent être elles-mêmes de deux sortes, confidentielles et non confidentielles, le critère résidant dans le respect à la vie privée 5. Toutefois, cette référence elle-même met à mal toute discussion puisque le respect de la vie privée implique que les informations dites confidentielles le demeurent et soient donc hors d'accès.
3 - Encore que l'on peut se demander si les données bancaires, c'est-à-dire celles détenues par les établissements de crédit, telles que les numéros de compte et les numéros de chèques, relèvent de la vie privée. La réponse est toutefois traditionnellement positive et même s'impose à l'évidence lorsqu'il s'agit des données tels que les types de comptes ouverts au nom d'un client, la fréquence et le montant des opérations qui y sont portées, l'amplitude des variations des soldes des comptes et le montant des mêmes soldes à un instant T. Ces données bancaires sont précises : elles constituent des données à caractère personnel 6 au sens du règlement général sur la protection des données, en date du 27 avril 2016 7, et sont couvertes par le secret bancaire dont le fondement est la protection des clients 8 de sorte que les établissements bancaires qui les détiennent ne sont pas autorisés à les communiquer.
4 - Le règlement, qui est applicable depuis le 25 mai 2018 9, est important car les données personnelles font l'objet de traitements qui peuvent être utiles aux établissements de crédit s'ils souhaitent affiner la connaissance qu'ils ont de leurs clients, cela pour mieux cibler leurs besoins et ainsi leur proposer les produits et les services qui semblent répondre à leurs attentes. Ces traitements, qui ont d'ailleurs été facilités par l'essor des nouvelles technologies et qui sont en principe subordonnés au consentement des personnes concernées 10, doivent être transparents et accessibles : le principe de transparence impose de reconnaître aux clients un droit d'accès aux informations les concernant. Étant observé que la question de l'accès aux données bancaires ne se pose pas uniquement au regard des clients mais également des tiers.
5 - Cette question est classique car le secret bancaire n'a jamais été absolu. Des intérêts autres que le seul respect de la vie privée justifient, en effet, depuis longtemps, de donner accès, à des tiers, aux données bancaires des clients. Les établissements de crédit ont été ainsi autorisés à communiquer des informations couvertes par le secret bancaire aux agences de notation pour les besoins de la notation des produits financiers et à leurs partenaires pour les besoins de leurs opérations, telles que des opérations de crédit et les cessions de créance (C. mon. fin., art. L. 511-33, I, al. 3.). 6 - Ces communications dites autorisées 11, qui facilitent les opérations des établissements de crédit, doivent être distinguées de celles qui caractérisent l'open banking 12, lequel est défini comme le partage de données par les établissements de crédit avec d'autres prestataires de services bancaires, notamment les prestataires qui initient des paiements. Car en ce cas, on impose aux établissements de crédits de partager leurs informations ; le partage n'est pas volontaire de leur part.
7 - L'accès aux données bancaires comporte ainsi un double aspect. Le premier est le droit d'accès des clients aux informations les concernant (1). Le second est l'accès des tiers auxdites informations (2). Les deux aspects sont en lien avec le respect de la vie privée car des personnes autres que les personnes concernées par les informations détiennent celles-ci ou sont en situation de les obtenir alors même que lesdites informations devraient rester confidentielles.
-
L'accès des clients aux données bancaires les concernant
8 - Les clients ont logiquement accès aux données les concernant et détenues par leurs banquiers : le secret bancaire ne leur est pas opposable puisque, tout au contraire, ils en sont les bénéficiaires et que ce sont eux qui sont autorisés à le lever dans les hypothèses où aucune dérogation légale ne s'impose à eux 13. L'accès des clients aux informations les concernant postule qu'ils peuvent en avoir communication et qu'ils puissent en contrôler le contenu, ce qui est particulièrement important lorsque les informations sont collectées et traitées par les établissements bancaires 14.
9 - Le principe de transparence justifie le droit d'accès reconnu par le règlement du 27 avril 2016 15. Toutefois, son exercice suppose que l'on puisse identifier le client qui entend avoir cet accès. Étant observé que cette question ne se pose pas seulement au regard de ce règlement ; elle est classique en matière de secret bancaire. Identification (A), transparence (B) et portabilité (C) sont ainsi des mots-clefs lorsqu'il s'agit d'examiner l'accès des clients aux données bancaires les concernant.
A - Identification
10 - La question de l'identification ne se pose normalement pas si c'est la personne concernée par les informations confidentielles qui agit, que cela soit sur le terrain du secret bancaire ou sur celui du règlement du 27 avril 2016. Elle n'est toutefois pas aussi simple qu'il y paraît comme le montre la jurisprudence rendue sur le terrain du secret bancaire. En certains cas, on peut en effet s'interroger sur l'identité de l'auteur de la demande de communication : est-ce la personne concernée par les informations ou est-ce un tiers ? La question se pose d'ailleurs moins pour des questions de fait que pour des questions de droit, certains mécanismes ou principes juridiques permettant finalement de considérer que c'est moins un tiers que la personne concernée qui agit.
11 - Il est ainsi certain, en ce qui concerne les personnes physiques, que l'établissement de crédit est fondé à opposer le secret bancaire à la demande faite par un conjoint ou un enfant à propos des comptes personnels ouverts au nom du mari/père ou l'épouse/mère. Mais cela n'est fondé que si ledit bénéficiaire est vivant. Il n'en est plus ainsi en cas de décès 16 : le principe de la continuation de la personne du défunt impose au banquier de répondre favorablement à la demande de renseignements des héritiers.
12 - La question de l'identification ne concerne pas seulement les personnes physiques. Elle se pose également pour les personnes morales, d'autant que celles-ci ne peuvent pas agir par elles-mêmes mais nécessairement par le biais de personnes physiques. Étant observé que si les représentants légaux ne peuvent se voir opposer le secret professionnel pour des informations relatives à la société qu'ils dirigent, cette solution n'est certaine que pour le gérant 17 ou le président d'un conseil d'administration qui est en même temps directeur général 18. Elle est en revanche incertaine lorsqu'il s'agit des membres du conseil d'administration ou du conseil de surveillance : les membres...
To continue reading
Request your trial