Les comptes bancaires recèlent de nombreuses données bancaires diverses : à qui appartiennent ces données ?
Propriété des données : l’absence de statut
L’état actuel de la législation ne permet pas de reconnaitre le caractère appropriable des données « la notion de propriété des données n’a pas de statut juridique en tant que tel » (1).
Pourtant, il semble que la donnée fasse l’objet de tentatives d’appropriation de plus en plus fréquentes à différents titres. Mais, pour autant, constitue-t-elle un bien relevant du droit de propriété au sens de l’article 544 du Code civil qui dispose que :
« la propriété est le droit de jouir et disposer des choses de la manière la plus absolue, pourvu qu’on n’en fasse pas un usage prohibé par les lois ou par les règlements. »
Seule la « chose » peut donc être un objet de cette propriété. Elle se définit d’ailleurs classiquement comme « tout ce qui, dans la nature, a une existence corporelle et tangible, hormis l’homme » (2).
Certains proposent que cette définition soit élargie aux choses non nécessairement tangibles mais perceptibles, voire à toute chose qu’il est utile et possible de s’approprier.
Néanmoins, afin que la donnée bancaire fasse naître un droit de propriété, il conviendrait de lui conférer, par voie légale ou réglementaire, le statut de chose, ce qui n’est pas le cas en l’état de notre droit positif. En l’absence d’une telle disposition, il n’est donc pas possible, actuellement, de considérer que la donnée peut, par le seul fait de son existence ou de sa collecte, faire l’objet d’une appropriation par qui que ce soit.
Toutefois, si les données n’ont pas de statut général, une analyse pour chaque type de données permet néanmoins de dégager quelques règles applicables.
Données brutes, données dérivées : une distinction suffisante pour l’appropriation ?
Les comptes bancaires des clients contiennent des données bancaires qui peuvent être très basiques, comme le nom des produits bancaires, le solde du compte, etc. Ce sont ce qu’on peut qualifier de « données brutes », en ce qu’elles n’ont pas de valeur intrinsèque et ne sont pas le résultat d’un travail intellectuel ou de création de la part de la banque. Elles sont utiles pour la gestion du compte en banque mais sont similaires d’une banque à une autre.
On peut les opposer à ce qu’on appelle les « données dérivées ». Ces dernières n’ont pas, en droit français, de définition légale mais, techniquement, les données dérivées désignent les informations créées à partir de, ou ayant pour origine directement ou indirectement, des données, à condition que :
- les données qui en sont à l’origine, ne puissent être déterminées ou recréées par un calcul ou un processus automatisé, tel qu’un processus d’ingénierie inversée (« reverse engineering ») ;
- les informations créées ne puissent être utilisées comme substitut aux données d’origine.
Les données répondant à ces critères pourraient être protégées par le droit d’auteur, sous réserve d’être originales.
Qu’en est-il des données qui se trouvent dans les comptes bancaires et qui permettent d’identifier le client ?
Les données à caractère personnel sont-elles appropriables ?
Il ressort de la loi Informatique et libertés (3) et du Règlement européen sur la protection des données (RGPD) (4) qu’une donnée peut être qualifiée de donnée à caractère personnel dès lors qu’elle permet l’identification, soit directe soit indirecte, d’un individu, personne physique, et ce, quel que soit le type de données.
Ainsi la Cnil a considéré à plusieurs reprises qu’une donnée bancaire liée à la nature et à l’identification du compte (numéro, type, caractéristique du compte, etc.) pouvait constituer une donnée à caractère personnel (5), au même titre que le numéro de carte bancaire (6).
Ceci devrait naturellement être repris et confirmé par le « pack de conformité banque » qui est en cours de préparation par la Cnil.
La loi pour une République numérique (7) a, quant à elle, complété la loi informatique et libertés en considérant que :
« toute personne dispose du droit de décider et de contrôler les usages qui sont faits des données à caractère personnel la concernant, dans les conditions fixées par la présente loi (L. 78-17 du 6-1-1978, art. 1er). »
A ce titre, seule la personne dont les données à caractère personnel ont été collectées (désigné par la loi Informatique et libertés et le RGPD comme étant « la personne concernée ») devrait avoir le droit de décider de l’utilisation qui sera faite de ses données et donc de disposer de ses données à sa convenance.
On le voit, les textes semblent donner à la personne physique dont les données ont été collectées des droits qui confinent à ceux qu’un propriétaire pourrait exercer sur une chose sans toutefois que, ni la loi Informatique et libertés, le RGPD ou la loi pour une République numérique n’affirment clairement que les individus disposent d’un droit de propriété plein et entier sur les données qui les concernent.
Comment protéger les données ?
En l’absence de protection légale, peut-on s’approprier les données bancaires d’un client par contrat ?
C’est à cette question que la Cour de justice de l’Union Européenne (CJUE) a eu à répondre (8) dans l’affaire Ryanair.
Dès lors qu’une base de données n’est éligible à aucun de ces deux droits, elle ne relève pas du champ d’application de la directive, et son régime de protection éventuel relève du droit national (9).
C’est donc au regard du seul droit national que doit s’apprécier la licéité de dispositions contractuelles interdisant la reprise à des fins commerciales des données issues de telles bases de données.
Cette protection contractuelle est même plus grande que celle du producteur de base de données qui octroie des droits d’extraction et de réutilisation non substantielle aux utilisateurs.
En d’autres termes, l’organisation de la propriété des données produites, conservées et collectées par les banques, pourrait, à l’instar de ce que la société Ryanair avait fait au travers de ses conditions générales d’utilisation, relever des contrats proposés par les établissements concernés.
Les autres moyens de s’approprier les données
Cette protection par le droit des contrats peut se heurter à d’autres modes de protection légaux, qui tiennent compte de la nature spécifique des données, et en particulier de leur valeur économique intrinsèque telle que la protection par :
- le secret des affaires à condition que :
- les données soient secrètes ;
- les données aient une valeur commerciale, parce qu’elles sont secrètes par exemple ;
- les données aient fait l’objet, de la part de la personne qui en a le contrôle de façon licite, de dispositions raisonnables, compte tenu des circonstances, destinées à les garder secrètes (9).
Il est néanmoins possible que cette protection par le secret des affaires ne permette pas à la banque de protéger les données des comptes bancaires de ses clients en ce que les données sont connues ne serait-ce que par le client lui-même, en tant que destinataire des services bancaires considérés ;
- le droit sui generis du producteur de la base de données :
- en raison de l’investissement permanent quant à l’élaboration et au maintien à jour de leurs bases de données, les banques peuvent être qualifiées de producteurs de bases de données et donc interdire l’extraction d’une partie substantielle du contenu de la base sur un autre support, par tout moyen et sous toute forme que ce soit.
Ces moyens de protection ne semblent pas aussi simples à mettre en œuvre alors qu’apparaissent de nouveaux acteurs tels que les prestataires de services d’information sur les comptes (PSIC) et les prestataires de services d’initiation de paiement (PSIP) ne pourront pas interdire l’accès aux comptes de leurs clients, sauf pour des motifs de sécurité…
Frédéric Forster
Charlotte Le Fiblec
Lexing Constructeurs Informatique et Telecom
(1) Alain Bensoussan, « La propriété des données », Blog expert Le Figaro, 18-5-2010.
(2) Jacques Hansenne, Les biens. Tome 1, Précis. Collections scientifiques de la Faculté de Droit de l’Université de Liège, 1996, n°14 et 15.
(3) Loi n°1978-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.
(4) Règlement européen n°2016-679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.
(5) Exercice du droit d’accès au fichier des comptes bancaires et assimilés (Ficoba), Fiche Cnil, sept. 2016.
(6) Pack de conformité Assurances, Fiche Cnil nov. 2014.
(7) Loi n°2016-1321 du 7-10-2016 pour une République numérique, article 54.
(8) CJUE, 15-01-2015, affaire n° C-30/14,. Ryanair Ltd c/ PR Aviation BV.
(9) Directive UE 2016/943 du Parlement européen et du Conseil du 8 juin 2016 sur la protection des savoir-faire et des informations commerciales non divulgués, article 2, 1).