Yves Nicolin
Question N° 47277 au Ministère de l'Intérieur
Question soumise le 28 avril 2009
M. Yves Nicolin attire l'attention de Mme la ministre de l'intérieur, de l'outre-mer et des collectivités territoriales sur la transmission des coordonnées bancaires de titulaires de compte à des sociétés étrangères implantées hors de la Communauté européenne, sans que le détenteur du compte n'en ait donné l'autorisation. Cette pratique est de plus en plus répandue par les établissements bancaires qui se contentent d'informer leurs clients que « dans le cadre des relations bancaires, les données personnelles communiquées peuvent être confiées à des prestataires liés contractuellement à l'établissement bancaire ». Bien que le traitement des données ait fait l'objet d'une autorisation à l'établissement bancaire de la Commission nationale de l'informatique et des libertés (CNIL), le titulaire du compte n'a pas expressément donné son accord. Aussi, il lui demande de bien vouloir lui indiquer les moyens dont disposent les titulaires de compte bancaire pour s'opposer à ce que leurs coordonnées personnelles soient transmises à des sociétés avec lesquelles ils n'ont et ne souhaitent avoir aucune relation et, en cas de litige, quelle est la juridiction compétente pour le juger.
Réponse émise le 8 septembre 2009
La loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés subordonne la possibilité de transfert de données à caractère personnel vers des pays non membres de l'Union européenne (UE) à la condition que le pays destinataire « assure un niveau de protection suffisant de la vie privée et des libertés et droits fondamentaux des personnes à l'égard du traitement dont ces données font l'objet ». Le caractère suffisant du niveau de protection assuré est à apprécier au regard des critères fixés par la loi : l'existence de clauses contractuelles ou de règles internes adaptées au niveau des entreprises. Lorsqu'une banque envisage de transférer des données personnelles vers un pays hors UE qui ne dispose pas d'une législation sur les données personnelles garantissant un niveau de protection suffisant de la vie privée et des libertés, elle doit déposer un dossier de demande d'autorisation auprès de la Commission nationale de l'informatique et des libertés (CNIL). Par ailleurs, les banques doivent fournir à leurs clients un nombre suffisant d'informations lorsqu'elles collectent des données les concernant et leur indiquer, s'il y a lieu, que leurs données personnelles peuvent être transférées dans des pays hors UE pour des finalités et des catégories de destinataires à préciser et que le transfert a été autorisé par la CNIL. Si, en revanche, un tel transfert est envisagé postérieurement à la collecte des données, celui-ci ne peut intervenir qu'au terme d'un délai de quinze jours à compter de la réception par les intéressés d'une information spécifique les informant du transfert. En revanche, la loi précitée ne requiert pas le recueil du consentement, libre et éclairé, du client personne physique pour de tels flux transfrontières de données. Il en va de même de l'article L. 511-33 du code monétaire et financier. Celui-ci dispose, de manière générale en ce qui concerne le régime du secret bancaire, qu'une banque ne peut pas transmettre à des tiers des informations couvertes par le secret bancaire, sauf dans des cas limitativement énumérés. En dehors de ces cas, la banque doit y avoir été au préalable autorisée par chaque client concerné. Or, parmi les hypothèses dans lesquelles le consentement exprès du client à la levée du secret bancaire n'a pas à être recueilli figure la conclusion de contrats de prestation de services avec un tiers en vue de lui confier des fonctions opérationnelles importantes. S'agissant, enfin, de l'application du droit d'opposition à des transferts de données personnelles de cette nature, elle suppose, conformément à l'article 38 de la loi déjà citée, l'existence d'un motif légitime pour le requérant. Or, cette condition ne semble, en première analyse, pouvoir être remplie que si les transferts de données peuvent avoir des conséquences sur la situation personnelle du requérant.
Aucun commentaire n'a encore été formulé sur cette question.