Données financières - AUTRES LOIS EUROPÉENNES SPÉCIFIQUES EN MATIÈRE DE PROTECTION DES

8. AUTRES LOIS EUROPÉENNES SPÉCIFIQUES EN MATIÈRE DE PROTECTION DES

8.5. Données financières

Points clés

• Bien que les données financières ne soient pas des données sensibles au sens de la Convention 108 ou de la directive relative à la protection des données, leur traite-ment requiert des garanties particulières pour assurer l’exactitude et la sécurité des données.

• Les systèmes de paiement électroniques nécessitent une protection intégrée des don-nées, appelée « respect de la vie privée dès la conception » (« privacy by design »).

• Des problèmes particuliers de protection des données surviennent dans ce domaine du fait de la nécessité de mécanismes d’authentification appropriés.

Exemple : dans l’affaire Michaud c. France³¹⁷, le requérant, un avocat français, contestait l’obligation que lui imposait le droit français de signaler toute suspi-cion de blanchiment d’argent par ses clients. La CouEDH a relevé qu’imposer aux avocats de signaler aux autorités administratives des informations concer-nant un tiers, dont ils prennent connaissance dans le cadre d’échanges avec cette personne, constitue une ingérence dans le droit des avocats au respect de leur correspondance et de leur vie privée au titre de l’article 8 de la CEDH, ce concept couvrant aussi bien des activités de nature professionnelle que commerciale. Toutefois, l’ingérence était prévue par la loi et poursuivait un but légitime, à savoir la défense de l’ordre et la prévention des infractions pénales.

Dans la mesure où les avocats ne sont soumis à l’obligation de signaler une sus-picion que dans des circonstances très limitées, la CouEDH a jugé cette obliga-tion proporobliga-tionnée et à exclu la violaobliga-tion de l’article 8.

Une application du cadre légal général de la protection des données, tel qu’il est prévu dans la Convention 108, au contexte des paiements a été développée par

317 CouEDH, Michaud c. France, n° 12323/11, 6 décembre 2012 ; voir également CouEDH, Niemietz c. Allemagne, n° 13710/88, 16 décembre 1992, para. 29, et CouEDH, Halford c. Royaume-Uni, n° 20605/92, 25 juin 1997, para. 42.

la recommandation Rec (90) 19 du CdE de 1990³¹⁸. Cette recommandation clarifie l’étendue de la collecte et de l’utilisation légales de données dans le contexte de paiements, en particulier à l’aide de cartes de paiement. Elle propose également aux législateurs nationaux des règles détaillées sur les limites de la communication de données de paiement à des tiers, les limites dans le temps de la conservation des données, la transparence, la sécurité des données et les flux de données transfron-tières et, enfin, sur le contrôle et les voies de recours. Les solutions proposées cor-respondent au cadre communautaire général de protection des données qui a été prévu par la suite dans la directive relative à la protection des données.

Un certain nombre d’actes juridiques sont en cours de création pour réglementer les marchés d’instruments financiers et les activités des établissements de crédit et des sociétés de placement³¹⁹. D’autres actes juridiques contribuent à lutter contre les délits d’initié et la manipulation de cours³²⁰. Les problèmes les plus critiques dans ces domaines qui ont un impact sur la protection des données sont :

• la conservation de registres des transactions financières ;

• le transfert de données à caractère personnel vers des pays tiers ;

• l’enregistrement de conversations téléphoniques ou communications électro-niques, y compris le pouvoir des autorités compétentes de demander à consulter les enregistrements des échanges téléphoniques et de données ;

318 CdE, Comité des Ministres (1990), recommandation R (90) 19 sur la protection des données à caractère personnel utilisées à des fins de paiement et autres opérations connexes, 13 septembre 1990.

319 Commission européenne (2011), Proposition de directive du Parlement européen et du Conseil concernant les marchés d’instruments financiers, abrogeant la directive 2004/39/CE du Parlement européen et du Conseil, COM(2011) 656 final, Bruxelles, 20 octobre 2011 ; Commission européenne (2011), Proposition de règlement du Parlement européen et du Conseil concernant les marchés d’instruments financiers et modifiant le règlement [EMIR] sur les produits dérivés négociés de gré à gré, les contreparties centrales et les référentiels centraux, COM(2011) 652 final, Bruxelles, 20 octobre 2011 ; Commission européenne (2011), Proposition de directive du Parlement européen et du Conseil concernant l’accès à l’activité des établissements de crédit et la surveillance prudentielle des établissements de crédit et des entreprises d’investissement et modifiant la directive 2002/87/CE du Parlement européen et du Conseil relative à la surveillance complémentaire des établissements de crédit, des entreprises d’assurance et des entreprises d’investissement appartenant à un conglomérat financier, COM(2011) 453 final, Bruxelles, 20 juillet 2011.

320 Commission européenne (2011), Proposition de règlement du Parlement européen et du Conseil sur les opérations d’initiés et les manipulations de marché (abus de marché), COM(2011) 651 final, Bruxelles, 20 octobre 2011 ; Commission européenne (2011), Proposition de directive du Parlement européen et du Conseil relative aux sanctions pénales applicables aux opérations d’initiés et aux manipulations de marché, COM(2011) 654 final, Bruxelles, 20 octobre 2011.

• la divulgation d’informations personnelles, y compris la publication de sanctions ;

• les pouvoirs de contrôle et d’enquête des autorités compétentes, y compris les inspections sur site et la visite de locaux privés en vue de saisir des documents ;

• les mécanismes de signalement d’infractions, c’est-à-dire les systèmes de trans-mission d’informations ; et

• la coopération entre les autorités compétentes des États membres et l’Autorité européenne des marchés financiers (AEMF).

D’autres problèmes en la matière sont aussi traités de façon spécifique, notamment la collecte des données sur le statut financier des personnes concernées³²¹ ou le paiement transfrontalier par virements bancaires, qui entraîne inévitablement des flux de données à caractère personnel³²².

321 Règlement (CE) n° 1060/2009 du Parlement européen et du Conseil du 16 septembre 2009 sur les agences de notation de crédit, JO 2009 L 302 ; Commission européenne, Proposition de règlement du Parlement européen et du Conseil modifiant le règlement (CE) n° 1060/2009 sur les agences de notation de crédit, COM(2010) 289 final, Bruxelles, 2 juin 2010.

322 Directive 2007/64/CE du Parlement européen et du Conseil du 13 novembre 2007 concernant les services de paiement dans le marché intérieur, modifiant les directives 97/7/CE, 2002/65/CE, 2005/60/CE ainsi que 2006/48/CE et abrogeant la directive 97/5/CE, JO 2007 L 319.

Chapitre 1

Araceli Mangas, M. (ed.) (2008), Carta de los derechos fundamentales de la Unión Europea, Bilbao, Fundación BBVA.

Berka, W. (2012), Das Grundrecht auf Datenschutz im Spannungsfeld zwischen Frei-heit und SicherFrei-heit, Vienne, Manzsche Verlags- und Universitätsbuchhandlung.

EDRi, An introduction to data protection, Bruxelles, www.edri.org/files/paper06_

datap.pdf.

Frowein, J. et Peukert, W. (2009), Europäische Menschenrechtskonvention, Berlin, N. P. Engel Verlag.

Grabenwarter, C. et Pabel, K. (2012), Europäische Menschenrechtskonvention, Munich, C. H. Beck.

Harris, D., O’Boyle, M., Warbrick, C. et Bates, E. (2009), Law of the European Conven-tion on Human Rights, Oxford, Oxford University Press.

Jarass, H. (2010), Charta der Grundrechte der Europäischen Union, Munich, C. H. Beck.

Mayer, J. (2011), Charta der Grundrechte der Europäischen Union, Baden-Baden, Nomos.

Mowbray, A. (2012), Cases, materials, and commentary on the European Convention on Human Rights, Oxford, Oxford University Press.

Nowak, M., Januszewski, K. et Hofstätter, T. (2012), All human rights for all – Vienna manual on human rights, Antwerp, intersentia N. V., Neuer Wissenschaftlicher Verlag.

Picharel, C. et Coutron, L. (2010), Charte des droits fondamentaux de l’Union euro-péenne et convention euroeuro-péenne des droits de l’homme, Brussels, Emile Bruylant.

Simitis, S. (1997), ‘Die EU-Datenschutz-Richtlinie – Stillstand oder Anreiz?’, Neue Juris-tische Wochenschrift, n° 5, p. 281–288.

Warren, S. et Brandeis, L. (1890), ‘The right to privacy’, Harvard Law Review, Vol. 4, n° 5, p. 193–220, www.english.illinois.edu/-people-/faculty/debaron/582/582%20 readings/right%20to%20privacy.pdf

White, R. et Ovey, C. (2010), The European Convention on Human Rights, Oxford, Oxford University Press.

Chapitre 2

Carey, P. (2009), Data protection: A practical guide to UK and EU law, Oxford, Oxford University Press.

Delgado, L. (2008), Vida privada y protección de datos en la Unión Europea, Madrid, Dykinson S. L.

Desgens-Pasanau, G. (2012), La protection des données à caractère personnel, Paris, LexisNexis.

Di Martino, A. (2005), Datenschutz im europäischen Recht, Baden-Baden, Nomos.

Morgan, R. et Boardman, R. (2012), Data protection strategy: Implementing data protection compliance, London, Sweet & Maxwell.

Ohm, P. (2010), « Broken promises of privacy: Responding to the surprising failure of anonymization », UCLA Law Review, Vol. 57, n° 6, p. 1701–1777.

Dans le document Manuel de droit européen en matière de protection des données - Agence des droits fondamentaux de l'Union européenne et Conseil de l'Europe - Juin 2014 - APHP DAJDP (Page 196-200)