L La protection des données - Les paiements transfrontières dans un espace financier européen

178. Une opération de paiement implique un traitement de données relatives à tout le moins au donneur d'ordre et au bénéficiaire. Ces info1mations peuvent revêtir une importance considérable, par exemple au niveau commercial: elles pourraient permettre en effet de reconstituer un profil de personnalité par les habitudes d'achat d'un client et d'offrir ainsi la possibilité à un tiers commerçant de bénéficier d'avantages en termes de marketing. Cette problématique n'est pas nouvelle et elle a déjà fait l'objet de développements, notamment dans l'optique de la protection des consommateurs en général551,

548 549

550

551

ÔBA 1996, p. 681 ss. Pour la Suisse, voir notamment: SCHMIDLI Beat, Der Missbrauch von Codekarten aus strafrechtlicher Sicht, Bâle - Francfort 1991; SCHMID Niklaus, Computer- sowie Check- und Kreditkarten-Kriminaliliit, Zurich 1994 (commentaire des nouvelles dispositions pénales touchant aux moyens de paiement dans le cadre des infractions contre le patrimoine, en vigueur depuis le Ier janvier 1995); ARZT Gunther, Vom Bargeld zum Buchgeld ais Schutzobjekt im neuen Vermèigensstrafrecht, in: recht 1995, p. 133 ss; SCHILD TRAPPE Grace, Zum neuen Straftatbestand des Check- und Kreditkartenmissbrauchs, Art. 148 StGB - zugleich eine Anmerkung zu BGE 122 IV 149 ff., in: RJB 1997, p. 1 SS.

Supra no 124 et no 150.

Sur la question de l'acceptabilité des cartes, voir notamment FA V RE-BULLE, paiement, p. 212. Sur l'exemple des Etats-Unis en matière de tarification différenciée: SCHNEIDER Uwe H., Preisaufschliige bei Zahlung mit Scheck, Kreditkarte oder an automatisierten Kassen? Rechtsvergleichende Überlegungen zum amerikanischen Cash Discount Act 1981, in: Festschrift für Klemens Pleyer zum 65. Geburtstag, Cologne [etc.] 1986, p. 115 SS.

Enfin, nous ne mentionnons pas toute la problématique des risques systémiques et des mesures prudentielles à mettre en oeuvre pour protéger les systèmes de paiement, mesures qui sont étudiées par les banques centrales depuis un certain temps et qui ont notamment conduit à la proposition de directive communautaire concernant le caractère définitif du règlement (supra note 45 et no 142 s.). II s'agit là en effet de questions qui ne concernent pas directement les paiements de détail, les véritables risques systémiques étant beaucoup plus importants pour les paiements de gros montants, au niveau des systèmes de compensation et de règlement interbancaires, que nous avons exclus de notre analyse (Cormnission [UE), paiements transfrontaliers, para. 53, et PSTDG, para. 94 s. Voir également le rapport approfondi de la Banque d'Italie, Risques systémiques et surveillance, en annexe des rapports PSTDG et PSULG).

Exemples: SCHWEIZER Rainer J., La protection des données et autres problèmes juridiques des nouveaux moyens électroniques de paiement, in: STAUDER B. (éd.), Les nouveaux moyens électroniques de paiement, Lausanne 1986, p. 45 ss; SCHAAR Peter I SCHLÂGER Uwe, Datenschutz bei »electronic-cash« und bei Lastschriftverfahren, in: CR 1992, p. 513 ss; POULLET Yves, TEF et protection des données à caractère personnel, in:

BOURGOIGNIE Th./ GOYENS M. (éd.), Electronic funds transfer and consumer protection

17 9. La perspective transfrontière est en revanche elle plus nouvelle. Un paiement à distance ou face-à-face d'un Etat à un autre implique forcément un flux transfrontière des données y relatives552, Or il se trouve que certains Etats limitent de différentes manières un tel flux transfrontière d'informations, ce qui peut entraver les paiements553.

La protection des données a donc une double facette dans l'optique qui nous intéresse: d'une part elle peut permettre de protéger le consommateur contre une utilisation abusive des données personnelles le concernant, d'autre part elle peut être un obstacle au bon déroulement des paiements transfrontières que le même consommateur effectue.

180. S'agissant des initiatives prises au niveau européen554, les premiers textes importants ont été adoptés sous l'égide du Conseil de l'Europe555; la Convention 108 pour la protection des personnes à l'égard du traitement

552 553

554

555

I Transfert électronique de fonds et protection du consommateur, Bruxelles 1990, p. 179 ss, et Privacy, in: POULLET Y. I VANDENBERGHE G.P.V. (éd.), Telebanking, Teleshopping and the Law, Deventer 1988, p. 159 ss, et E.F.T. und Datenschutz, in:

DuD 2/1988, p. 64 ss (également in DuD 2/1988, p. 74 ss: Erste Empfehlungen zum Datenschutz bei der Automatisierung des Zahlungsverkehrs); AMMANN Martin, Datenschutz im Bank- und Kreditbereich, Zurich 1987; THUNIS/SCHAUSS, paiement, p. 63 ss; REED, p. 453 s.; REGE, p. 42 SS.

"Tout transfert d'argent qui s'accompagne d'un message est un transfert de données":

Institutions Européennes & Finance, no 10, 27.1.1994, p. 1.

BLAUROCK, Obstacles, p. 78 ss; European Consumer Law Group, EFI'POS, no 7 (vi);

MITCHELL, Electronic Banking, p. 33 s.; VASSEUR, transferts, p. 238 ss. Pour des études approfondies sur le flux transfrontière de données, voir notamment les ouvrages de BOfl-IFJKILIAN; nssar Thierry, Beschriinkungen von grenzüberschreitenden Datenflüssen im Bankbereich, Zurich 1991; ELLGER Reinhard, Der Datenschutz im grenzüberschreitenden Datenverkehr, Baden-Baden 1990; BERGMANN Michael, Grenzüberschreitender Datenschutz, Baden-Baden 1985; ainsi que les contributions de WEBER Rolf H., Grenzüberschreitender Datenverkehr, in: WEBER R. H. I THÜRER D. I ZACH R. (éd.), Datenschutz im europiiischen Umfeld, Zurich 1995, p. 83 ss; WALTER Jean-Philippe, Grenzüberschreitende Datenflüsse, in: SCHWEIZER R. J. (éd.), Das neue Datenschutzgesetz des Bundes, Zurich 1993, p. 121 ss; PAGE Gérald, Autoroutes de l'information et flux transfrontières de données, in: Information Highway, Beitriige zu rechtlichen und tatsiichlichen Fragen, Berne - Münich 1996, p. 395 ss; TAEGER Jürgen, Datenschutz in Europa, in: EWS 1995, p. 69 ss (description de la situation légale dans les différents Etats de l'Union européenne et de l'AELE).

BLAUROCKIRENNPFERDT, p. 538 ss (avec également des développements sur les recommandations de l'OCDE en matière de protection des données et de flux transfrontière des données); ELLGER Reinhard, Die Entwicklung des Datenschutzrechts in der Europiiischen Union, in: WEBER R. H. I THÜRER D. I ZÂCH R. (éd.), Datenschutz im europiiischen Umfeld, Zurich 1995, p. 1 ss; KNAUTH Klaus-Wilhelm, Datenschutz und grenzüberschreitender Datenverkehr in der Kreditwirtschaft, in: WM 1990, p. 209 ss.

On peut également mentionner les travaux du Comité d'experts du Conseil de l'Europe sur la protection des données, notamment le rapport du Groupe de travail no 10 (Secteur bancaire) intitulé: La protection des données liée à l'utilisation des nouveaux moyens de paiement électronique: approche de droit comparé (étude réalisée par l.eila BOU A CHERA en 1987).

automatisé des données à caractère personnel du 28.1.1981556, puis plus spécifiquement la Recommandation no R(90) 19 du Comité des Ministres aux Etats membres sur la protection des données à caractère personnel utilisées à des fins de paiement et autres opérations connexes, du 13.9.1990557.

181. Au niveau de l'Union européenne, les mesures prises ont tout d'abord été non contraignantes et à caractère limité par le biais des recommandations de la Commission en matière de paiements5.58. Le "soft law" a cependant fait place par la suite à une importante directive 95/46/CE, adoptée le 24 octobre 1995 et portant sur la protection des personnes physiques à l'égard du traitement des données à caractère personnel et la libre circulation de ces données559. Cet imposant texte de 34 articles détaillés (et 72 considérants!) assure une libre circulation des données personnelles entre Etats membres, mais moyennant de 556

557

558

559

La Convention 108, entrée en vigueur en octobre 1985, a pour but de garantir aux individus l'exercice de leurs droits fondamentaux en protégeant par un certain nombre de dispositions leur personnalité lors d'un traitement automatisé de données personnelles les concernant. Elle tend également à préserver la liberté de circulation de l'information sans considération de frontières. Pour cela, elle pose comme principe l'obligation d'admettre le flux transfrontière de données entre les Etats parties offrant une protection équivalente, avec la faculté d'opposer des restrictions si une telle protection équivalente n'est pas assurée (art. 12). SCHWEIZER R.J., La Convention du Conseil de l'Europe sur la protection des données personnelles et la réglementation des flux transfrontières de données, in: Droit de l'informatique 1986/4, p. 191 ss; EARL Y Lawrence, Securing equivalent protection among nations in tbe context of transborder data flows: a possible role for contract law (the standard contract proposed by tbe Council of Europe), in: Droit de l'informatique & des télécoms 1990/4, p. 10 ss.

La Recommandation R(90) 19 vise à préciser par des lignes directrices les dispositions générales de la Convention 108 pour les adapter aux exigences particulières des moyens de paiement. En tenant compte de celles-ci, elle garantit le respect de la vie privé lors d'un traitement de données (collecte et enregistrement, utilisation, communication et conservation), ainsi que la liberté de flux transfrontière de données sous respect du principe de la protection équivalente (art. 10). BOURLOND Anne, La sauvergarde de la vie privée dans les transferts électroniques de fonds, in: Droit de l'informatique & des télécoms 199114, p. 17 ss.

La recommandation 87/598/CEE (code européen de bonne conduite en matière de paiement électronique) prévoit de manière toute générale que les données transmises au moment d'un paiement ne doivent en aucun cas porter atteinte à la protection de la vie privée et qu'elles doivent être strictement limitées aux données normalement utilisées pour un transfert de fonds de ce genre (art. 4 lit. b; cf. supra note 372). Quant à la recommandation 88/590/CEE (concernant les systèmes de paiement et en particulier les relations entre titulaires et émetteurs de cartes), elle enjoint les Etats de faciliter la transmission des données relatives aux titulaires de moyens de paiement tout en assurant leur confidentialité (cf. supra no 128).

JOCE L 281 du 23.11.1995, p. 31 ss. Commentaire par DAMMANN Ulrich I SIMITIS Spiros, EG-Datenschutzrichtlinie, Kommentar, Baden-Baden 1997. Sur la transposition en droit national (Allemagne): GOUNALAKIS Georgios / MAND Elmar, Die neue EG-Datenschutzrichtlinie - Grundlagen einer Umsetzung in nationales Recht, in: CR 1997, p. 431 ss (1) et 497 ss (Il). Voir aussi la récente directive 97/66/CE du Parlement européen et du Conseil du 15 décembre 1997 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des télécommunications, in: JOCE L 24 du 30.1.1998, p. l ss.

très nombreuses mesures de protection des individus. Quant au transfert vers un pays tiers de données devant faire l'objet d'un traitement, il est possible mais uniquement si le pays tiers en question assure un niveau de protection adéquat, au regard de toutes les circonstances relatives au transfert560. Il existe toutefois des dérogations à cette dernière réserve, notamment si le transfert est nécessaire à l'exécution d'un contrat entre la personne concernée et le responsable du traitement561, hypothèse qui peut s'appliquer aux paiements transfrontières.

Dans l'optique des paiements, la directive et les propositions qui l'ont précédée ont suscité de nombreuses critiques, le souci d'une partie de la doctrine étant que les paiements transfrontières soient facilités et que la directive ne devienne pas un obstacle majeur à une telle circulation des paiements et des informations y relatives562,

182. De son côté, la Suisse a adopté une loi fédérale sur la protection des données (LPD) le 19 juin 1992, entrée en vigueur le 1er juillet 1993563. Le but est toujours le même, à savoir protéger la personnalité et les droits fondamentaux des personnes qui font l'objet d'un traitement de données. Quant au flux transfrontière de données, la voie choisie est, bien que formulée différemment, a priori compatible avec les solutions européennes: "Aucune donnée personnelle ne peut être communiquée à l'étranger si la personnalité des personnes concernées devait s'en trouver gravement menacée, notamment du fait de

560 561 562

563

Art. 25. Cf. BOULANGER Marie-Hélène [et al.], La protection des données à caractère personnel en droit communautaire, in: Journal des Tribunaux - Droit européen 1997, p. 145 ss, para. 72 ss (troisième partie).

Art. 26 para. 1 lit. b.

SCHILD Hans-Hermann, Die EG-Datenschutz-Richtlinie, in: EuZW 1996, p. 549 ss.

Pour la proposition de directive, voir notamment Commission [UE], PSTDG, para. 107 ss, et paiements transfrontaliers, para. 59 et 80; BERKVENS Jan, Payment systems meet the EC data protection initiative, in: International Financial Law Review, aoüt 1991, p. 33 ss, et plus en détail: Payment Systems, Data Protection and Cross-Border Data Flows, in: NORTON J. I REED C. I W ALDEN l. (éd.), Cross-Border Electronic Banking, Londres 1995, p. 121 ss, surtout p. 128 ss; SCHAUSS Marc I BERKVENS Jan M.A., Les propositions de directives de la Communauté Européenne sur la protection des données: menace sur les transactions financières, in: Droit de

!'Informatique & des télécoms 1992/4, p. 43 ss; BOURLOND Anne I POULLET Yves, Flux transfrontière de données à caractère personnel: position de la proposition de directive européenne face à celle de la convention 108 du Conseil de l'Europe, in: Droit de

!'Informatique & des télécoms 1991/2, p. 56 ss; Institutions Européennes & Finance, no 10, 27.1.1994, p. 1.

RO 1993, p. 1945 ss. Voirnotamment: GILLARD N. (éd.), La nouvelle loi fédérale sur la protection des données, Lausanne 1994; ROTH Urs Philipp I SPIESS Claudia, Protection des données - Les conséquences de la nouvelle loi fédérale pour les banques et leurs clients, in: THÉVENOZ L. (éd.), Journée 1994 de droit bancaire et financier, Berne 1994, p. 151 ss; AJP 1993, p. 52 ss (WALTER Jean-Philippe); JIBL 1994, N-144; ainsi que les ouvrages collectifs suisses récents qui sont cités dans les autres notes du présent chapitre.

l'absence d'une protection des données équivalente à celle qui est garantie en Suisse"564.

2. La normalisation

18 3. Les questions de normalisation sont très importantes en matière de paiements transfrontières. Qu'il s'agisse de normes techniques, de normes d'application ou de normes opérationnelles565, ce sont là des moyens de définir des procédures et formats uniformes, tant pour les paiements à distance (par exemple: codes d'identification bancaire pour les virements) que pour les paiements face-à-face (par exemple: technologie des cartes à puce), ce qui devrait permettre de faciliter les opérations et donc d'en diminuer les coüts et la durée, voire d'en améliorer la transparence pour les utilisateurs. L'intérêt pour ceux-ci et les professionnels est très grand si l'on pense simplement, à titre d'exemple, au format des cartes porte-monnaie électroniques: comment développer l'utilisation transfrontière de celles-ci dans de nouveaux terminaux spécifiques si les cartes ne sont pas normalisées566?

Face aux problèmes actuels de manque d'harmonisation, on attend essentiellement des mesures au niveau européen d'une collaboration entre le Comité européen de normalisation bancaire (créé par les associations bancaires européennes) et le plus officiel Comité européen de normalisation (CEN)567. A noter cependant que les éventuels accords entre banques en matière de normalisation n'échappent pas à un examen sous l'angle de leur compatibilité avec le droit européen de la concurrence568.

564

565 566 567 568

Art. 6 al. 1; MAU RER Urs, in: Kommentar zum Schweizerischen Datenschutzgesetz, Bâle - Francfort 1995, p. 106 ss. Cf. par rapport à la Convention 108 du Conseil de l'Europe:

STEINA UER Paul-Henri, La licéité du traitement des données personnelles en droit privé suisse au regard des normes européennes, in: TERCIER P./ VOLKEN P. I MICHEL N.

(éd.), Aspects du droit européen, Fribourg 1993, p. 119 ss. La Suisse a d'ailleurs décidé d'adhérer à la Convention 108 (Message concernant l'adhésion à la Convention du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel du 13 novembre 1996, in: FF 1997 I 701, Message dans lequel le Conseil fédéral indique que le droit suisse actuel satisfait aux exigences de la Convention). La Convention a finalement été signée et ratifiée le 2.10.1997 et elle est entrée en vigeur pour la Suisse le 1.2.1998 (Journal de Genève, 3.10.1997).

Sur ces différentes catégories, cf. Commission [UE], PSTOO, para. 35 ss. Voir aussi le rôle des normes dans la mise au point des systèmes de paiement européens, annexe 3 au rapport du PSTOO.

Voir aussi d'autres développements in Conseil national du crédit [France], cartes, p. 54 ss.

Cf. supra no 34.

Commission [UE], PSTOO, para. 44; BLAUROCK, Obstacles, p. 34 ss.

3. Les télécommunications

184. La part du coüt des télécommunications pour effectuer un paiement transfrontière de détail est non négligeable puisqu'elle peut atteindre 10 à 20%

du coüt total de l'opération. Cette proportion est d'ailleurs beaucoup plus élevée que pour d'autres services financiers569. En outre, il n'est pas rare que des délais et même des pertes lors de transferts de montants d'un pays à l'autre (par exemple pour des virements) soient dus à une défectuosité d'un système national de télécommunication ou à de trop lourdes procédures administratives. Même sans défectuosités particulières ou formalités, le simple fait que le transfert de données soit international peut ralentir la procédure du fait de l'interconnexion imparfaite des systèmes locaux et de l'absence d'un réseau international global.

C'est dire l'importance du développement de l'efficacité des systèmes de télécommunication en Europe. Pour cela, la Communauté européenne a prévu un vaste programme de libéralisation des services570. A la base, ce sujet et les 569

570

Commission [UE], PSTDG, para. 49. Pour plus de détails sur les télécommunications, voir le dossier très complet de la Fédération bancaire de la Communauté européenne en annexe des rapports PSTDG et PSULG.

Citons parmi les textes les plus importants et les plus récents: Directive du Conseil du 28.6.1990 relative à l'établissement du marché intérieur des services de télécommunication par la mise en oeuvre de la fourniture d'un réseau ouvert de télécommunication (90/387/CEE), in: JOCE L 192 du 24.7.1990, p. 1 ss; Directive de la Commission du 28.6.1990 relative à la concurrence dans les marchés des services de télécommunication (90/388/CEE), in: JOCE L 192 du 24.7.1990, p. 10 ss; Lignes directrices concernant l'application des règles de concurrence de la Communauté au secteur des télécommunications, in: JOCE C 233 du 6.9.1991, p. 2 ss; Résolution du Conseil du 7.2.1994 sur les principes en matière de service universel dans le secteur des télécommunications, in: JOCE C 48 du 16.2.1994, p. 1 ss; Communication de la Commission, Le service universel des télécommunications dans la perspective d'un environnement pleinement libéralisé, Un élément essentiel de la société de l'information, COM(96) 73 final, 13.3.1996; Directive 96/19/CE de la Commission du 13.3.1996 modifiant la directive 90/388/CEE en ce qui concerne la réalisation de la pleine concurrence sur le marché des télécommunications, in: JOCE L 74 du 22.3.1996, p. 13 ss; Proposition de décision du Conseil concernant la définition et la mise en oeuvre d'une politique communautaire dans le domaine des télécommunications et des postes, in: JOCE C 192 du 3.7.1996, p. 4 ss (avec en annexe la liste de toutes les dispositions législatives adoptées dans le domaine des télécommunications); Directive 97/33/CE du Parlement européen et du Conseil du 30 juin 1997 relative à l'interconnexion dans le secteur des télécommunications en vue d'assurer un service universel et l'interopérabilité par l'application des principes de fourniture d'un réseau ouvert (ONP), in: JOCE L 199 du 26.7.1997, p. 32 ss; Directive 97/51/CE du Parlement européen et du Conseil du 6 octobre 1997 modifiant les directives 90/387/CEE et 92/44/CEE en vue de les adapter à un environnement concurrentiel dans le secteur des télécommunications, in: JOCE L 295 du 29.10.1997, p. 23 ss. Cf. aussi: Commission européenne, La concurrence dans les télécommunications: pourquoi? Comment?

(publication de la série "L'Europe en mouvement"), aoüt 1997; PONS Jean-François, L'ouverture des télécommunications à la concurrence en Europe, in: RAE 1997, p. 141 ss; DE COCKBORNE J.E., La libéralisation du marché des télécommunications en Europe, in: Journal des Tribunaux - Droit européen 1997, p. 217 ss; RA V AIOLI Piero, Le

réformes en cours ne sont cependant pas liés aux travaux de la Commission sur les paiements transfrontières et ce n'est donc qu'indirectement que ceux-ci profiteront de la déréglementation. A noter que là encore, le droit de la concurrence a un rôle important à jouer pour éviter que certaines ententes dans le domaine des télécommunications n'entravent l'efficacité des paiements intemationaux57I.

4. Le droit de la concurrence

185. Le droit de la concurrence joue un rôle très important en matière de paiements transfrontières et cela à plusieurs niveaux572. Pour les consommateurs, un contrôle efficace des ententes devrait signifier des services performants à un coüt moindre. Quant aux institutions financières, elles doivent trouver un équilibre délicat entre la concurrence et une coopération indispensable pour une harmonisation des procédures de paiement. Il ne faut pas oublier à cet égard que des conventions interbancaires facilitant véritablement l'utilisation des systèmes de paiement transfrontière ne sont pas des entraves au développement de ceux-ci mais bien un moyen de les promouvoir573.

De nombreux accords sont ainsi conclus par les professionnels et doivent être contrôlés par les autorités européennes. Ce travail n'est cependant pas encore très uniforme et il prend du temps. La Commission a posé récemment certaines règles en matière de virements, mais tous le volet paiements face-à-face reste encore à accompJir574. Dès qu'une politique globale, précise et efficace aura été définie, en incluant cartes, chèques et autres moyens de paiement, les professionnels sauront exactement quelle sera leur marge de manoeuvre et les éventuelles conventions interbancaires constituant des entraves aux paiements devraient disparaître. Quant au droit de la concurrence lui-même, il n'est pas un obstacle au développement des systèmes de paiement transfrontière, mais bien une aide ou tout au moins un garde-fou pour leur efficacité.

571 572 573 574

cadre législatif européen des télérommunications et son application, in: Revue du Marché Unique Européen, no 3/1997, p. 175 ss. Dans une perspective comparée: WEBER Rolf

Dans le document Les paiements transfrontières dans un espace financier européen (Page 153-164)