La Confiance Numérique Dans Le Domaine Bancaire

La confiance numérique dans le domaine bancaire
Marine Julien
To cite this version:

Marine Julien. La confiance numérique dans le domaine bancaire. Droit. Université de La Rochelle,
2022. Français. �NNT : 2022LAROD002�. �tel-04021446�
HAL Id: tel-04021446

https://theses.hal.science/tel-04021446
Submitted on 9 Mar 2023
HAL is a multi-disciplinary open access L’archive ouverte pluridisciplinaire HAL, est

archive for the deposit and dissemination of sci- destinée au dépôt et à la diffusion de documents
entific research documents, whether they are pub- scientifiques de niveau recherche, publiés ou non,
lished or not. The documents may come from émanant des établissements d’enseignement et de
teaching and research institutions in France or recherche français ou étrangers, des laboratoires
abroad, or from public or private research centers. publics ou privés.
REMERCIEMENTS
Je tiens à adresser ma profonde et sincère gratitude à ma directrice de recherche, Madame la
Professeure Linda ARCELIN qui a su se rendre disponible à chaque fois que j’en ai eu
besoin, et m’a encouragée tout au long de ces travaux.
Je remercie également Mesdames et Messieurs Jessica EYNARD, Thibault DOUVILLE et

Jérôme LASSERRE CAPDEVILLE, d’avoir accepté de juger ce travail.
Merci également à Maître Alain BOBANT et Monsieur le Professeur Mickael COUSTATY,

pour m’avoir encouragée à faire un doctorat.
Naturellement, je remercie tout particulièrement Charles, de m’avoir aidée à aller au bout de

ces recherches et d’avoir veillé à ma santé pendant ces années éprouvantes, lors desquelles
j’ai dû concilier mes recherches et mon emploi de consultante.
Merci également à mes très chers amis et parents Michèle, Thierry, Sandrine, Martine,
Margaux, Qian et Natalia, sur qui j’ai toujours pu compter pour me soutenir moralement.
Enfin, merci à Cécile, Sandra, Maryne et Wadih, qui ont fait preuve d’une bienveillance
exceptionnelle à mon égard pendant mes dernières années de recherche.
Page 2 sur 317

SOMMAIRE
Page 3 sur 317

PREMIÈRE PARTIE - LE RÔLE DE LA CONFIANCE DANS LA CONCLUSION
DES CONTRATS BANCAIRES EN ENVIRONNEMENT NUMERIQUE………….32
TITRE I – CONFIANCE NUMERIQUE ET ENTRÉE EN RELATION……………..37
CHAPITRE I – L’IDENTIFICATION DES PARTIES DANS UN

ENVIRONNEMENT NUMERIQUE…………………………………………………...40
CHAPITRE II – LA CONNAISSANCE CLIENT (KYC) A L’HEURE DU BIG

DATA……………………………………………………………………………………...78
TITRE II – CONFIANCE NUMERIQUE ET PERFECTION DU CONTRAT…….115
CHAPITRE I – L’INFORMATION : VECTEUR DE CONFIANCE NUMERIQUE

EFFICACE ?.....................................................................................................................122
CHAPITRE II – CONFIANCE ET PREUVE DE CONFIANCE DANS LE DOMAINE

BANCAIRE……………………………………………………………………………...144
SECONDE PARTIE - LES RAPPORTS ENTRE CONFIANCE ET

RESPONSABILITÉ DANS LE DOMAINE BANCAIRE…………………………....168
TITRE I – LA PERTE DE CONFIANCE NUMERIQUE COMME SOURCE DE

RESPONSABILITÉ DANS LE DOMAINE BANCAIRE …………………………....170
CHAPITRE I – CONFIANCE ET TRACABILITE EN ENVIRONNEMENT

NUMERIQUE…………………………………………………………………………...173
CHAPITRE II – CONFIANCE ET FIABILITE DES OUTILS NUMERIQUES…...199
TITRE II – LA RESPONSABILISATION, VECTEUR DE CONFIANCE

NUMERIQUE INEXPLOITE …………………………………………………………228
CHAPITRE I – LE NECESSAIRE AJUSTEMENT DE LA PROTECTION DES

CLIENTS EN ENVIRONNEMENT NUMERIQUE………………………………….231
CHAPITRE II – L’INCLUSION NUMERIQUE, UN PREREQUIS A LA

CONFIANCE NUMERIQUE…………………………………………………………..245
Page 4 sur 317

LISTE DES ABREVIATIONS
ABE ..........................................Autorité Bancaire Européenne
ACPR ........................................Autorité de contrôle prudentiel et de résolution
AFCDP………………………. Association Française des Correspondants à la

Protection des Données à caractère Personnel
AIPD…………………………. Analyse d’Impact sur la Protection des Données
AMF..........................................Autorité des Marchés Financiers
AMRAE……………………… Association pour le management des risques et des

assurances de l’entreprise
ANSSI………………………... Agence nationale de la sécurité des systèmes

d’information
ARCEP………………………. Autorité de régulation des communications

électroniques, des postes et de la distribution de la presse
ART………………………….. Article
BATX………………………... Baidu, Alibaba, Tencent et Xiaomi
BULL. CIV…………………... Bulletin Civil
CA……………………………. Cour d’Appel
CASS………………………… Cour de Cassation
CASS COM………………….. Chambre Commerciale de la Cour de cassation
CB……………………………. Carte Bancaire
Page 5 sur 317

CBDC………………………... Central Bank Digital Currency
CEE ........................................... Communauté Économique Européenne
CEPD ........................................Comité Européen de la Protection des Données
CHRON ....................................Chronique
CJUE .........................................Cour de Justice de l’Union Européenne
CIV. 1 .......................................Première Chambre civile de la Cour de cassation
CNI ...........................................Carte nationale d’identité
CNIL .........................................Commission Nationale de l’Informatique et des Libertés
CNPS ........................................Comité National des Paiements Scripturaux
CVC ..........................................Card Verification Code
CVV ..........................................Card Verification Value
DAB ..........................................Distributeur Automatique de Billets
DARPA .....................................Defense Advanced Research Projects Agency
DGCCRF…………………….. Direction Générale de la Concurrence, de la

Consommation et de la Répression des Fraudes
DINSIC………………………. Direction Interministérielle du Numérique et du Système

d'Information et de Communication de l’État
DINUM………………………. Direction Interministérielle du Numérique
DMA…………………………. Digital Markets Act
DSA…………………………. .Digital Services Act
EBA……………………… ......European Banking Authority
EDPB…………………………European Data Protection Board
EIDAS……………………….. Electronic IDentification And trust Services
FAQ ..........................................Foire aux questions ou Frequently asked questions
FBF ...........................................Fédération bancaire française
Page 6 sur 317

FCC ...........................................Fichier Central des Chèques
FGDR Fonds de garantie des dépôts et de résolution
FICP………………………….. Fichier national des Incidents de remboursement des

Crédits aux Particuliers
FICOBA………………………Fichier des Comptes Bancaires et Assimilés
FICOVIE…………………….. Fichier des Contrats d’Assurance Vie
FNTC………………………… Fédération Nationale des Tiers de Confiance du

numérique
GAB………………………….. Guichet Automatique de Banque
GAFAM ....................................Google, Apple, Facebook, Amazon et Microsoft
GDPR........................................General Data Protection Regulation
HCJP .........................................Haut Conseil Juridique de la Place financière
IA ..............................................Intelligence artificielle
IOBSP………………………... Intermédiaire en Opérations de Banque et en Services de

Paiement
IP...............................................Internet Protocol
J. Cl ...........................................Juris-Classeur Encyclopédie
JCP ............................................Juris-Classeur Périodique – La semaine juridique
JCP E ........................................Juris-Classeur Périodique Entreprises et Affaires
JCP G .......................................Juris-Classeur Périodique Général
JCP N ........................................Juris-Classeur Périodique Notarial et Immobilier
JORF .........................................Journal Officiel de la République Française
JOUE ........................................Journal Officiel de l’Union Européenne
LCB-FT……………………… Lutte contre le blanchiment d’argent et le financement

du terrorisme
Page 7 sur 317

LGDJ ........................................Librairie Générale de Droit et de Jurisprudence
LIL ............................................Loi relative à l’Informatique, aux fichiers et aux Libertés
KYC ..........................................Know Your Customer
MICA ........................................Markets in Crypto-Assets
MNBC ......................................Monnaie numérique de banque centrale
MOOC ......................................Massive Open Online Course
NFC ..........................................Near Field Communication
OBS. .........................................Observations
ORIAS……………………...... Organisme pour le registre unique des intermédiaires en

assurance
OTP...........................................One Time Password
PIA ............................................Privacy Impact Assessment
PIN ............................................Personnel Identification Number
PSCO ........................................Prestataire de services de confiance
PSP............................................Prestataire de services de paiement
PSPGC……………………….. Prestataire de services de paiement gestionnaire de

compte
PSPT .........................................Prestataire de services de paiement tiers
RDJ ...........................................Revue des Juristes de Sciences Politiques
RGPD ........................................Règlement général sur la protection des données
SMS ..........................................Short message service
STAD ........................................Système de traitement automatisé de données
VOL ..........................................Volume
Page 8 sur 317

INTRODUCTION
Page 9 sur 317

« Un problème sans solution est un problème mal posé. »
Albert Einstein.
Page 10 sur 317

1. Lorsqu’il s’agit de traiter d’un sujet tel que celui du numérique et des perspectives
qu’il offre, deux positions sont généralement observées chez les individus. Celle des
individus qui sont convaincus que le numérique est synonyme de progrès, ou qui, a minima,
nourrissent beaucoup d’espoirs en la matière. Et celle des plus sceptiques, qui sont plus
récalcitrants à l’adopter malgré les perspectives qu’il offre, souvent par crainte des risques
qu’ils y associent, ou par simple attachement au traditionnel.
2. Cette dichotomie a été observée pour de nombreuses découvertes ou inventions ayant

pu être qualifiées de progrès dans l’histoire de l’humanité 1 . Rappelons notamment que
certaines inventions, qui font aujourd’hui partie intégrante du quotidien de millions
d’individus, ont pu, à une époque, être assimilées à des phénomènes paranormaux. Pour
prendre une référence contemporaine, citons également les craintes liées aux réseaux sans
fils2, souvent suspectés, peut-être à juste titre, de causer des maladies ou de présenter un
risque pour l’écologie3. Le principe de précaution, en droit européen, n’est-il pas d’ailleurs
la consécration de cette posture 4 , que certains qualifieraient de raisonnable et d’autres
d’excessivement craintive ?
3. En 2012, un rapport parlementaire intitulé « L’innovation à l’épreuve des peurs et des

risques5» rappelait très justement que « le processus d’innovation est déstabilisant, et place
le citoyen, à chaque nouvelle étape, dans des situations nouvelles, qui le laissent sans
1
LECOURT D., « Réflexions sur le progrès et la précaution », Michel Wieviorka éd., La science en question(s).
Éditions Sciences Humaines, 2014, pp. 61-68
2
ODINET G., « Le Conseil d’État rejette les recours contre le déploiement de la 5G dans la bande 3,5 GHz »,
Énergie - Environnement - Infrastructures n° 2, Février 2021, comm. 19
3
En France, le déploiement du réseau mobile de cinquième génération, la 5G, a notamment fait l’objet de vives
réactions liées à la crainte de ce nouveau réseau. De nombreux élus avaient d’ailleurs, à ce titre, demandé un
moratoire. Lire CLINKEMAILLIE T., « Le débat sur la 5G en cinq questions”, Les Echos, 2020, disponible
en ligne à l’adresse suivante : https://www.lesechos.fr/tech-medias/hightech/le-debat-sur-la-5g-en-cinq-
questions-1242940,consulté le 11/03/2022.
4
Le principe de précaution est un principe général du droit de l’environnement selon lequel les autorités ne
devraient pas attendre de certitudes quant à la probabilité de réalisation d’un risque pour prendre des mesures
préventives adéquates. SUTTERLIN O., « Le principe de précaution », J. Cl. Environnement et Développement
durable, Synthèse, 2019 ; GAILLARD E., « Principe de précaution – Systèmes juridiques internationaux et
européens », J. Cl. Environnement et Développement durable, Fasc.415, 2019 ; ANNAMAYER E.,
« L'objectif de couverture de réseaux 5G, source d'adaptation de l'encadrement juridique », Énergie -
Environnement - Infrastructures n° 2, Février 2021, dossier 6
5
BIRRAUX C et LE DEAUT J-Y., « Rapport n° 286 - L’innovation à l’épreuve des peurs et des risques - fait
au nom de l'Office parlementaire d'évaluation des choix scientifiques et technologiques, 2012. Le rapport est
disponible à l’adresse suivante : https://www.senat.fr/rap/r11-286-1/r11-286-1_mono.html,consulté le
11/03/2022.
Page 11 sur 317

repères ni références. Il ouvre l’horizon sur de nouvelles possibilités positives, mais
également sur de nouvelles possibilités négatives, donc de nouveaux risques et de nouvelles
peurs ». Comme la plupart des découvertes et inventions l’ayant précédé, le numérique doit
aujourd’hui se prêter à un exercice de mise en balance des risques et avantages pour en
garantir la plus grande adoption.
4. Dans les présents travaux, par le terme « numérique », nous entendons les solutions
supposant l’usage d’une interface depuis un outil tel qu’un smartphone, un ordinateur, une
tablette ou tout autre objet connecté. Ces outils, aujourd’hui très présents dans notre
quotidien, utilisent une technologie commune, relativement récente, Internet6, le réseau de
communication mondial7.
5. Internet a en effet été inventé lors de la seconde moitié du siècle précédent, et ce n’est
que depuis les années 908, avec la création du World Wide Web (WEB) que cette technologie
a réellement commencé à être exploitée largement par le grand public, pour arriver, trente
années plus tard, à rendre possible les nombreux cas d’usage que nous connaissons. C’est
ainsi qu’une partie de la population actuelle est née avec le WEB quand l’autre ne l’a
découvert que plus ou moins tardivement, ce qui a valu aux premiers l’appellation de
« digital natives9 ».
6. Les entreprises et administrations ont fait évoluer leurs outils, mais aussi leurs
modalités relationnelles avec leurs clients ou usagers, et si l’adoption de ces nouveaux outils
et modalités peut être relativement naturelle pour certains individus, notamment les digital
6
L’INSEE définit l’Internet comme un “ensemble de réseaux mondiaux interconnectés qui permet à des
ordinateurs et à des serveurs de communiquer efficacement au moyen d'un protocole de communication
commun (IP).,
7
L’INSEE définit Internet comme « Un ensemble de réseaux mondiaux interconnectés qui permet à des
ordinateurs et à des serveurs de communiquer efficacement au moyen d'un protocole de communication
commun (IP). Ses principaux services sont le Web, le FTP, la messagerie et les groupes de discussion. ». (Site
internet de l’INSEE, disponible à l’adresse suivante :
https://www.insee.fr/fr/metadonnees/definition/c1864,consulté le 11/03/2022.
8
GARDON D., « Naissance de l’informatique », Culture numérique 2019, pages 18 à 26, 2019
9
Littéralement en français, personnes natives du numérique, c’est-à-dire nés à une époque où le numérique
était déjà bien développé.
Page 12 sur 317

natives10, d’autres rencontrent plus de difficultés. Il est donc essentiel que les entreprises et
administrations accompagnent leurs clients et usagers, de manière à permettre à ces derniers
de développer leur confiance dans ces outils numériques.
7. Parmi les entreprises concernées, figurent, bien sûr, les banques. En effet, le
développement du numérique a permis de grandes évolutions dans le secteur bancaire, et le
domaine du paiement (I), mais ces évolutions ont également conduit à l’émergence de
nouveaux risques, mettant ces tiers de confiance historiques, en quête de confiance
numérique (II).
10
Au sujet des Digital Natives, il est souvent dit qu’il existe un « paradoxe des digital natives », pour lesquels
l’exposition de leur vie privée est souvent considérée comme étant tout à fait normal, ces derniers étant nés
avec internet et les réseaux sociaux. A ce sujet, lire COHEN D, PERRAY R., ROCHFELD J., SOREAU A.,
« Questions actuelles sur la commercialisation des données à caractère personnel », Cahiers de droit de
l’entreprise n° 3, Mai 2012, entretien 3 ; QUINTI M., « "Vouloir protéger sa vie privée sur Internet, c'est
ringard" », L’Express, 2012
Page 13 sur 317

I – La transformation numérique des banques
8. Pour retracer l’histoire de la transformation numérique des banques, il est nécessaire

de s’intéresser à l’invention des ordinateurs, qui trouve son origine au 17ème siècle dans le
cadre de l’invention de la première calculatrice par Blaise PASCAL. Ce n’est que deux
siècles plus tard que Charles BABBAGE a inventé les premiers concepts d’ordinateurs11 en
s’appuyant sur les travaux de ce dernier 12 . Les travaux de Charles BABBAGE sont
cependant restés à l’état de concept, les technologies de l’époque ne permettant pas de faire
de ses idées une réalité. La suite de l’histoire, est étroitement liée à l’issue de la Seconde
Guerre Mondiale et notamment aux travaux d’Alan TURING.
9. En effet, grâce aux travaux d’Alan TURING visant à déchiffrer la machine utilisée par
les Allemands pour crypter leurs messages, Enigma, et ses recherches en matière
d’intelligence artificielle13, l’informatique a bénéficié d’une avancée considérable, ce qui a
notamment permis de précipiter la fin de la Seconde Guerre Mondiale. Nous devons
d’ailleurs à Alan TURING le fameux « test de Turing », qui vise à établir si les réponses
données par une intelligence artificielle sont dissociables de celles données par un être
humain14.
10. La fin de la Seconde Guerre Mondiale a été suivie par de nombreuses inventions dans
le domaine de l’électronique. La plupart des inventions ayant permis de fabriquer les
premiers ordinateurs tels qu’ils existent aujourd’hui a ainsi vu le jour pendant la Guerre
Froide, entre 1945 et 1989, tel est notamment le cas du transistor, des circuits intégrés et des
microprocesseurs15.
11
GARDON D., « Naissance de l’informatique », Culture numérique 2019, pages 18 à 26, 2019
12
GARDOU C., « Blaise Pascal, de l'éternel malade au prodige de la pensée », Reliance 2006/2, pages 101 à
110, 2006
13
LE BLANC B., « Alan Turing : les machines à calculer et l'intelligence », Hermès, La Revue 2014/1, pages
123 à 126, 2014
14
GANASCIA J. G., « Désormais des machines passent le test de Turing », Intelligence artificielle 2017, pages
25 à 29, 2017
15
BABINET G., Histoire de la révolution digitale, Refondre les politiques publiques avec le numérique, pages
7 à 14, 2020
Page 14 sur 317

11. Les premiers ordinateurs n’avaient pas vocation à servir le quotidien des individus
comme ils le font aujourd’hui. Ils ont d’abord été largement réservés à des usages
scientifiques et militaires. Les premiers ordinateurs ne ressemblaient d’ailleurs absolument
pas à ce que nous pouvons connaître aujourd’hui. Ceux que concevait par exemple la société
IBM pesaient près d’une tonne et coûtaient 500 000 dollars l’unité.
12. Les années 70 ont également été marquées par une invention qui, à l’image des
ordinateurs, est désormais omniprésente dans le quotidien de milliards d’individus,
l’Internet16. Lors de sa création, Internet a d’abord servi les travaux scientifiques et militaires
réalisés dans le cadre du réseau ARPANET à l’initiative de la Defense Advanced Research
Projects Agency, la DARPA. La création du courrier électronique, le courriel, première
application d’internet, puis, en 1990, la création du World Wide Web, a propulsé internet
pour en faire le réseau que nous connaissons aujourd’hui17.
13. En France, un virage important a également été franchi dans les années 70, c’est en
effet à cette époque qu’a été inventé le réseau Cyclade18 sous la direction de Louis POUZIN,
un ingénieur français. Il s’agissait alors, pour la France, d’expérimenter un réseau
informatique partagé, à l’image d’Arpanet aux États-Unis. Cyclade sera cependant
abandonné quelques années plus tard au profit d’une expérimentation française de création
de réseau informatique centralisé menée par le Centre National d’Études des
Télécommunications, le CNET, intitulé Transpac, réseau qu’utilisera par la suite le Minitel.
14. Le Médium Interactif par Numérisation d'Information Téléphonique, dit Minitel 19 ,

était un appareil muni d’un simple écran, d’un clavier et d’un modem intégré. Il permettait
de rechercher des informations en s’appuyant sur le réseau téléphonique. Son déploiement
dans les foyers français en 1982, faisant suite au rapport d’information NORA-MINC 20
16
CERUZZI P. E., « Aux origines américaines de l'Internet : projets militaires, intérêts commerciaux, désirs
de communauté », Le Temps des médias 2012/1 n° 18, pages 15 à 28, 2012
DUFOUR A. ET GHERNAOUTI-HELIE S., « Des origines aux réalités de l'Internet », Internet, Presses
17
Universitaires de France, 2012, pp. 7-35.

18
POUZIN L., « Le projet Cyclades (1972-1977) », Entreprises et histoire, vol. 29, no. 1, pages 33-40, 2002
19
GONZALEZ A. et JOUVE E., « Minitel : histoire du réseau télématique français », Flux 2002/1 n° 47, pages
84 à 89, 2002
20
MINC A et NORA S., « Rapport sur l'informatisation de la société », réalisé à la demande du Président
Valéry GISCARD D'ESTAING, 1977. Le rapport est disponible en ligne à l’adresse suivante :
https://www.vie-publique.fr/sites/default/files/rapport/pdf/154000252.pdf,consulté le 11/03/2022.
Page 15 sur 317

réalisé à la demande du président de la République de l’époque, Valéry GISCARD
D'ESTAING, qui souhaitait un rapport sur « les moyens de faire progresser la réflexion sur
les moyens de conduire l'informatisation de la société ».
15. En 1993, plus de 6 millions de foyers français étaient équipés d’un Minitel, c’était
donc une réussite commerciale en France21. Cependant, les années 90 ont également été
marquées par l’arrivée du WEB et la généralisation progressive des ordinateurs et
abonnements internet auprès du grand public.
16. Le Minitel s’est alors retrouvé en concurrence avec les ordinateurs et internet22, qui, à
la différence du premier, ont beaucoup évolué dans les années 90, tant en ce qui concerne
l’ergonomie de l’affichage et le débit de connexion, que la performance du matériel23. En
France, pourtant, l’attachement au Minitel s’est fait longtemps ressentir24.
17. En 1996, un rapport d’information sur l’entrée de la France dans la société de

l’information réalisé par Alain JOYANDET, Pierre HÉRISSON et Alex TÜRK25 mettait
d’ailleurs cette situation en avant26, tout en reconnaissant que le Minitel avait permis à la
France d’avoir 15 millions d’utilisateurs prédisposés à l’usage des ordinateurs et l’internet27.
21
GONZALEZ A. et JOUVE E., « Minitel : histoire du réseau télématique français », Flux 2002/1 n° 47, pages
84 à 89, 2002
22
Le Minitel a tout de même survécu quelques années à l’arrivée de l’Internet et des ordinateurs tout public
puisque le réseau sur lequel il s’appuyait n’a été fermé qu’en 2012 ; A ce sujet, lire CARON C., « Adieu au
minitel ! », Comm. com. électr. n° 9, Septembre 2012, repère 8
23
Ibid.
24
Certains individus détenteurs d’ordinateurs utilisaient des cartes permettant d’émuler le Minitel sur un
ordinateur. En 2012, lors de la fermeture définitive des services Minitel, il était encore utilisé par quelques
individus.
25
Le rapport de A. JOYANDET, P. HÉRISSON et A. TÜRK sur l'entrée dans la société de l'information de
1996 est disponible en ligne à l’adresse suivante : https://www.senat.fr/rap/r96-436/r96-
436_mono.html,consulté le 11/03/2022.
26
Extrait du rapport de A. JOYANDET, P. HÉRISSON et A. TÜRK sur l'entrée dans la société de
l'information : « Le symbole de la résistance au changement, à l'époque d'Internet est constituée par le fort
développement des cartes d'émulation Minitel 12(*) sur micro-ordinateur, dont le nombre dépasse aujourd'hui
1 million. Cette donnée démontre que, même lorsqu'ils font l'acquisition d'un ordinateur, les Français gardent
le "réflexe" minitel. »
27
Extrait du rapport de A. JOYANDET, P. HÉRISSON et A. TÜRK sur l'entrée dans la société de
l'information : « Dans cette perspective, notre pays possède au moins deux atouts : la prédisposition d'un
public de près de 15 millions d'utilisateurs du minitel et l'expérience acquise par les pouvoirs publics en
matière de régulation d'un système d'information et de services destiné au grand public. »
Page 16 sur 317

18. Ce rapport constatait par ailleurs une appétence grandissante pour le commerce
électronique puisqu’en 1996, 55 % des foyers français avaient effectué au moins un achat
en ligne et 58 % déclaraient avoir l’intention d’en réaliser davantage l’année suivante28. Plus
d’un tiers des Français sondés imaginaient par ailleurs pouvoir réaliser plus de démarches
depuis leur domicile grâce à internet dans les années à venir.
19. La sécurisation des transactions électroniques était évidemment une condition

essentielle au développement du commerce électronique, de même que la sécurisation des
communications en ligne, afin de développer ce que ce rapport qualifiait alors de
« télébancarisation », c'est-à-dire les échanges en ligne entre les banques et leurs clients. Le
paiement, et de manière générale, les activités des banques ont, en effet, été profondément
transformées grâce aux ordinateurs et Internet.
20. La digitalisation des banques, qui sont, rappelons-le, une catégorie d’établissement de
crédit, a beaucoup progressé ces dernières années, permettant à leurs clients de réaliser de
nombreux actes en ligne en toute autonomie, de la souscription à la résiliation, en passant
par tous les actes bancaires du quotidien.
21. La notion d’établissement de crédit est issue de la loi n° 84-46 du 24 janvier 1984
relative à l'activité et au contrôle des établissements de crédit, dite Loi bancaire 29 . La
définition de la notion d’établissement de crédit figure aujourd’hui à l’article L511-1 du
Code monétaire et financier30 par renvoi à l’article 4 du Règlement (UE) n°575/2013 du
Parlement européen et du Conseil du 26 juin 2013 concernant les exigences prudentielles
28
Ibid.
29
Loi n° 84-46 du 24 janvier 1984 relative à l'activité et au contrôle des établissements de crédit, JORF du 25
janvier 1984
30
Article L511-1 du Code Monétaire et Financier : « I.-Les établissements de crédit sont les entreprises
définies au point 1 du paragraphe 1 de l'article 4 du règlement (UE) n° 575/2013 du Parlement européen et
du Conseil du 26 juin 2013.
II. – Les sociétés de financement sont des personnes morales, autres que des établissements de crédit, qui
effectuent à titre de profession habituelle et pour leur propre compte des opérations de crédit dans les
conditions et limites définies par leur agrément. Elles sont des établissements financiers au sens du 4 de
l'article L. 511-21. »
Page 17 sur 317

applicables aux établissements de crédit et aux entreprises d'investissement 31 . Les
établissements de crédit sont ainsi aujourd’hui définis comme « des entreprises dont
l'activité consiste à recevoir du public des dépôts ou d'autres fonds remboursables et à
octroyer des crédits pour son propre compte ».
22. L’article L511-9 du code monétaire et financier nous indique quant à lui que les
établissements de crédit peuvent être agréés en qualité de banques, de banque mutualiste ou
coopérative, d'établissement de crédit spécialisé, d'établissements de crédit et
d'investissement ou de caisse de crédit municipal 32 . Dans cette étude, nous traiterons
principalement des établissements de crédits agréés en qualité de banque.
23. Seuls les établissements de crédit sont habilités à effectuer toutes les opérations de
banque à titre habituel, c’est-à-dire, en vertu de l’article L311-1 du Code Monétaire et
Financier, à réceptionner des fonds remboursables du public, à proposer des opérations de
crédit et à fournir des services bancaires de paiement33, c’est pourquoi il est souvent parlé
de « monopole bancaire ».
31
Extrait de l’article 4 du Règlement (UE) n ° 575/2013 du Parlement européen et du Conseil du 26 juin 2013
concernant les exigences prudentielles applicables aux établissements de crédit et aux entreprises
d'investissement et modifiant le règlement (UE) n ° 648/2012 Texte présentant de l'intérêt pour l'EEE, JOUE
L176 du 27 juin 2013:
« 1. Au sens du présent règlement, on entend par:
1) "établissement de crédit": une entreprise dont l'activité consiste à recevoir du public des dépôts ou d'autres
fonds remboursables et à octroyer des crédits pour son propre compte »
32
Article L511-9 du Code Monétaire et Financier : « Les établissements de crédit sont agréés en qualité de
banque, de banque mutualiste ou coopérative, d'établissement de crédit spécialisé, d'établissements de crédit
et d'investissement ou de caisse de crédit municipal.
Les banques peuvent effectuer toutes les opérations de banque.
Les banques mutualistes ou coopératives, les établissements de crédit spécialisés et les caisses de crédit
municipal peuvent effectuer toutes les opérations de banque dans le respect des limitations qui résultent des
textes législatifs et réglementaires qui les régissent.
Les établissements de crédit et d'investissement peuvent effectuer toutes les opérations dans le respect des
limitations qui résultent des textes législatifs et réglementaires qui les régissent. »
33
Article L311-1 du Code Monétaire et Financier: “Les opérations de banque comprennent la réception de
fonds remboursables du public, les opérations de crédit, ainsi que les services bancaires de paiement.”
Page 18 sur 317

24. Pourtant, ce « monopole bancaire » a été largement aménagé depuis son institution en
198434. Notamment, dernièrement, avec la création des établissements de paiement et les
établissements de monnaie électronique 35 dans le cadre de l’adoption de la Directive
2007/64/CE du Parlement européen et du Conseil du 13 novembre 2007 concernant les
services de paiement dans le marché́ intérieur, modifiant les directives 97/7/CE, 2002/65/CE,
2005/60/CE ainsi que 2006/48/CE et abrogeant la Directive 97/5/CE dite DSP 136, puis de
la Directive (UE) 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015
concernant les services de paiement dans le marché intérieur, dite DSP 237.
25. En réalité, en ce qui concerne les services de paiements, seuls sont aujourd’hui
réellement réservés aux établissements de crédits, les services liés aux chèques bancaires,
les autres services de paiements pouvant être fournis à titre habituel par de simples
établissements de paiement38, sans nécessiter un agrément en qualité d’établissement de
crédit.
26. C’est ainsi que les établissements de crédit, ne sont aujourd’hui plus en mesure de se
reposer sur un monopole, qui n’existe plus vraiment en matière de paiement, et sont
directement concurrencés par de nouveaux types d’établissements, parmi lesquels des
établissements souvent qualifiés de « néobanques », appartenant eux-mêmes à la catégorie
des FinTechs.
34
STOUFFLET J. ET ROUSSILLE M., « Synthèse - Organisation et statut bancaire », Synthèse J. Cl. Banque
- Crédit – Bourse, 2019 ; LASSERRE CAPDEVILLE J., « Retour sur une jurisprudence attentatoire au
monopole bancaire », RD bancaire et fin. n° 1, Janvier 2017, alerte 1
35
Ibid.
36
Directive 2007/64/CE du Parlement européen et du Conseil du 13 novembre 2007 concernant les services
de paiement dans le marché intérieur, modifiant les directives 97/7/CE, 2002/65/CE, 2005/60/CE ainsi que
2006/48/CE et abrogeant la directive 97/5/CE (Texte présentant de l'intérêt pour l'EEE), JOUE L319, du 5
décembre 2007
37
Directive (UE) 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015 concernant les
services de paiement dans le marché intérieur, modifiant les directives 2002/65/CE, 2009/110/CE et
2013/36/UE et le règlement (UE) no 1093/2010, et abrogeant la directive 2007/64/CE (Texte présentant de
l'intérêt pour l'EEE), JOUE L337, du 23 décembre 2015
38
Le statut d’établissement de paiement a été créé par la Directive 2007/64/CE du Parlement européen et du
Conseil du 13 novembre 2007 concernant les services de paiement dans le marché intérieur, modifiant les
directives 97/7/CE, 2002/65/CE, 2005/60/CE ainsi que 2006/48/CE et abrogeant la directive 97/5/CE (Texte
présentant de l'intérêt pour l'EEE), JOUE L319, du 5 décembre 2007; Ils sont autorisés, sous réserve de
l’obtention d’un agrément, à proposer des services de paiement aux individus ; PORRECA R., « La
concurrence entre les établissements bancaires et les établissements de paiement : un leurre ? », RD bancaire
et fin. n° 3, Mai 2011, dossier 14 Communiqué de l’ACPR sur le Rappel des règles d’usage du terme de
« Néobanque » publié en avril 2021.
Page 19 sur 317

27. Les « néobanques » sont des banques agréées en tant que telles, ayant la spécificité de
ne pas disposer de lieu d’accueil physique, c’est pourquoi elles sont aussi parfois appelées
« banques en lignes », à l’image de la banque Boursorama, filiale du groupe Société
Générale. Par abus de langage, le terme de « néobanque », est parfois utilisé pour qualifier
des établissements fournissant des activités proches de celles des banques, notamment en
matière de paiement, mais ne nécessitant pas d’agrément d’établissement de crédit, tels que
des établissements de paiement. C’est pourquoi l’ACPR a dû rappeler qu’une néobanque
était, avant tout, une banque, et qu’en l’absence d’agrément d’établissement de crédit, il est
incorrect de qualifier un établissement de la sorte.
28. Le terme de FinTech quant à lui est plus large. C’est un mot-valise issu de la
contraction des termes anglais « Financial 39
» et « Technology 40
», qui désigne les
entreprises innovantes proposant des services financiers, qu’il s’agisse de banques en lignes,
d’établissement financements participatifs, de fournisseurs de services de coaching
financier41…
29. En avril 2021, l’Autorité de la concurrence a publié son avis dans le cadre d’une
enquête sectorielle qu’elle avait menée au sujet des FinTech42, dans lequel elle souligne
l’importance des FinTechs dans le développement de services de paiement innovants,
incitant les banques traditionnelles à s’adapter.
30. On peut considérer que la numérisation des banques a débuté dans les années 60, avec
la mise en place des cartes bancaires à pistes magnétiques et aux premiers Distributeurs
Automatiques de Billets (DAB), qui fonctionnaient alors grâce au réseau téléphonique et aux
pistes magnétiques des cartes bancaires. Dans les années 70, la carte bancaire a ensuite été
39
Soit, en français, « financier »
40
Soit, en français, « technologie »
41
ANONYME, « La Fintech, le numérique au service du secteur financier », Site économie.gouv, disponible à
l’adresse suivante :
https://www.economie.gouv.fr/entreprises/FinTech-innovation-finance,consulté le 11/03/2022.
42
Autorité de la Concurrence, Avis 21-A-05 du 29 avril 2021 portant sur le secteur des nouvelles technologies
appliquées aux activités de paiement. L’avis intégral est disponible en ligne à l’adresse suivante :
https://www.autoritedelaconcurrence.fr/fr/avis/portant-sur-le-secteur-des-nouvelles-technologies-appliquees-
aux-activites-de-paiement,consulté le 11/03/2022.
Page 20 sur 317

munie d’une puce, qui s’est généralisée dans les années 80 avant de devenir obligatoire dans
les années 9043.
31. C’est également à cette époque que les premiers Guichets Automatiques de Banques
(GAB), ont vu le jour. Grâce à cette invention, les individus ont pu devenir un peu plus
autonomes, les GAB leur permettant de réaliser un certain nombre d’actes sans passer par
leur banquier, tel qu’éditer un RIB, effectuer un virement ou consulter le solde de leur
compte.
32. À la fin des années 80 apparaissent également les premières banques à distance44,
fonctionnant alors grâce au téléphone, au courrier papier et au Minitel, ensuite remplacé par
Internet et les ordinateurs.
33. C’est ainsi qu’en France, lors du passage à l’an 2000, plus de 70 établissements de
crédit avaient déjà un site WEB depuis lequel leurs clients pouvaient consulter le solde de
leurs comptes45. Depuis lors, les espaces de banque à distance (BAD) se sont généralisés très
rapidement. En 2002, on comptait ainsi déjà 8 millions d’utilisateurs de BAD en France46.
Le début des années 2000 a également marqué l’émergence des premières bancassurances
en ligne et le début d’une série d’investissement de banques classiques dans le secteur de la
banque en ligne, dont les offres s’ouvrent alors au-delà des comptes de dépôt en proposant
des offres de bourse et d’épargne. C’est également à cette époque que certains acteurs du
paiement en ligne et du e-commerce devenus depuis des géants, tels que PayPal, eBay et
Amazon, ont commencé à se faire connaître.
34. Les BAD, d’abord exclusivement disponibles depuis un ordinateur, ont pu, grâce aux
smartphones, dont l’usage s’est généralisé à la sortie du premier iPhone en 2007, devenir
43
Voir la frise disponible sur le site internet du réseau Cartes bancaires, disponible à l’adresse suivante :
https://www.cartes-bancaires.com/cb/histoire/,consulté le 11/03/2022.
44
La première banque à distance française était la banque Cortal, du groupe BNP Paribas. (Site internet BNP
Paribas, disponible à l’adresse suivante : https://group.bnpparibas/decouvrez-le-groupe/histoire-deux-siecles-
banque,consulté le 11/03/2022.
45
ACPR,« Etude concernant les nouvelles technologies de la banque à distance : quelles conséquences pour
les établissements financiers et leurs autorités de contrôle ? », 1999, disponible à l’adresse suivante :
https://acpr.banque-france.fr/sites/default/files/media/2017/11/06/cb_ra_1999_03.pdf,consulté le 11/03/2022.
46
ELIDRISSI A., « Les sites Web bancaires. Un outil de communication et de distribution au service du client
», La Revue des Sciences de Gestion, vol. 214-215, no. 4-5, pp. 165-176, 2005.
Page 21 sur 317

accessibles grâce à des applications mobiles. Ainsi, les clients ont dès lors pu commencer à
profiter de services bancaires en toute mobilité.
35. À partir de là, la plupart des innovations bancaires ont été étroitement liées aux
évolutions des smartphones, les plus marquantes étant l’arrivée de l’authentification
biométrique 47 par reconnaissante vocale, faciale ou tactile, qui permet aux individus de
s’authentifier sans saisir un mot de passe, et le paiement mobile sans contact48, qui permet
de réaliser des paiements avec son smartphone sans nécessairement avoir sa carte bancaire
avec soi.
36. Aux alentours de 2010, l’arrivée des FinTechs incite les banques à innover davantage
pour faire face à la concurrence qu’elles présentent. Citons par exemple la plateforme de
cagnottes en ligne Leetchi et l’application de paiement entre particuliers Lydia. Les premiers
agrégateurs bancaires voient également le jour autour des années 2010 49 , initiant le
phénomène d’Open Banking50. En 2014, il devient possible d’ouvrir un compte en quelques
minutes chez un buraliste avec le compte nickel, puis en 2017, dans les supermarchés
carrefour avec le compte C-Zam51.
37. Parmi toutes les évolutions numériques qu’a connues le secteur bancaire, celles
concernant le paiement ont certainement été les plus nombreuses, en lien, notamment, avec
les activités des BigTechs que sont les BATX Baidu, Alibaba, Tencent et Xiaomi, ainsi que
les GAFAM Google, Apple, Facebook, Amazon et Microsoft.
47
C’est-à-dire une authentification reposant sur la lecture de caractéristiques inhérentes à la personne, telles
que sa voix, son apparence, ses empreintes digitales…
48
ANONYME, « Paiement sans contact (ou NFC) : Comment ça marche ? », Site ABE Infos services,
disponible à l’adresse suivante :
https://www.abe-infoservice.fr/banque/moyens-de-paiement/paiement-sans-contact-ou-nfc-comment-ca-
marche,consulté le 11/03/2022.
49
L’agrégateur Linxo a par exemple été créé en 2010 (site internet de Linxo, disponible en ligne à l’adresse
suivante : https://www.linxo.com/a-propos-histoire-linxo,consulté le 11/03/2022.
50
Littéralement en français « Banque ouverte », c’est-à-dire l’ouverture des données bancaires au-delà des
seules banques. LEGEAIS D., « Open Banking : menace ou opportunité pour les banques ? », RD bancaire et
fin. n° 5, Septembre 2017, repère 5
51
BOULEAU C., « Pourquoi Carrefour lance le premier compte courant accessible en rayon », Challenge,
2017
Page 22 sur 317

38. En offrant des services de paiement par mobile grâce à des portefeuilles électroniques,
des Wallets », Apple et Google permettent par exemple aux détenteurs d’appareils IOS52 et
Android53 d’avoir toutes leurs cartes bancaires dans leurs Smartphones, tablettes et montres
connectés.
39. Les banques se retrouvent ainsi en concurrence avec un grand nombre de nouveaux
établissements, et doivent repenser leurs modèles en réponse aux nouvelles attentes de leur
clientèle. Pour ce faire, l’omnicanalité, c’est-à-dire le fait, pour un client d’avoir le choix
entre différents canaux relationnels avec sa banque en retrouvant des fonctionnalités
analogues dans chacun d’entre eux, tend à devenir la norme.
40. Dans ce nouvel écosystème, les banques disposent néanmoins d’un avantage sur les
nouveaux acteurs : leur expérience. À ce sujet, l’Autorité de la concurrence note d’ailleurs
dans son avis sur le secteur des nouvelles technologies appliquées aux activités de paiement
rappelle en effet que les banques « possèdent une expérience inégalée dans la maîtrise de la
conformité aux différentes réglementations applicables et bénéficient d’une forte notoriété
ainsi que d’une bonne réputation en matière de sécurité et de protection des données de
leurs clients, à un moment ou les pratiques de certains grands acteurs du numérique à cet
égard font parfois débat »54.
41. En effet, si les FinTechs ont apporté de nombreuses innovations au secteur bancaire,
et incité les banques à adopter de nouvelles modalités relationnelles, certaines, et notamment
les BigTechs, sont aussi au cœur de débats liés à leurs pratiques, parfois mal perçues,
notamment en matière de traitements de données à caractère personnel. Aussi, les banques
traditionnelles peuvent-elles tenter de se démarquer des FinTechs en utilisant l’argument de
la confiance des clients dont elles disposent déjà.
42. Le recours au numérique expose cependant les banques à de nouveaux types de

risques, directement liés à l’usage du numérique, par ailleurs, le recours à des technologiques
52
Système d’opération des appareils du fabriquant Apple.
53
Système d’opération de nombreux appareils tels que ceux des maques Samsung, Sony et Google.
54
AUTORITE DE LA CONCURRENCE, Avis 21-A-05 du 29 avril 2021 portant sur le secteur des nouvelles
technologies appliquées aux activités de paiement. L’avis intégral est disponible en ligne à l’adresse suivante :
https://www.autoritedelaconcurrence.fr/fr/avis/portant-sur-le-secteur-des-nouvelles-technologies-appliquees-
aux-activites-de-paiement,consulté le 11/03/2022.
Page 23 sur 317

considérées par certains individus comme immatures, telles que l’intelligence artificielle, est
à l’origine d’une certaine méfiance. Les banques étant tenues, pour survivre dans ce nouvel
écosystème extrêmement concurrentiel, de tout mettre en œuvre pour retenir leurs clients,
elles se retrouvent ainsi en quête de confiance numérique.
Page 24 sur 317

II – La quête des banques pour la confiance numérique
43. Les différentes évolutions numériques qu’a connues le secteur bancaire ont apporté
pour certains individus, un réel confort en leur permettant de réaliser de nombreux actes sans
avoir à solliciter un conseiller. Pour d’autres, elles ont créé, au contraire, de la complexité,
en rendant l’accès à un conseiller humain parfois plus difficile. Pour tous, elles ont créé un
environnement dans lequel il est nécessaire de disposer d’éléments de sécurité mettant leur
relation avec leur banque à l’abri des risques numériques.
44. En effet, le numérique semble être fréquemment associé à la notion de risque. Qu’il
s’agisse du risque de perdre le contrôle de ses données à caractère personnel, du risque de
faire l’objet d’une usurpation d’identité, ou encore du risque de faire l’objet d’une fraude
aux moyens de paiements. Pourtant, le numérique a aussi permis de sécuriser la relation
entre une banque et son client en ce qui concerne par exemple le paiement à distance. En
effet, avant la généralisation de la carte à puce, le chèque était généralement utilisé pour le
paiement à distance, or, ce dernier est l’instrument de paiement avec le taux de fraude le plus
élevé comme le démontre le rapport annuel de l’observatoire de la sécurité des moyens de
paiement de 202155.
45. Comment expliquer, alors, que seulement 42% des Français aient confiance dans le
numérique, que 7% n’aient pas d’avis et que 51% considèrent que son usage est risqué56 ?
Faut-il déduire de ces chiffres qu’il existe un risque spécifique au numérique, ou du moins
un risque augmenté par le numérique ?
46. C’est en tout cas ce que laisse supposer la notion de « risque cyber » ou « risque
numérique » qui est généralement définie comme le risque, tant pour une personne morale
55
OBSERVATOIRE DE LA SECURITE DES MOYENS DE PAIEMENT, « Rapport annuel 2021 »,
disponible en ligne à l’adresse suivante :
https://www.banquefrance.fr/sites/default/files/medias/documents/821162_osmp_2020_interieur_definitif_w
eb.pdf,consulté le 11/03/2022.
56
ACSEL, « Cinquième édition du baromètre du numérique », 2021. Les résultats sont consultables à l’adresse
suivante :https://www.acsel.eu/wp-content/uploads/2021/02/1.-Infographie-Acsel-Baromètre-Confiance-
Numérique-2021.pdf
Page 25 sur 317

que physique, de faire l’objet d’un acte de cybercriminalité 57 , d’atteinte à l’image,
d’espionnage, ou de sabotage58.
47. La reconnaissance de ce risque a d’ailleurs été consacrée par le droit des assurances,
en ce qu’il s’agit aujourd'hui d’un risque partiellement, sinon totalement assurable 59 . Il
semble donc largement admis qu’il existe bien un type de risque spécifique ou augmenté par
le numérique. Parallèlement à cette notion de risque numérique a émergé la notion de
confiance numérique.
48. En effet, ces dernières années, les notions de « confiance » et « numérique » ou

« électronique » sont apparues conjointement dans de nombreux textes et travaux législatifs.
Le terme de « confiance » apparaît, par exemple, dans la Loi du 21 juin 2004 pour la
confiance dans l’économie numérique60, qui affichait notamment l’objectif de renforcer la
confiance des individus dans le commerce électronique61, ou encore dans le Règlement du
Parlement européen du 23 juillet 2014 sur l’Identification Électronique et les Services de
Confiance62, qui établit un cadre européen uniformisé en ce qui concerne les services dits de
confiance, telle que la signature électronique. Pour autant, aucun de ces textes ne définit
clairement la notion de “confiance numérique”.
57
En 2014, le rapport conjoint du procureur général près la Cour d’appel de Riom Marc Robert, et des ministres
Bernard Cazeneuve, Christiane Taubira et Axelle Lemaire, proposait de définir la cybercriminalité comme
« toutes les infractions pénales tentées ou commises à l’encontre ou au moyen d’un système d’information et
de communication, principalement Internet ».(« Protéger les internautes, rapport sur la cybercriminalité »,
2014, disponible à l’adresse suivante : http://www.justice.gouv.fr/publications-10047/rapports-thematiques-
10049/lutte-contre-la-cybercriminalite-27415.html, consulté le 11/03/2022).
58
ANONYME, « Risques cyber », Site internet gouvernement.fr, disponible à l’adresse suivante :
https://www.gouvernement.fr/risques/risques-cyber, consulté le 11/03/2022.
59
CAPRIOLI E., « Quand l'assurance ne couvre pas tous les risques numériques », Comm. com. électr. n° 9,
Septembre 2016, comm. 77 ; Lire le rapport du Haut Comité Juridique de la Place Financière sur l’assurabilité
des risques cyber du 28 janvier 2022, disponible à l’adresse suivante : https://www.banque-
france.fr/sites/default/files/rapport_45_f.pdf,consulté le 11/03/2022.
60
Loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique, JORF n°0143 du 22 juin
2004, NOR : ECOX0200175L.
61
Le communiqué de presse publié à l’issue du Conseil des ministres du 15 janvier 2003, à l’occasion duquel
le projet de loi avait été présenté par la ministre déléguée à l’industrie, indiquait notamment que « ce texte
traduit la volonté du Gouvernement de créer les conditions de la confiance, à travers l'instauration de règles du
jeu claires pour les prestataires de service de l'internet et la mise en œuvre d'une protection efficace pour les
utilisateurs. ».Le communique de presse est disponible à l’adresse suivante:
http://archives.gouvernement.fr/raffarin_version1/fr/ie4/contenu/37882.htm#1, consulté le 11/03/2022.
62
Règlement (UE) n ° 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l’identification
électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et
abrogeant la directive 1999/93/CE, JOUE L257 du 28 aout 2014
Page 26 sur 317

49. La Fédération Nationale des Tiers de Confiance du numérique (FNTC) et l’Agence
Nationale de la Sécurité des Systèmes d’Information (ANSSI) nous donnent cependant
quelques clés pour comprendre ce dont il s’agit.
50. Créée en 2001, la Fédération Nationale des Tiers de Confiance du Numérique a

vocation à réunir des professionnels fournissant ou utilisant des services dits de confiance
numérique 63 . Sur son site internet, la FNTC indique que « les Tiers de Confiance du
Numérique contribuent fortement à l’essor d’une digitalisation fiable et sécurisée64 », ce qui
nous donne un début de définition de la confiance numérique, qui serait un vecteur de l’essor
d’une digitalisation fiable et sécurisée.
51. Créée quant à elle en 2009, l’Agence Nationale de Systèmes d’Information65 associe
systématiquement la notion de “confiance numérique” à celle de “risque numérique” ou,
“risque cyber” et la présente comme l’un des “grands enjeux politiques, économiques et
sociétaires” de notre époque 66 . Dans ses travaux, elle suggère ainsi que la confiance
numérique serait une réponse au risque numérique67.
52. Si nous revenons à la notion même de confiance. Le mot « confiance » nous vient du
mot latin « confidere », de la contraction des mots latins « cum », qui se traduit par « avec »
63
Site officiel de la Fédération Nationale des Tiers de Confiance du Numérique, disponible à l’adresse
suivante : https://fntc-numerique.com/fr/accueil.html, consulté le 11/03/2022.
64
Ibid.
65
Site officiel de l’Agence Nationale de Sécurité des Systèmes d’Information , disponible à l’adresse suivante :
https://www.ssi.gouv.fr, consulté le 11/03/2022.
66
On peut lire sur le Site officiel de L'Agence Nationale de Sécurité des Systèmes d'Information ce qui suit
« Les services de l’État, les entreprises et les individus sont de plus en plus connectés par des technologies
offrant de nouveaux modes de travail, d’interaction et de transaction. Sous la pression de la mobilité, de
l’utilisation massive des données ou encore de l’Internet des objets, le numérique se diffuse toujours plus
rapidement et profondément, plaçant la confiance numérique au rang des grands enjeux politiques,
économiques et sociétaux. Par son rôle dans la définition du cadre réglementaire du numérique, ses actions
de sensibilisation et ses stratégies de coopérations multiformes, l’ANSSI place la confiance numérique au cœur
de ses missions.” (« Développer la confiance numérique », site internet de l’ANSSI, consulté le 11/03/2022).
67
Dans le cadre de la promotion du Guide « Maîtrise du risque numérique, l’atout confiance » issu d’un
partenariat avec l’Association pour le management des risques et des assurances de l’entreprise (AMRAE), les
propos de B. BOUQUOT, sa présidente, sont mis en avant par l’ANSSI sur son site internet : « Avec ce guide,
notre objectif commun est de faire en sorte que tout l’écosystème mette en place les conditions de la confiance
numérique. Si l’entreprise a en permanence un œil sur ses vulnérabilités, elle pourra anticiper les scenarii les
plus impactant, en évaluant leurs conséquences financières ou de réputation, et ainsi réduire le risque cyber
». (« Maitrise du risque numérique », ANSSI, 2019, disponible à l’adresse suivante :
https://www.ssi.gouv.fr/actualite/confiance-numerique-lanssi-et-lamrae-publient-un-guide-sur-la-maitrise-du-
risque-numerique-pour-les-dirigeants/, consulté le 11/03/2022.
Page 27 sur 317

et « fidere68 », qui se traduit par «se fier ». Le dictionnaire de l'Académie française définit
ainsi la confiance comme « l’espérance ferme en quelqu’un ou quelque chose69 ».
53. Pour les Français, la notion de confiance semble révéler une importance
particulièrement forte comme le révèlent les résultats d’une étude de l’Observatoire
Sociovision70. La confiance serait ainsi le quatrième mot auquel les Français sont les plus
attachés, à égalité avec le mot « égalité », après les mots « respect », « solidarité » et
« liberté ».
54. De nombreux philosophes se sont intéressés à la notion de confiance. En français, nous

n’avons qu’un seul mot pour parler de confiance quand en anglais, il y en a deux : « trust »
et « confidence ». Cette distinction, d’abord proposée par le sociologue allemand N.
LUHMANN71 a depuis été largement reprise, car elle résout une difficulté sémantique de
notre langue. S’il semble s’agir dans les deux cas d’une attente qui pourrait être déçue, trahie,
le premier terme, « trust » définirait la confiance que l’on accorde, une confiance décidée
qui présupposerait une situation de risque, le second, « confidence » traduirait plutôt une
confiance assurée, celle pour laquelle nous avons été conditionnés et qui a un caractère
presque dogmatique.
55. En croisant ces éléments avec ceux que nous avons déduits des propos de la FNTC et
de l’ANSSI concernant la confiance numérique, la notion de confiance numérique serait
donc une confiance, a priori décidée, plutôt qu’assurée, que l’on déciderait d’accorder dans
une situation de risque numérique.
56. N. LUHMANN soutient dans ses travaux que la confiance ne serait décidée, et non
pas assurée, que lorsqu’il s’agirait d’agir selon une préférence, ce qui suppose donc la
possibilité d’un choix. Or le numérique devient progressivement un incontournable du
quotidien des individus, ce qui pourrait donc conduire à admettre un jour qu’il existerait une
68
Centre National de Ressources Textuelles et Lexicales
69
Dictionnaire de l'académie française
70
Ce sondage est issu de l’Étude de sociovision intitulée « crise sanitaire, l’occasion de réinventer
un contrat de confiance ? réalisée en 2019. En introduction, il est très justement rappelé que « Plus le contexte
est propice à l’inquiétude, plus la confiance devient une condition absolue, qu’il s’agisse d’attirer des clients
ou de faire accepter des mesures publiques. Mais - et c’est là le hic - plus construire et pérenniser un niveau
élevé́ de confiance s’avère difficile »
71
LUHMANN N., « Confiance et familiarité. Problèmes et alternatives », Réseaux, 2001/4 (no 108), p. 15-35
Page 28 sur 317

confiance numérique assurée qui consisterait à se fier à une solution numérique de manière
innée, sans exprimer de préférence ni envisager d’alternative qui n’existerait en réalité plus,
si ce n’est entre les différentes offres numériques existantes. Dans le secteur bancaire, où on
observe clairement cette tendance au « tout digital », la problématique de confiance
numérique est au cœur des débats.
57. C’est ainsi que les banques, traditionnellement considérées comme étant des tiers de
confiance, sont aujourd’hui en quête de confiance numérique, dans un contexte où la
confiance assurée dont elles jouissaient a été mise à mal par la crise de 2008. En octobre
2019, F. OUDEA, alors directeur général du groupe bancaire Société Générale et président
de la Fédération Bancaire Française rappelait d’ailleurs très justement à ses compères que
« les données client sont l’actif numéro un des banques et garantir la sécurité de ces données
est le socle de la relation de tiers de confiance établie avec tous leurs clients, entreprises
comme particuliers72 ».
58. Pour générer davantage de confiance numérique dans le domaine bancaire, quels
leviers activer alors ? S’agit-il d’ailleurs, de leviers sous le seul contrôle des banques ?
S’agit-il sinon de leviers tiers ? Au regard de l’omniprésence du terme « confiance » dans
les réglementations numériques73, le législateur semble vouloir en faire son affaire.
59. S’agissant par exemple de la réglementation relative aux services de paiements, le

législateur utilise des leviers tels que la protection des données des clients, des garanties
72
OUDEA F, « Risques cyber : où placer le curseur entre innovation et sécurité ? », 2019.
73
Le terme de confiance apparait notamment deux cent trente-deux fois dans le Règlement (UE) no 910/2014
du Parlement européen et du Conseil du 23 juillet 2014 sur l’identification électronique et les services de
confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE,
dit Règlement eIdas, trois fois dans la Directive 2007/64/CE du Parlement européen et du Conseil du 13
novembre 2007 concernant les services de paiement dans le marché́ intérieur, modifiant les directives 97/7/CE,
2002/65/CE, 2005/60/CE ainsi que 2006/48/CE et abrogeant la Directive 97/5/CE dite DSP 1, cinq fois dans
la Directive (UE) 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015 concernant les
2013/36/UE et le Règlement (UE) no 1093/2010, et abrogeant la directive 2007/64/CE, dite DSP 2, deux fois
dans le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection
des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de
ces données, et abrogeant la directive 95/46/CE, dit RGPD, six fois dans la proposition de Règlement du
Parlement européen et du Conseil du 15 décembre 2020 relatif aux marchés contestables et équitables dans le
secteur numérique (législation sur les marchés numériques) et trente-quatre fois dans la proposition de
Règlement du Parlement européen et du Conseil du 15 décembre 2020 relatif à un marché intérieur des services
numériques (Législation sur les services numériques) et modifiant la directive 2000/31/CE.
Page 29 sur 317

visant à indemniser les individus en cas de préjudice, ou en assurant la transparence des
acteurs au travers de nombreuses obligations d’informations. En ce qui concerne la
réglementation relative aux données à caractère personnel, la transparence est également un
levier central, de même que le renforcement de la maîtrise des individus en la matière.
60. Cette stratégie est relativement ancienne puisque, bien que les textes se soient succédé
ces vingt dernières années 74 , les différents leviers utilisés sont les mêmes depuis de
nombreuses années. Pourtant, la confiance numérique est toujours une problématique
d’actualité. Faut-il en déduire que ces leviers sont inefficaces sur la confiance numérique ?
Ou peut-être la problématique de confiance numérique est-elle mal posée ?
61. Rappelons que les disparités en termes de maîtrise du numérique restent aujourd’hui
nombreuses. En 2010, 150 millions d’individus n’avaient pas accès à internet, soit 30% de
la population européenne. En France, on estime qu’en 2019 environ 17% de la population
ne détenait aucune des compétences élémentaires en numérique, à savoir, faire une recherche
en ligne, communiquer électroniquement, utiliser un logiciel ou résoudre une problématique
en ligne tel que consulter ses comptes bancaires75.
62. Ce constat est extrêmement préoccupant au regard de la place centrale du numérique

ans le quotidien de chacun, la Commission Européenne considère d’ailleurs qu’il s’agit
d’une des compétences clés, c’est-à-dire l’une des compétences « nécessaires à tout individu
pour l'épanouissement et le développement personnels, la citoyenneté active, l'intégration
74
Pour n’en citer que certaines, la Directive 2007/64/CE du Parlement européen et du Conseil du 13 novembre
2007 concernant les services de paiement dans le marché intérieur, modifiant les directives 97/7/CE,
2002/65/CE, 2005/60/CE ainsi que 2006/48/CE et abrogeant la directive 97/5/CE (Texte présentant de l'intérêt
pour l'EEE), JOUE L319, du 5 décembre 2007, la Directive (UE) 2015/2366 du Parlement européen et du
Conseil du 25 novembre 2015 concernant les services de paiement dans le marché intérieur, modifiant les
directives 2002/65/CE, 2009/110/CE et 2013/36/UE et le Règlement (UE) no 1093/2010, et abrogeant la
directive 2007/64/CE, dite DSP 2, le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27
avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère
personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE, dit RGPD…
75
INSEE, « 800 000 habitants en situation d’illectronisme en hauts de France », 8 décembre 2020, page 2,
disponible en ligne à l’adresse suivante : https://www.insee.fr/fr/statistiques/4986976,consulté le 11/03/2022.
Page 30 sur 317

sociale et l'emploi 76 ». La problématique de confiance numérique semble accentuée par
certaines circonstances qu’il convient de traiter de manière adéquate.
63. Les différentes mesures prises par le législateur ont contribué à la mise en place d’un
environnement juridique relativement complexe pour les banques, qui doivent concilier leurs
obligations purement bancaires avec des obligations liées aux usages numériques, souvent
techniques. Mais cet environnement juridique est-il vraiment, comme semble le rechercher
le législateur, un vecteur efficace de confiance numérique ?
64. Nous tenterons, dans cette étude, de déterminer si la stratégie du législateur se vérifie
dans le processus contractuel applicable au domaine bancaire (première partie), et au stade
de l’exécution du contrat (seconde partie).
76
Recommandation du Parlement Européen et du conseil du 18 décembre 2006 sur les compétences clés pour
l'éducation et la formation tout au long de la vie (2006/962/CE) : « Les compétences sont définies en
l'occurrence comme un ensemble de connaissances, d'aptitudes et d'attitudes appropriées au contexte. Les
compétences clés sont celles nécessaires à tout individu pour l'épanouissement et le développement personnels,
la citoyenneté active, l'intégration sociale et l'emploi.
Page 31 sur 317

PREMIÈRE PARTIE - LE RÔLE DE LA
CONFIANCE DANS LA CONCLUSION
DES CONTRATS BANCAIRES EN
ENVIRONNEMENT NUMERIQUE
Page 32 sur 317

65. Si les premières activités bancaires remontent au deuxième millénaire avant Jésus
Christ, ce n’est cependant que depuis le XVe siècle que le terme de « banque », dérivé de
l’italien « Banca », est utilisé dans la langue française pour qualifier ceux qui pratiquent le
commerce de l’argent. Le terme « Banca » est en effet un terme italien désignant à l’origine
les bancs en bois utilisés par les changeurs de monnaie italiens au Moyen Âge77. L’invention
du porte-monnaie, la création des banques centrales puis la privatisation des banques ont
conduit au modèle bancaire contemporain qui distingue désormais les banques de détail des
banques d’affaires78.
66. Si la détention d’un compte bancaire n’est aucunement imposée par la réglementation,
il est en pratique extrêmement contraignant de ne pas en posséder. Il sera, par exemple,
impossible de percevoir un salaire de plus de 1500 euros79, de payer ses impôts quand ils
sont supérieurs à 300 euros80, ni d’effectuer des achats auprès de professionnels quand la
transaction dépasse 1000 euros81.
77
DE LIMA P., Économie bancaire et croissance économique. Vers une macroéconomie renouvelée, Dunod,
2012, pp. 7-34 ; Dictionnaire des citations : « de l’italien « banca ou banco », banque, proprement banc, à cause
du banc qu'avaient à l'origine, comme beaucoup d'autres marchands, ceux qui faisaient le commerce d'argent. ».
LASSERRE CAPDEVILLE J., STORCK M., MIGNOT M., KOVAR J-P., ERESEO N., Précis de Droit
78
Bancaire, 3eme édition, Dalloz, 2021

79
L’article L3241-1 du Code du Travail dispose en effet que : « Sous réserve des dispositions législatives
imposant le paiement des salaires sous une forme déterminée, le salaire est payé en espèces ou par chèque
barré ou par virement à un compte bancaire ou postal.
Toute stipulation contraire est nulle.
En dessous d'un montant mensuel déterminé par décret, le salaire est payé en espèces au salarié qui le
demande.
Au-delà d'un montant mensuel déterminé par décret, le salaire est payé par chèque barré ou par virement à
un compte bancaire ou postal »
80
L’article 1680 du Code Général des Impôts dispose que : « Les impositions de toute nature et les recettes
recouvrées par un titre exécutoire, mentionné à l'article L. 252 A du livre des procédures fiscales, sont
payables en espèces, dans la limite de 300 €, selon le cas à la caisse du comptable public chargé du
recouvrement ou auprès du ou des prestataires désignés en application du A du I de l'article 201 de la Loi
n° 2018-1317 du 28 décembre 2018 de finances pour 2019.
Les arrérages échus de rentes sur l'Etat peuvent être affectés au paiement de l'impôt direct. »
81
Le premier alinéa de l’article L112-6 du Code Monétaire et Financier dispose que : « Ne peut être effectué
en espèces ou au moyen de monnaie électronique le paiement d'une dette supérieure à un montant fixé par
décret, tenant compte du lieu du domicile fiscal du débiteur, de la finalité professionnelle ou non de l'opération
et de la personne au profit de laquelle le paiement est effectué.
Au-delà d'un montant mensuel fixé par décret, le paiement des traitements et salaires est soumis à l'interdiction
mentionnée à l'alinéa précédent et doit être effectué par chèque barré ou par virement à un compte bancaire
ou postal ou à un compte tenu par un établissement de paiement ou un établissement de monnaie électronique
qui fournit des services de paiement. »
Page 33 sur 317

67. La détention d’un compte bancaire est d’ailleurs si essentielle qu’un véritable droit au
compte est prévu par notre droit 82 . C’est ainsi que toute personne se voyant refuser
l’ouverture d’un compte auprès d’un établissement bancaire peut saisir la Banque de France
afin qu’elle désigne un établissement bancaire à proximité de son domicile qui aura
l’obligation de procéder à cette ouverture. Le compte alors ouvert est gratuit mais les
prestations sont limitées aux services bancaires de base listés à l’article D312-5 du code
monétaire et financier83.
68. La place de la confiance dans cette relation entre les individus et leurs banques est un
phénomène qu’il nous semble intéressant d’étudier en raison de cette inévitable dépendance
qui lit les premiers aux seconds. En effet, quelle valeur peut-on donner à la confiance dans
une relation où l’une des parties de la relation est aussi dépendante de l’autre ?
69. Si la relation entre les banques et leur clientèle a beaucoup évolué depuis la création
des premières banques, le numérique a d’autant plus accentué cette évolution. En effet,
traditionnellement, le banquier était perçu par son client comme un confident d’une
82
Le premier alinéa de l’article L312-1 du Code Monétaire et Financier dispose que : « A droit à l'ouverture
d'un compte de dépôt dans l'établissement de crédit de son choix, sous réserve d'être dépourvu d'un tel compte
en France :
1° Toute personne physique ou morale domiciliée en France ;
2° Toute personne physique résidant légalement sur le territoire d'un autre Etat membre de l'Union européenne
n'agissant pas pour des besoins professionnels ainsi que toute personne physique de nationalité française
résidant hors de France. »
83
Article D312-5 du Code Monétaire et Financier : « Les prestations de base mentionnées au II de l'article L.
312-1 comprennent :
1° L'ouverture, la tenue et la clôture du compte ;
2° Un changement d'adresse par an ;
3° La délivrance à la demande de relevés d'identité bancaire ;
4° La domiciliation de virements bancaires ;
5° La fourniture mensuelle d'un relevé des opérations effectuées sur le compte ;
6° L'encaissement de chèques et de virements bancaires ;
7° Les paiements par prélèvements SEPA, titre interbancaire de paiement SEPA ou par virement bancaire
SEPA, ce dernier pouvant être réalisé aux guichets ou à distance ;
8° Des moyens de consultation à distance du solde du compte ;
9° Les dépôts et les retraits d'espèces au guichet ou aux distributeurs automatiques de l'organisme teneur de
compte ;
10° Une carte de paiement permettant notamment le paiement d'opérations sur internet et le retrait d'espèces
dans l'Union européenne. »
Page 34 sur 317

importance particulière84. Le choix de son banquier était souvent fortement influencé par le
« bouche-à-oreille » et les recommandations. Il existait alors une véritable relation entre le
client et son banquier, davantage qu’entre le client et la banque, c’est-à-dire l’agence ou le
groupe auquel elle appartient. Les rendez-vous en agence étaient la norme pour la
souscription et les actes de gestion, et à cette occasion, les échanges entre le banquier et son
client étaient d’une importance conséquente pour chacune des parties. Le client pouvait se
confier sur ses difficultés, mais aussi sur ses projets personnels de manière assez naturelle.
70. Avec le développement des outils de télécommunication, d’abord grâce au téléphone

et au Minitel, puis grâce à Internet, les échanges en face-à-face entre le banquier et sa
clientèle ont fortement diminué, jusqu’à devenir réservés aux seuls actes les plus importants
tels que la souscription d’un crédit85.
71. Le développement du « self care » c’est-à-dire la possibilité, pour les clients, de

réaliser des actes de gestion ou de simple consultation en toute autonomie depuis un espace
personnel en ligne, parfois appelés « BAD » pour « banque à distance », permet en effet une
de se passer de l’intervention d’un conseiller, parfois même pour les actes les plus importants
tels que la souscription d’un crédit. Toutefois, si ce constat est manifeste pour la clientèle
particulière, il est à tempérer pour la clientèle professionnelle, qui attache toujours beaucoup
d’importance à la proximité86.
72. Aujourd’hui, la relation individuelle entre le banquier et son client tend donc à
disparaître au profit d’une relation institutionnelle entre la banque et son client. Le
développement numérique des banques est poussé par la concurrence des FinTechs, ces
entreprises financières innovantes, et l’évolution des attentes de leurs clientèles. Or, certains
outils ou pratiques numériques en eux-mêmes font l’objet d’une certaine méfiance de la part
des individus, comme cela semble être le cas des algorithmes, de l’intelligence artificielle et
du paiement sans contact.
84
STAES O, “Secret bancaire et impératif de justice”, Recueil Dalloz 1998, p.625
85
CHAPTAL S., « Quand la relation passe en 2.0, Revue Banque n°728, 2010
86
CAHEN P., « Les signaux faibles pour préparer le futur », Revue pratique de la prospective et de l'innovation
n° 1, Octobre 2016, dossier 3
Page 35 sur 317

73. La confiance numérique n’est cependant pas à sens unique et ce besoin de confiance,
ressenti tant de la part de la banque que du client, semble se manifester dans le cadre de la
conclusion des contrats à distance.
74. Nous consacrerons donc ces premiers développements à l’étude de la place de la

confiance numérique au stade de l’entrée en relation, c’est-à-dire la rencontre entre l’offre
bancaire et le besoin du client (Titre I), puis son incidence dans la perfection des contrats
bancaires (Titre II).
Page 36 sur 317

TITRE I - Confiance numérique et entrée
en relation
Page 37 sur 317

75. Comme toute relation commerciale, la relation entre la banque et son client débute par
la rencontre entre une offre du banquier et un besoin du client potentiel, qualifié alors de
prospect. Pour qualifier cette phase de rencontre, le Code monétaire et financier emploie le
terme d’entrée en relation87.
76. Lors de cette phase, la banque et le prospect sont amenés à échanger un grand nombre
d’informations, qui vont établir les bases de la relation contractuelle à venir. C’est
notamment à cette occasion que la banque va devoir s’assurer de l’identité de son client88.
77. Les nouvelles modalités relationnelles établies par la digitalisation des banques et les
atteintes de leur clientèle, notamment en termes de rapidité, ont fortement transformé cette
phase d’entrée en relation. En effet, cette dernière peut désormais intervenir sans qu’aucun
conseiller de la banque n’échange avec le prospect sur le point de devenir client.
78. Or, en l’absence d’un tel échange, il peut être particulièrement difficile pour une
banque de déceler des incohérences entre les informations fournies par un individu et sa
situation réelle, qu’il s’agisse de son identité ou de l’authenticité des justificatifs fournis. La
responsabilité de la banque en la matière est cependant limitée à la recherche des
incohérences et anomalies manifestes89.
79. C’est ainsi à une problématique de confiance dans l’identité du prospect que sont
confrontés les établissements bancaires dans ce contexte, cette problématique ne leur est
cependant pas exclusive, puisqu’elle est présente dans tous les secteurs dans lesquels le self
care90 se développe, tel que les administrations, et les assureurs.
80. Dans le domaine bancaire, des problématiques de confiance sont identifiables à

plusieurs stades de la relation, tant du point de vue du client que du point de vue de la banque.
Et c’est pour l’essentiel par le biais d’un processus contractuel très rigoureux et d’un régime
87
L’article L561-5-1 du Code Monétaire et Financier dispose en effet qu’ « Avant d'entrer en
relation d'affaires, les personnes mentionnées à l'article L. 561-2 recueillent les informations relatives à l'objet
et à la nature de cette relation et tout autre élément d'information pertinent. Elles actualisent ces informations
pendant toute la durée de la relation d'affaires.”
CASSON P. et TOUFFLET J., “Compte bancaire. Généralités. Compte de dépôt », J. Cl. Banque-Crédit-
88
Bourse, Fasc. 200, 2021

89
Voir Cass. Com., 23 juin 2004, n° 02-17.789, concernant un permis de conduire portant des mentions
suspectes ; Cass. 1re civ., 2 nov. 2005, n° 03-10.909, concernant une carte d’identité dont la date de validité
est dépassée ;
90
Terme désignant un parcours réalisable du début à la fin sur internet et en toute autonomie.
Page 38 sur 317

de responsabilité particulièrement protecteur de la clientèle que ces problématiques sont
traitées par le droit français.
81. Au stade de l’entrée en relation, la réponse à cette problématique n’a pas pu être
directement envisagée par le droit bancaire, car elle est dépendante d’un sujet qui le dépasse,
celui des moyens d’identification à distance (Chapitre I). Le sujet, plus large, de
l’identification à distance devient en effet aujourd’hui incontournable pour les banques, dont
les obligations, et les ambitions, en termes de connaissance de leur clientèle sont de plus en
plus fortes. (Chapitre II)
Page 39 sur 317

CHAPITRE I - L’IDENTIFICATION DES PARTIES DANS UN
82. Le sujet de la confiance a fait l’objet de nombreux travaux scientifiques, notamment

en sociologie91 et en philosophie92. Au regard de ces différents travaux, il semble que la
confiance entre individus ne soit généralement pas liée à leur identité civile mais davantage
à leur identité apparente ou déclarée. C’est effectivement généralement sur la base de la
réputation, l’attitude, les recommandations de tiers, que l’on choisit, ou non, de se fier à
autrui93.
83. Les relations de confiance dans un contexte personnel sont en effet rarement établies
dans le cadre d’un échange mutuel de justificatifs d’identité. Il est ainsi tout à fait
envisageable que des individus ne se connaissent pas réellement sous leur identité civile,
sans que cela n’ait d’incidences sur la relation de confiance, celle-ci étant basée sur l’identité
apparente, l’attitude, le comportement ou encore l’histoire. Dans un tel contexte, une
demande de preuve d’identité civile serait d’ailleurs certainement perçue comme une remise
en cause de la relation de confiance naissante ou établie.
84. Dans un contexte professionnel ou transactionnel, il en va évidemment différemment,

la conclusion d’un contrat ou l’intention de contracter exigeant un certain nombre de
vérifications, notamment liées à l’identité civile des parties. Le domaine bancaire n’y fait
91
La notion de confiance est notamment au centre des travaux du professeur N. LUHMANN, à qui nous devons
la distinction entre « Trust » et « Confidence », mais aussi ceux du professeur M. MARZANO qui souligne,
dans son article « Qu’est-ce que la confiance » publié en 2010 dans la revue « Études » tome 412, le caractère
dichotomique de la confiance, qui est essentielle aux relations humaines et à la réalisation de projets, mais
également dangereuse en ce qu’elle expose aux risques de trahison.
92
Citons notamment les travaux du professeur L. CORNU, qui a dédié un article au sujet de la confiance dans
la revue « Le Télémaque » en 2003 dans lequel elle souligne les rapports étroits qu’entretiennent la confiance
et le phénomène d’émancipation, en ce que la confiance peut engendrer la renonciation au contrôle des actes
de la personne en laquelle on fait confiance. Citons également les travaux de A. KHATCHATOUROV, qui,
dans un article de l’Institut des Mines Telecom remet en question l’approche actuelle de la confiance en
environnement numérique, souvent présentée comme un simple mécanisme de gestion des risques liés à
l’identité.
93
KHATCHATOUROV A, « Confiance et identités dans le numérique », Blog recherche Institut des Mines-
Telecom, 2017, disponible à l’adresse suivante : https://imtech.wp.imt.fr/2017/07/27/confiance-identites-
numerique/,consulté le 11/03/2022.
Page 40 sur 317

absolument pas exception. L’identité apparente ou déclarée ne suffit pas. C’est bien
l’identité civile qui doit être fournie et vérifiée en raison des obligations réglementaires qui
s’imposent aux banques94.
85. Dans le cadre d’une entrée en relation en face-à-face, le conseiller peut réceptionner
en personne les justificatifs du prospect et vérifier qu’ils appartiennent bien à ce dernier, le
risque principal étant qu’il s’agisse de vrais « faux documents », c’est-à-dire de documents
officiels obtenus sur la base de justificatifs frauduleux95.
86. Dans le cadre d’une entrée en relation à distance, le risque est en principe augmenté
car la personne n’étant pas présente, la vérification de la concordance des justificatifs fournis
avec les caractéristiques physiques du prospect est compromise.
87. Cependant, considérer que seule la confiance du banquier est en question serait erroné.
En effet, la problématique de confiance est ici selon nous à double sens : le client a besoin
d’être assuré que l’on ne pourra usurper son identité et que la banque saura sécuriser son
patrimoine et l’accès à ses données à caractère personnel. La banque quant à elle a besoin
de s’assurer de l’identité civile de ses clients à des fins réglementaires mais aussi dans
l’éventualité d’un litige futur. (Section I) En réponse à ce besoin de confiance, les banques
94
L’article R.561-5-1 du Code Monétaire et Financier dispose que : « Pour l'application du 1° du I de
l'article L. 561-5, les personnes mentionnées à l'article L. 561-2 identifient leur client dans les conditions
suivantes:
1° Lorsque le client est une personne physique, par le recueil de ses nom et prénoms, ainsi que de ses date et
lieu de naissance ;
2° Lorsque le client est une personne morale, par le recueil de sa forme juridique, de sa dénomination, de son
numéro d'immatriculation, ainsi que de l'adresse de son siège social et celle du lieu de direction effective de
l'activité, si celle-ci est différente de l'adresse du siège social ;
3° Lorsque le client intervient dans le cadre d'une fiducie ou d'un dispositif juridique comparable de droit
étranger, par le recueil des informations prévues au présent article pour l'identification des constituants, des
fiduciaires, des bénéficiaires et, le cas échéant, du tiers au sens de l'article 2017 du code civil ou de leurs
équivalents pour tout autre dispositif juridique comparable relevant d'un droit étranger. Dans le cas où les
bénéficiaires sont désignés par des caractéristiques ou une catégorie particulières, les personnes mentionnées
à l'article L. 561-2 recueillent les informations permettant de les identifier au moment du versement des
prestations ou au moment où ils exercent leurs droits acquis ;
4° Lorsque le client est un placement collectif qui n'est pas une société, par le recueil de sa dénomination, de
sa forme juridique, de son numéro d'agrément, de son numéro international d'identification des valeurs
mobilières, ainsi que de la dénomination, de l'adresse et du numéro d'agrément de la société de gestion qui le
gère. »
95
LECERF J-R., “ Rapport d’information sur la nouvelle génération de documents d'identité et la fraude
documentaire », 2005
Page 41 sur 317

s’appuient sur des outils numériques spécifiques ayant vu le jour ces dernières années
(Section II).
SECTION I - LES EXIGENCES DE VERIFICATION DE L’IDENTITE

CIVILE DANS LE DOMAINE BANCAIRE
88. La connaissance de la clientèle a une importance particulière dans le secteur bancaire

en raison, bien sûr, des obligations réglementaires qui pèsent sur les banques et prestataires
de services de paiements en la matière, mais également pour servir leurs propres ambitions.
Les nombreux mécanismes prévus à cette fin semblent avoir une incidence sur la confiance
que peuvent avoir les banques dans leurs clientèles car ils constituent le socle de la relation
à venir et conditionnent la fourniture d’un conseil adapté, ainsi que l’imputabilité des actes
le cas échéant.
89. Si nous considérons maintenant le point de vue de la clientèle, l’effet de ces mesures
sur la confiance peut être à double tranchant. Elles peuvent en effet, au mieux, être perçues
comme attestant de la rigueur de la banque ou du prestataire de services de paiements dans
le respect des procédures. Et au pire, être perçues comme très intrusives. D’autant plus
qu’avec le développement du numérique, ces mesures, communément regroupées sous le
Page 42 sur 317

terme de KYC pour « Know Your Customer96» sont de plus en plus poussées97, et dépassent
souvent aujourd’hui le simple cadre des exigences réglementaires98.
90. Les obligations d’identification des clients qui s’imposent aux banques trouvent leur
source dans certaines de leurs missions induisant une transmission d’information obligatoire,
notamment en matière fiscale et dans le cadre de la lutte contre le blanchiment d’argent et le
financement du terrorisme, dite LCB-FT (§ 1).
91. Dans ce contexte, certains comportements, tels que l’usage de plus en plus répandu
des cryptoactifs, peuvent être perçus comme des actes de défiance vis-à-vis des banques et
monnaies étatiques, l’un des attributs des cryptoactifs les plus connus à l’origine étant
96
Littéralement « Connaissez votre client » en français, désigne les obligations de connaissance du client dans
le domaine bancaire.
97
L’article R561-5-2 du Code Monétaire et Financier dispose que : « Pour l'application du 2° du I de
l'article L. 561-5, et lorsque les mesures prévues aux 1° à 4° de l'article R. 561-5-1 ne peuvent pas être mises
en œuvre, les personnes mentionnées à l'article L. 561-2 vérifient l'identité de leur client en appliquant au
moins deux mesures parmi les suivantes :
1° Obtenir une copie d'un document mentionné au 3° ou au 4° de l'article R. 561-5-1 ;
2° Mettre en œuvre des mesures de vérification et de certification de la copie d'un document officiel ou d'un
extrait de registre officiel mentionné au 3° ou au 4° de l'article R. 561-5-1 par un tiers indépendant de la
personne à identifier
3° Exiger que le premier paiement des opérations soit effectué en provenance ou à destination d'un compte
ouvert au nom du client auprès d'une personne mentionnée aux 1° à 6° bis de l'article L. 561-2 qui est établie
dans un Etat membre de l'Union européenne ou dans un Etat partie à l'accord sur l'Espace économique
européen ou dans un pays tiers imposant des obligations équivalentes en matière de lutte contre le blanchiment
de capitaux et le financement du terrorisme ;
4° Obtenir directement une confirmation de l'identité du client de la part d'un tiers remplissant les conditions
prévues au 1° ou au 2° du I de l'article L. 561-7 ;
5° Recourir à un service certifié conforme par l'Agence nationale de la sécurité des systèmes d'information,
ou un organisme de certification que cette agence autorise, au niveau de garantie substantiel des exigences
relatives à la preuve et à la vérification d'identité, prévues à l'annexe du Règlement d'exécution (UE)
2015/1502 du 8 septembre 2015. Un arrêté conjoint du Premier ministre et du ministre chargé de l'économie
précise les modalités d'application de ce 5° ;
6° Recueillir une signature électronique avancée ou qualifiée ou un cachet électronique avancé ou qualifié
valide reposant sur un certificat qualifié ou avoir recours à un service d'envoi recommandé électronique
qualifié comportant l'identité du signataire ou du créateur de cachet et délivré par un prestataire de service
de confiance qualifié inscrit sur une liste de confiance nationale en application de l'article 22 du Règlement
(UE) n° 910/2014 du 23 juillet 2014 .
Parmi les mesures mentionnées ci-dessus, les personnes mentionnées à l'article L. 561-2 choisissent celles qui,
combinées entre elles, permettent la vérification de tous les éléments d'identification du client mentionnés à
l'article R. 561-5 .
Ces personnes conservent, selon les modalités prévues à l'article L. 561-12, les informations et documents
relatifs aux mesures mises en œuvre au titre du présent article, quel qu'en soit le support. »
98
LECUSSAN. J., « Récolte de données : quels enjeux pour les banques ? », Les Échos, 2019
Page 43 sur 317

l’anonymat ou le pseudonymat que ces actifs permettaient. Suite aux nombreuses déviances
en la matière, les cryptoactifs sont cependant eux aussi en phase de régulation99(§ 2).
§ 1 - LES TRANSMISSIONS D’INFORMATIONS OBLIGATOIRES
92. Les banques sont particulièrement bien placées pour connaître l’étendue du patrimoine
de leur clientèle, les activités de cette dernière au travers de ses écritures bancaires, mais
aussi ses projets au travers des demandes de financement100. Il est donc compréhensible que
l’Etat ait confié aux banques un rôle clé en ce qui concerne un certain nombre de contrôles
relatifs au patrimoine et activités des individus.
93. Agissant dans ce cadre en tant que « tiers déclarant », les établissements bancaires se
doivent de s’assurer de l’identité de leurs clients, a fortiori en raison des risques liés aux
homonymes très fréquents parmi ces derniers. Citons par exemple le dispositif de lutte contre
le blanchiment d’argent et le financement du terrorisme prévu par les articles R561-1 et
suivants du Code Monétaire et Financier, qui met à la charge des établissements listés à
l’article L561-2 101 du même code, une mission de surveillance, imposant notamment la
transmission de certaines informations relatives à leurs clients aux autorités (A). Les
établissements bancaires sont également mis à contribution par l’administration fiscale, au
même titre que les employeurs et autres organismes privilégiés en ce qui concerne la
connaissance du patrimoine des individus (B).
99
LEGEAIS D., « Développement et potentialités des crypto-monnaies”, JCP E n° 29, 19 Juillet 2018, 583
100

101
Voir l’article L561-2 du Code Monétaire et Financier
Page 44 sur 317

A - LA COMMUNICATION DES SUSPICIONS DE FRAUDE DANS LE CADRE DE LA
LCB-FT
94. Les banques sont en première ligne dans la lutte contre le blanchiment d’argent et le
financement du terrorisme102. Elles sont à ce titre directement concernées par les dispositions
du Titre 6 Livre 5 du Code Monétaire et Financier qui font peser sur ces dernières une
obligation de vigilance, qui peut être standard ou modulée avec à chaque fois des mesures
graduées et proportionnées au risque de fraude103.
95. Ces mesures de vigilance supposent, pour les établissements concernés, qu’ils soient
en mesure de vérifier l’identité de leurs clients mais aussi l’objet et la nature des opérations
passées, tant au stade de l’entrée en relation que tout au long de la relation104.
96. Pour répondre à ces obligations dans un contexte « à distance », les banques s’appuient
sur des formulaires dont le renseignement est obligatoire, ainsi que sur des analyses
comportementales. Le but étant de pouvoir détecter les opérations dites suspectes et de les
déclarer aux organismes compétents : l’Autorité de Contrôle Prudentiel et de Résolution
(ACPR) et le service de Traitement du Renseignement et Action Contre les circuits
Financiers clandestins (TracFin).
97. Crée en 1990, TracFin est un service de renseignements dont la compétence matérielle
est restreinte aux services financiers. Ce service, rattaché au Ministère de l’Économie et des
Finances, fait l’objet d’une section entière du Code Monétaire et Financier105. Tracfin a trois
missions : L’analyse et l’enrichissement de l’information financière reçue au titre des articles
L561-26, L561-27 et L561-31 du CMF, la réception et protection des renseignements sur les
circuits financiers clandestins et les opérations potentiellement destinées au financement du
terrorisme, et au blanchiment de fond, et la transmission des renseignements financiers aux
102
BOUHARCHICH F. et COMBEAUD S. L., « Lutte contre le blanchiment de capitaux et le financement du
terrorisme – Directives européennes (UE) 2015/849 et (UE) 2018/843 ainsi que leur transposition en droit
français », J. Cl Banque Crédit Bourse, Fasc. 1605, 2021
103
BOUHARCHICH F. et COMBEAUD S. L., « Lutte contre le blanchiment de capitaux et le financement du
terrorisme – Directives européennes (UE) 2015/849 et (UE) 2018/843 ainsi que leur transposition en droit
français », J. Cl Banque Crédit Bourse, Fasc. 343-1, 2021
104
105
Articles L561-23 et suivants du Code Monétaire et Financier
Page 45 sur 317

organismes et autorités judiciaires, aux administrations et aux services de renseignement
spécialisés.
98. Pour mener à bien ses trois missions, TracFin est dotée de prérogatives lui permettant
de contourner le secret bancaire106. En effet, suite à la déclaration de soupçon107 adressée à
TracFin par un établissement assujetti aux règles de LCB-FT, ce service de renseignement
est habilité à exiger de l’établissement concerné qu’il lui communique tous les documents,
sur tout support confondu, en relation avec l’opération suspecte. Tracfin peut également
exiger que l’établissement concerné lui permette de consulter directement ces documents sur
place, ou encore, obtenir d’autres organismes, Français ou étranger, des informations
relatives à son enquête dans le cadre d’un échange d’informations. Il est à noter que pendant
son enquête, TracFin est habilité à exiger le blocage de l’opération suspecte jusqu’à un jour
ouvré dans le cadre de son droit d’opposition, ce qui peut être délicat à justifier par
l’établissement concerné à son client puisque ce dernier ne doit pas savoir qu’il a fait l’objet
d’une déclaration de soupçon.
99. L’essence même des obligations relatives à la LCB-FT qui pèsent sur les banques
consisteraient donc à ne pas faire trop confiance à leur clientèle dans le cadre de leurs
relations et d’ainsi faire preuve d’un minimum de méfiance à l’égard de cette dernière. La
réglementation va d’ailleurs jusqu’à imposer aux banques de ne pas procéder à une entrée
en relation quand elles ne sont pas en mesure de procéder aux contrôles nécessaires108.
BORDAS F ET MAOUCHE S., « Devoirs professionnels des établissements de crédit. Secret bancaire . –
106
Généralités”, J. Cl Banque-credit-bourse, Fasc.141, 2021.

107
ACPR et TRACFIN, « Lignes directrices conjointes sur les obligations de déclaration et d'information à
TRACFIN », 2018. Les lignes directrices sont disponibles en ligne à l’adresse suivante : https://acpr.banque-
france.fr/sites/default/files/media/2018/11/05/201810_ldds_tracfin_1.pdf consulté le 31/2021)
108
Article L561-8 du Code Monétaire et Financier : « I. – Lorsqu'une personne mentionnée à l'article L. 561-
2 n'est pas en mesure de satisfaire aux obligations prévues à l'article L. 561-5 ou à l'article L. 561-5-1, elle
n'exécute aucune opération, quelles qu'en soient les modalités, n'établit ni ne poursuit aucune relation
d'affaires et peut transmettre la déclaration prévue à l'article L. 561-15 dans les conditions prévues à cet
Page 46 sur 317

100. Si ces mesures peuvent paraître anodines pour la plupart des clients, elles sont
difficilement compatibles avec le désir de certains d’être discret, quand bien même la
discrétion n’est pas liée à une intention frauduleuse… Par ailleurs, le fait d’être questionné
en cas de retrait d’espèce important ou l’arrivée d’une somme importante sur son compte
peut être perçu comme un manque de confiance de la part de sa banque, qui reste pourtant
contrainte de réaliser ce type de contrôle au risque d’être sanctionnée pour manquement à
son devoir de vigilance109. Pour rappel, le devoir de vigilance consiste, pour le banquier, à
détecter les anomalies au stade de la conclusion du contrat bancaire ou de son exécution110.
101. Le même constat peut également être fait en ce qui concerne la transmission
d’informations patrimoniales et fiscales dans le cadre de la lutte contre l’évasion fiscale. En
effet, dans le cadre de leur relation avec l’administration fiscale, les banques sont qualifiées
de tiers déclarants, en ce qu’il leur incombe de déclarer certaines informations relatives à
leur clientèle directement à l’administration111 à sa demande, sans pouvoir lui opposer le
secret bancaire112.
102. En effet, l’article 83 du livre des procédures fiscales accorde à certaines personnes
habilitées de l’administration un droit de communication de documents relatifs à leurs
article. Si celle-ci a déjà été établie en application du IV de l'article L. 561-5, elle y met un terme et la
déclaration prévue à l'article L. 561-15 s'effectue dans les conditions prévues à cet article.
Les personnes mentionnées aux 12° à 13° de l'article L. 561-2 ne sont pas soumises aux dispositions du premier
alinéa lorsque leur activité se rattache à une procédure juridictionnelle, y compris dans le cadre de conseils
relatifs à la manière d'engager ou d'éviter une telle procédure, et lorsqu'elles donnent des consultations
juridiques.
II. – Le I s'applique également lorsqu'un établissement de crédit a été désigné par la Banque de France sur le
fondement de l'article L. 312-1 et que l'établissement n'a pas pu satisfaire à l'une des obligations prévues à
l'article L. 561-5 ou à l'article L. 561-5-1.
III. – Un décret en Conseil d'Etat précise les modalités d'application du I lorsque la conclusion ou la résiliation
du contrat auquel il est mis fin en application du présent article est régie par des dispositions législatives
spécifiques »
109
ROUSSILLE. M., Notes sous ACPR sanct., 22 févr. 2018, no 2017-08, Gaz. Pal. 12 juin 2018, n° 324j4, p.
78 ; Voir également Cass. 1re civ., 2 nov. 2005, SARL Eggo Conseils c/ BNP Paribas
110
MATHEY N, « La portée du devoir de vigilance”, RD bancaire et fin. n° 5, Septembre 2013, dossier 48
111

112
L’article 83 du livre des procédures fiscales dispose que : « Les administrations de l'Etat, des départements
et des communes, les entreprises concédées ou contrôlées par l'Etat, les départements et les communes, ainsi
que les établissements ou organismes de toute nature soumis au contrôle de l'autorité administrative, doivent
communiquer à l'administration, sur sa demande, les documents de service qu'ils détiennent sans pouvoir
opposer le secret professionnel »
Page 47 sur 317

clients. Ce dispositif est par ailleurs complété par de nombreuses autres issues du code
général des impôts113 et du Livre des procédures fiscales 114 prévoyant une obligation de
déclaration spontanée, ou à la demande de l’administration, de certaines informations.
103. Citons par exemple l’article 242 ter du Code Général des Impôts en vertu duquel les
banques sont tenues de déclarer à la Direction Générale des Finances publiques l’identité,
l’adresse et le détail du montant imposable des bénéficiaires de revenus de capitaux
mobiliers 115 . Ou encore, les nombreux dispositifs internationaux liés à la lutte contre
l’évasion fiscale, tels que l’accord américain Forain Account Tax Compliant Act, dit
FATCA, en vertu duquel les banques étrangères s’engagent à communiquer aux États-Unis
la liste des comptes détenus par des citoyens américains116. Les informations ainsi transmises
ont généralement vocation à intégrer des fichiers les centralisant.
B – LES FICHIERS CENTRALISANT DES DONNEES BANCAIRES
104. Si la transmission d’informations concernant les clients à l’administration fiscale et

aux autorités peut être perçue par ceux-ci comme anxiogène, la plupart de ces dispositifs
restent néanmoins relativement inconnus du grand public. Trois grands fichiers de
centralisation de données bancaires sont particulièrement connus et souffrent d’une
mauvaise réputation en raison des circonstances dans lesquelles leur existence est souvent
découverte : Le FICOBA, le FCC et le FICP.
105. Le Fichier Central des Chèques, dit FCC et le Fichier des Incidents de remboursement
des Crédits aux Particuliers, dit FICP, sont en effet tous deux des fichiers centralisant les
incidents. Le premier, le FCC concerne les individus interdits de détention d’une carte
113
Articles 806-I et 1649A du code des impôts par exemple
114
Articles L96 et suivants du livre des procédures fiscales par exemple
115
Article 242 ter du Code Général des impôts
116
Décret n° 2015-1 du 2 janvier 2015 portant publication de l'accord entre le Gouvernement de la République
française et le Gouvernement des États-Unis d'Amérique en vue d'améliorer le respect des obligations fiscales
à l'échelle internationale et de mettre en œuvre la Loi relative au respect des obligations fiscales concernant les
comptes étrangers (dite « Loi FATCA »)
Page 48 sur 317

bancaire ou d’un chéquier en raison de l’usage abusif qu’ils en ont fait par le passé117. Le
client devient à compter de cette inscription interdit bancaire et ne pourra obtenir ni chéquier,
ni carte bancaire auprès d’une banque pendant respectivement cinq et deux ans, même en
changeant d’établissement, les banques ayant l’obligation de consulter le FCC avant toute
attribution de moyens de paiement118.
106. Le FICP quant à lui concerne les individus ayant fait l’objet d’un incident de
remboursement de crédit ou d’une procédure de surendettement119. C’est ainsi que le défaut
de remboursement de deux mensualités de crédit d’affilée ou l’utilisation abusive d’un
découvert autorisé par exemple emporteront inscription à ce fichier et ce jusqu’au
rétablissement de leur situation120. Le fait pour un individu de faire l’objet d’une inscription
au FICP peut être relativement anxiogène en ce qu’il s’agit de garder la trace d’une erreur
ou d’un défaut passé que doivent obligatoirement consulter tous les établissements bancaires
que cet individu pourrait solliciter dans le cadre d’un financement 121 . Le fait pour un
117
Article L131-84 du Code Monétaire et Financier : « Le tiré qui a refusé le paiement d'un chèque pour défaut
de provision suffisante ou qui a clôturé un compte sur lequel des formules de chèque ont été délivrées ou qui
a enregistré une opposition pour perte ou vol de chèques ou de formules de chèque en avise la Banque de
France. »
118
Voir le guide de la Banque de France au sujet du FCC. Le guide ets disponible à l’adresse suivante :
https://particuliers.banquefrance.fr/sites/default/files/media/2018/02/19/818010_fcc_web_v3_2018_01_26_0
9h15m28.pdf,consulté le 11/03/2022.
119
Article 751-1 du Code Monétaire et Financier : « Un fichier national recense les informations sur les
incidents de paiement caractérisés liés aux crédits accordés aux personnes physiques pour des besoins non
professionnels.
Ce fichier est géré par la Banque de France, laquelle est seule habilitée à centraliser ces informations.
Il est soumis à la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés. »
120
Article L752-1 du Code Monétaire et Financier : « Les entreprises mentionnées au premier alinéa de
l'article L. 751-2 sont tenues de déclarer à la Banque de France, dans des conditions précisées par arrêté, les
incidents de paiement caractérisés dans les conditions précisées par l'arrêté mentionné à l'article L. 751-6.
Dès la réception de cette déclaration, la Banque de France inscrit immédiatement les incidents de paiement
caractérisés au fichier et, dans le même temps, met cette information à la disposition de l'ensemble des
entreprises ayant accès au fichier. Les frais afférents à cette déclaration ne peuvent être facturés aux personnes
physiques concernées.
Les informations relatives à ces incidents sont radiées immédiatement à la réception de la déclaration de
paiement intégral des sommes dues effectuée par l'entreprise à l'origine de l'inscription au fichier. Elles ne
peuvent en tout état de cause être conservées dans le fichier pendant plus de cinq ans à compter de la date
d'enregistrement par la Banque de France de l'incident ayant entraîné la déclaration. »
121
Article L312-16 du Code de la Consommation : « Avant de conclure le contrat de crédit, le prêteur vérifie
la solvabilité de l'emprunteur à partir d'un nombre suffisant d'informations, y compris des informations
fournies par ce dernier à la demande du prêteur. Le prêteur consulte le fichier prévu à l'article L. 751-1, dans
les conditions prévues par l'arrêté mentionné à l'article L. 751-6, sauf dans le cas d'une opération mentionnée
au 1 de l'article L. 511-6 ou au 1 du I de l'article L. 511-7 du Code Monétaire et Financier. »
Page 49 sur 317

établissement bancaire de procéder à l’inscription erronée d’un individu au FICP constitue
d’ailleurs un préjudice que la banque responsable se doit de réparer.122
107. Le Fichier des Comptes Bancaires et Assimilées, dit FICOBA, lui, centralise
l’intégralité des comptes ouverts auprès de banques, ainsi que la date des opérations
d’ouverture et de clôture et l’identité de leurs détenteurs 123 . Si contrairement aux deux
fichiers précédents, l’inscription dans ce fichier ne fait pas suite à un incident et n’a en
principe pas d’effet discriminatoire, ce fichier est surtout connu pour son rôle dans le cadre
des procédures de recouvrement forcé.
108. En effet, outre les héritiers et notaires dans le cadre du règlement d’une succession, les
huissiers de justice font partie des personnes habilitées à consulter ce fichier et ne
manqueront pas de le faire dans le cadre de la recherche de patrimoine saisissable en cas de
procédure de recouvrement forcée.124
109. Ces trois fichiers ne représentent qu’une partie de l’intégralité des fichiers comportant
des informations bancaires sur les individus, illustrant effectivement cette tendance au
« traçage » que semblent reprocher aux États et entreprises beaucoup d’individus se tournant
vers les cryptoactifs comme le bitcoin, espérant retrouver le semblant de confidentialité dont
ils estiment disposer avec l’espèce.
§ 2 LA BANQUE NUMERIQUE AU DEFI DE L’IDENTIFICATION NUMERIQUE
110. La crise sanitaire mondiale liée à la Covid 19 a incité les institutions et les États à
accélérer leurs travaux portant sur le numérique. En effet, si l’on pouvait parfois considérer,
avant cette pandémie, que la possibilité de réaliser des actes de gestion à distance grâce aux
outils numériques, relevait du confort, les périodes de confinement successives ainsi que les
nombreux couvre-feux qu’ont connu les individus en 2020 et 2021 forcent un constat : le
122
LASSERRE CAPDEVILLE J., Notes sous Cour de cassation 1ère chambre civile, 26 janv. 2012, no 10-
25345, LEDB mars 2012, n° EDBA-812021-81203, p. 2
123
Articles 1649 A et suivants du Code Général des Impôts
124
Arrêté du 25 juillet 2016 modifiant l'arrêté du 14 juin 1982 relatif à l'extension d'un système automatisé de
gestion du fichier des comptes bancaires
Page 50 sur 317

WEB n’est plus en aucun cas un canal de confort mais un canal absolument nécessaire, sans
lequel les États auraient eu bien des difficultés à se remettre de cette crise mondiale.
111. En dépit des circonstances, les banques ont continué à fonctionner pendant des
semaines avec très peu voire aucune personne présente dans leurs locaux. Et les individus
ont pu continuer à se procurer les biens nécessaires à leur vie quotidienne et professionnelle,
sans avoir besoin de sortir de chez eux, ni avoir le moindre contact physique ni même
téléphonique avec leurs conseillers. Une étude réalisée conjointement par l’IFOP et la
Fédération Bancaire Française en 2020 indiquait d’ailleurs que la bonne gestion de la crise
sanitaire par les banques, a fait progresser la confiance des clients dans celles-ci125.
112. Cette situation inédite a nettement amplifié le recours au numérique, et a aussi

accentué certaines tendances comme celle du recours aux cryptoactifs126 tant à des fins de
capitalisation qu’à des fins de paiement127. Les cryptoactifs sont des actifs numériques128, ils
existent sous forme de jetons (Tokens en anglais) au sein d’un dispositif d’enregistrement
électronique partagé (DEEP), en l’occurrence, une blockchain129.
125
IFOP et FBF, « Les Français, leur banque, leurs attentes », Site internet de l’IFOP, 2021, page 9, disponible
à l’adresse suivante :https://www.ifop.com/wp-content/uploads/2021/02/POUR-PUBLI-SITE-IFOP-ETUDE-
FBF-IFOP-Les-FR_leur-banque_leurs-attentes.pdf, consulté le 11/03/2022.
En 2021, 68 millions d’individus détenaient un portefeuille de cryptoactifs d’après le site internet spécialité
126
Techjury.
127
Site official de PayPal, disponible à l’adresse : https://www.paypal.com/fr/home, consulté le 11/03/2022.
Article L54-10-1 du Code Monétaire et Financier : « Pour l'application du présent chapitre, les actifs
128
numériques comprennent :
1° Les jetons mentionnés à l'article L. 552-2, à l'exclusion de ceux remplissant les caractéristiques des
instruments financiers mentionnés à l'article L. 211-1 et des bons de caisse mentionnés à l'article L. 223-1 ;
2° Toute représentation numérique d'une valeur qui n'est pas émise ou garantie par une banque centrale ou
par une autorité publique, qui n'est pas nécessairement attachée à une monnaie ayant cours légal et qui ne
possède pas le statut juridique d'une monnaie, mais qui est acceptée par des personnes physiques ou morales
comme un moyen d'échange et qui peut être transférée, stockée ou échangée électroniquement. »
129
LEGEAIS D., « Actifs numériques et prestataires sur actifs numériques », J. Cl. Commercial, Fasc. 535,
2019 ; Le Ministère de l’économie, des finances et de la relance définit la blockchain comme un « registre de
transactions qui permet de garder la trace d'un ensemble de transactions, de manière décentralisée, sécurisée et
transparente, sous forme d'une chaîne de blocs
Page 51 sur 317

113. Bien que les travaux des États membres et de l’Union Européenne en matière d’actifs
numériques, et notamment de cryptoactifs130, eussent été entamés en 2019, au travers de la
Loi du 22 mai 2019 relative à la croissance et la transformation des entreprises, dite Loi
PACTE131 suivie, en pleine pandémie, par l’ordonnance du 9 décembre 2020 renforçant le
cadre de la lutte contre le blanchiment de capitaux et le financement du terrorisme applicable
aux actifs numériques132, le sujet de la régulation des cryptoactifs se retrouve de nouveau
au cœur de débats, notamment en raison des projets des GAFAM et BATX133, aussi appelées
« BigTechs », qui font craindre les États pour leur souveraineté, mais aussi pour des raisons
de lutte contre le blanchiment d’argent et le financement du terrorisme.
114. Dans sa communication sur une stratégie en matière de paiements de détail pour l’UE
du 24 septembre 2020134, la Commission européenne introduisait justement ses propos par
le constat suivant : « Les grandes entreprises technologiques (les « BigTechs ») se sont
implantées dans le secteur des paiements. Profitant d’importantes économies de réseau, elles
sont désormais en mesure de défier les fournisseurs établis. En outre, avec l’essor des
cryptoactifs (dont les jetons de valeur stable ou « stable coins »), elles pourraient bientôt
offrir des solutions de paiement de rupture, fondées sur le cryptage et la technologie des
registres distribués (DLT). »
130
L’article L552-2 du Code Monétaire et Financier auquel renvoie l’article L54-10-1 du Code Monétaire et
Financier définit les jetons comme : « tout bien incorporel représentant, sous forme numérique, un ou plusieurs
droits pouvant être émis, inscrits, conservés ou transférés au moyen d'un dispositif d'enregistrement
électronique partagé permettant d'identifier, directement ou indirectement, le propriétaire dudit bien. »
131
La Loi du 22 mai 2019 relative à la croissance et la transformation des entreprises, dite Loi PACTE, a
notamment institué le statut de Prestataire de services sur actifs numériques, JORF n°0119 du 23 mai 2019
132
L’Ordonnance n° 2020-1544 du 9 décembre 2020 renforçant le cadre de la lutte contre le blanchiment de
capitaux et le financement du terrorisme applicable aux actifs numériques a été prise sur le fondement de
l’article 203 de la Loi PACTE. Ella a notamment étendu l’obligation d’enregistrement auprès de l’AMF aux
plateformes d’échanges d’actifs numériques contre d’autres actifs numériques (crypto to crypto) et aux
plateformes de négociation d’actifs numériques. Elle a par ailleurs rendu l’application des mesures
d’identification obligatoires aux plateformes d’échanges d’actifs numériques contre d’autres actifs numériques
(crypto to crypto) et aux plateformes de négociation d’actifs numériques, alors que l’application de ces mesures
n’était alors que facultatives pour ces plateformes.
133
L’anagramme BATX désigne les géants du numérique chinois Baidu, Alibaba, Tencent et Xiaomi.
134
Communication de la commission au parlement européen, au conseil, au comité économique et social
européen et au comité des régions sur une stratégie en matière de paiements de détail pour l’UE du 24
septembre 2019,page 1 disponible en ligne à l’adresse suivante : https://eur-lex.europa.eu/legal-
content/FR/TXT/PDF/?uri=CELEX:52020DC0592&from=EL,consulté le 11/03/2022.
Page 52 sur 317

115. Grâce à l’ordonnance du 9 décembre 2020, le contrôle des activités liées aux
cryptoactifs se rapproche davantage de celui lié aux activités des autres établissements
financiers, en ce que les plateformes d’échange de cryptoactifs et de négociation d’actifs
numériques sont désormais également tenues d’identifier leurs clients, suivant ainsi les
recommandations du Groupe d’Action Financière (GAFI)135.
116. En 2020, dans le cadre du forum FinTech ACPR-AMF, un groupe de travail constitué
d’acteurs de la place et des autorités publiques avait été constitué pour étudier l’application
des règles relatives à la lutte contre le blanchiment de capitaux et le financement du
terrorisme aux activités liées aux cryptoactifs. Le rapport de ce groupe de travail136 avait
conclu à une bonne application des règles de LCB-FT par les acteurs français du secteur des
cryptoactifs, mais également que le recours à la blockchain permettait d’assurer la traçabilité
des transactions, sauf bien sûr en ce qui concerne les cryptoactifs conçus spécifiquement
pour assurer l’anonymat des individus, et que les acteurs du secteur des cryptoactifs avaient
mis en place des outils permettant de détecter efficacement les comportements anormaux
pouvant justifier un signalement. Le Groupe de travail rappelait par ailleurs l’importance de
l’établissement de conditions minimales permettant l’application efficace des règles de
transparence des virements électroniques137 en la matière.
117. Consciente des failles persistantes dans le dispositif existant de lutte contre le
blanchiment d’argent et le financement du terrorisme, notamment en ce qui concerne les
cryptoactifs, le 7 mai 2020, la Commission Européenne a présenté un plan d’action pour une
politique globale de l'Union en matière de prévention du blanchiment de capitaux et du
135
La première version des recommandations du GAFI sont consultables à l’adresse suivante :
https://www.fatf-gafi.org/media/fatf/documents/recommendations/RBA-VA-VASPs.pdf,consulté le
11/03/2022. En octobre 2021, le GAFI a mis à jour ses recommandations, ces dernières sont consultables à
l’adresse suivante : https://www.fatf-gafi.org/media/fatf/documents/recommendations/Updated-Guidance-
VA-VASP.pdf
136
Le rapport du Groupe de travail sur l’application des règles de LCB-FT au secteur des cryptoactifs Compte-
rendu des travaux est disponible à l’adresse suivante :
https://acpr.banque-france.fr/sites/default/files/medias/documents/20200929_forum_FinTech_gt_lcb-
ft_crypto_-_rapport_final.pdf
137
ROZIER G., « ACPR et AMF : publication d'un rapport sur l'application des règles de LCB/FT au secteur
des cryptoactifs dans le cadre du Forum FinTechs ACPR-AMF », RD bancaire et fin. n°6, Novembre 2020,
alerte 85
Page 53 sur 317

financement du terrorisme138, dans laquelle elle annonce la mise en place d’un système de
lutte anti-blanchiment à l’échelle de l’UE, en établissant notamment des règles harmonisées
au niveau de l’UE139 et une autorité de surveillance européenne, qui collaborerait avec les
autorités nationales.
118. Le 20 juillet 2021, la Commission Européenne a ainsi dévoilé plusieurs propositions,

parmi lesquelles la proposition de Règlement relative à la prévention de l’utilisation du
système financier aux fins du blanchiment de capitaux ou du financement du terrorisme140,
qui met en place un système de LCB-FT unifié au niveau de l’UE et ajoute, enfin, les
établissements proposant des services sur cryptoactifs aux établissements assujettis aux
règles européennes liées à la LCB-FT.
Citons également la proposition de Règlement instituant l’autorité de lutte contre le

blanchiment de capitaux et le financement du terrorisme du 20 juillet 2021141, qui prévoit
la mise en place d’une Autorité de l’Union européenne pour la Lutte contre le Blanchiment
de Capitaux et le financement du terrorisme, dite ALBC ou AMLA en anglais pour Anti
Money Laundering Authority, ainsi que la proposition de Règlement du Parlement
européen et du Conseil sur les informations accompagnant les transferts de fonds et de
certains cryptoactifs du 20 juillet 2021142, qui élargit les exigences de traçabilité aux
cryptoactifs.
119. L’UE entend ainsi clairement rendre les dispositifs de lutte contre le blanchiment
d’argent et le financement du terrorisme plus efficaces et plus adaptés aux nouveaux usages
138
Communication de la Commission européenne du 7 mai 2020 relative à son plan d'action pour une
politique globale de l'Union en matière de prévention du blanchiment de capitaux et du financement du
terrorisme, disponible en ligne à l’adresse suivante :
https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=PI_COM:C(2020)2800&from=FR,consulté le
11/03/2022.
139
Les réglementations européennes relatives étant des directives, il existe malheureusement des divergences
de transposition entre les États membres.
140
Proposition de Règlement du Parlement et du Conseil relative à la prévention de l’utilisation du système
financier aux fins du blanchiment de capitaux ou du financement du terrorisme du 20 juillet 2021.
141
Proposition de Règlement du parlement européen et du conseil instituant l’Autorité de lutte contre le
blanchiment de capitaux et le financement du terrorisme et modifiant les règlements (UE) nº 1093/2010, (UE)
nº 1094/2010 et (UE) nº 1095/2010
142
Proposition de Règlement du Parlement européen et du Conseil sur les informations accompagnant les
transferts de fonds et de certains cryptoactifs du 20 juillet 2021
Page 54 sur 317

liés aux cryptoactifs, la Commission rappelant à cet effet que « Le blanchiment de capitaux
et le financement du terrorisme constituent une grave menace pour l’intégrité́ de l’économie
et du système financier de l’UE et pour la sécurité́ de ses citoyens » et qu’« environ 1 % du
produit intérieur brut annuel de l’UE est identifié́ comme étant impliqué́ dans une activité́
financière suspecte143 ».
120. L’encadrement des cryptoactifs est un prérequis essentiel au développement sécurisé

des nouveaux usages en matière de paiement, aussi, leur soumission aux règles de LCB-FT
était un prérequis essentiel, qui sera complété par les autres mesures annoncées par l’UE
dans le communiqué de la Commission Européenne du 24 septembre 2020144, qui présente
les intentions de l’UE en matière d’encadrement des cryptoactifs (A) et plus largement ses
perspectives en matière de finance numérique (B)
A - LE DILEMME POSE PAR LES CRYPTOACTIFS POUR LA SOUVERAINETE DES

ÉTATS
121. Issus de la jonction des termes crypto, qui vient du grec ancien « Kruptos » pour
« caché »145 et du terme « actif », les cryptoactifs sont des actifs reposant sur une technologie
de chiffrement permettant d’en garantir l’authenticité, la fiabilité, ainsi que dans certains cas,
la confidentialité, voir l’anonymat.
122. Le plus célèbre des cryptoactifs, le Bitcoin, créé en 2009 par un individu dont l’identité
réelle reste à ce jour inconnue, a conduit à la mise en lumière de ces actifs, jusqu’ici surtout
connus des informaticiens146. Sa notoriété est d’ailleurs telle que le Bitcoin est devenu, en
2021, une devise légale au Salvador, au même titre que le dollar américain147.
143
Propos introductifs de la Proposition de Règlement du Parlement européen et du Conseil sur les
informations accompagnant les transferts de fonds et de certains cryptoactifs du 20 juillet 2021
144
Communication de la commission au Parlement européen, au Conseil, au Comité économique et social
européen et au comité des régions sur une stratégie en matière de paiements de détail pour l’UE du 24
septembre 2020, disponible en ligne à l’adresse suivante : https://eur-lex.europa.eu/legal-
content/FR/TXT/PDF/?uri=CELEX:52020DC0592&from=EL,consulté le 11/03/2022.
145
Dictionnaire de l’académie française
146
Site internet Bitcoin.org, disponible à l’adresse suivante : https://bitcoin.org/fr/, consulté le 11/03/2022.
147
ANONYME, “Le bitcoin devient une monnaie légale au Salvador”, Le Monde, 2021
Page 55 sur 317

123. La plupart des cryptoactifs, et notamment le Bitcoin, peuvent, dans certains cas,
constituer des moyens de paiement, ce qui vaut à ces dernières l’appellation de
« Cryptomonnaies ». L’utilisation de ce terme pour qualifier les cryptoactifs comme le
Bitcoin ou l’Ethereum constitue cependant un abus de langage, en ce que ces cryptoactifs ne
répondent pas aux critères de qualification d’une monnaie148.
124. Une monnaie doit en effet répondre à trois critères : pouvoir servir d’intermédiaire des
échanges, d’unité de compte et de réserve de valeur, or, les cryptoactifs n’ont
généralement149 pas de cours légal et ne peuvent donc pas servir de monnaie d’échange.
Elles sont extrêmement volatiles 150 et ne peuvent donc pas être considérées comme des
unités de compte. Elles ne peuvent de plus pas être épargnées et dégager des intérêts, elles
ne constituent donc pas des réserves de valeur151.
125. Il existerait à ce jour plusieurs milliers de cryptoactifs, chacun ayant été créé à
l’initiative privée d’une communauté d’informaticiens dans le cadre d’une blockchain152. La
création d’actifs est conditionnée au minage153 des contributeurs, qui peuvent se voir allouer
des actifs, plus communément appelés « tokens » ou « jetons », qu’ils peuvent ensuite
dépenser auprès d’un vendeur qui les accepte comme moyen de paiement, comme c’est de
plus en plus le cas pour le Bitcoin, ou les échanger contre leur équivalent en euros sur des
plateformes telles que Coinbase154 et E-toro155.
148
MARTUCCI F., « Union monétaire », J. Cl Europe Traité, Fasc.1035,2020, BOURDEAUX G., « Propos
sur les « crypto-monnaies » », RD bancaire et fin. n° 6, Novembre 2016, dossier 39 ; KLEINER C., « Aspects
juridiques internationaux - Réflexion renouvelée en raison des « cryptomonnaies », RD bancaire et fin. n° 4,
Juillet 2019, dossier 34 ; LEGEAIS D., « Monnaies, aspects juridiques », RD bancaire et fin. n° 4, Juillet 2019,
dossier 33
149
La seule exception connue à ce jour concerne le Bitcoin, qui est désormais la monnaie légale du Salvador.
150
CHARREL M., Le cours du bitcoin frôle son sommet historique à 66 000 dollars, Le Monde, 2021
151
Site internet Economie.gouv
152
Le Ministère de l’économie, des finances et de la relance définit la blockchain comme un « registre de
transactions qui permet de garder la trace d'un ensemble de transactions, de manière décentralisée, sécurisée et
transparente, sous forme d'une chaîne de blocs
153
Le minage consiste en le fait de faire tourner un algorithme définit sur une machine, le résultat de cet
algorithme est alors un actif, appelé, dans ce cadre, un token ou jeton en français.
154
Coinbase est une plateforme d’achat et échanges de cryptoactifs. Voir son site internet à l’adresse :
https://www.coinbase.com/fr/
155
E-toro est une plateforme de trading d’actions et de cryptoactifs. Voir son site internet à l’adresse :
https://www.etoro.com/fr/
Page 56 sur 317

126. Les cryptoactifs offrent, dans certains cas, un certain anonymat qui permet d’effectuer
des transactions plus difficilement traçables que celles réalisées avec un moyen de paiement
associé à un compte bancaire, ce qui, naturellement, représente une difficulté pour les
autorités, tant en matière de LCB-FT que de cybercriminalité156.
127. La CNIL, quant à elle émet un avis différent dans son livre blanc sur les moyens de
paiements, puisqu’elle estime que l’anonymat est « une condition essentielle du
fonctionnement des sociétés démocratiques 157 ». Si la monnaie fiduciaire, venait à
totalement disparaître, les cryptoactifs pourraient bien devenir les seuls moyens de paiement
offrant une possibilité d’anonymat.
128. Les cryptoactifs ne sont évidemment pas toujours liés à une activité malveillante mais
ils posent question sur le plan monétaire en lui-même158. En effet, comme indiqué plus haut,
ces derniers n’étant pas de vraies monnaies, ils ne bénéficient pas de la sécurité des avoirs
et sont très volatils159. Un investisseur peu averti pourrait ainsi tout perdre en investissant
dans des cryptoactifs, c’est pourquoi l’AMF et la DGCCRF ne manquent pas d’appeler les
individus à la prudence160.
129. Enfin, sur le plan écologique, les cryptoactifs sont également pointés du doigt en raison
de l’énergie nécessaire pour le minage, on estimerait en effet que la validation de chaque
156
A ce sujet, lire POLROT S., « La régulation LCB-FT face à l'émergence des cryptomonnaies », Revue
Internationale de la Compliance et de l'Éthique des Affaires n° 1, Février 2020, étude 38 ; BOURSIER M-E.,
« L'encadrement renforcé des prestataires de services sur actifs numériques en matière de LCB-FT », JCP N
n° 4, 29 Janvier 2021, act. 175
157
CNIL, « Livre Blanc de la CNIL « Quand la confiance paie – Les moyens de paiement d’aujourd’hui et de
demain au défi de la protection des données », publié le 6 octobre 2021, page 18
158
A ce sujet lire DE VAUPLANE H., « Les défis juridiques du Libra et plus généralement
des cryptomonnaies », RD bancaire et fin. n° 1, Janvier 2020, étude 2
159
En 2013, un bitcoin valait treize dollars, fin mai 2021 il en valait trente milles (source cryptonaute.fr)
160
Page du site de l’AMF « Investir dans les cryptoactifs (Bitcoin, etc.) », disponible à l’adresse suivante :
https://www.amf-france.org/fr/espace-epargnants/proteger-son-epargne/cryptoactifs-bitcoin-etc,consulté le
11/03/2022. ; L’influenceuse française Nabilla BENATTIA VERGARA avait notamment été condamnée à
verser une amande de 20 000 euros par la DGCCRF pour pratique commerciale déloyale après avoir fait la
promotion d’un cryptoactif sur Twitter sans indiquer qu’elle était rémunérée pour le faire. Cette condamnation
avait été saluée par l’AMF. Voir le communiqué de presse de la DGCCRF du 28 juillet 2021, disponible en
ligne à l’adresse suivante :
https://www.economie.gouv.fr/files/files/directions_services/dgccrf/presse/communique/2021/cp-nabilla-
benattia-vergara.pdf,consulté le 11/03/2022.
Page 57 sur 317

opération réalisée en bitcoins nécessite 215 kilowatts par heure 161 soit plus que la
consommation annuelle de la plupart des appareils électroménagers de taille moyenne…
130. Plus récemment, des cryptoactifs dont la valeur est directement dépendante de celle
d’une véritable monnaie ont vu le jour sous l’appellation de « Stablecoins162». Comme leur
nom l’indique, elles ont vocation à être stables, du moins aussi stable que la ou les monnaies
nationales dont elles dépendent. La plus connue est très certainement le Diem, anciennement
Libra, que le géant Facebook prévoyait de lancer en 2021 avant d’y renoncer163.
131. Sans surprise, en raison de la concurrence que ce type d’actif présente pour les
monnaies de banques centrales, ces dernières ont presque toutes accéléré leurs projets de
Monnaies Numériques de Banques Centrales, dites MNBC ou CBDC, pour « Central Bank
Digital Currency »164. À ce titre, la BCE a réalisé une consultation publique réalisée en 2020
afin d’évaluer les attentes des Européens en matière de monnaie numérique165. Sans grande
surprise, cette consultation a mis en exergue un désir de protection de la vie privée et
d’intégration d’un euro numérique dans les systèmes bancaires et de paiement existant166.
La mise en circulation de cet Euro numérique devrait cependant mettre encore quelques
années, ce qui permettra à l’Union Européenne d’observer le succès des autres MNBC avant
la sienne, notamment la MNBC chinoise, le e-yuan, qui est, au moment où nous écrivons
ces lignes, en 2021, en cours d’expérimentation dans certaines villes de Chine pour un
lancement national prévu en 2022167.
161
BLOCH R., « La phénoménale consommation d'énergie du bitcoin », Les Echos, 2017
162
Littéralement des monnaies stables en Français.
163
JANSON N., « Les stablecoins : un électrochoc pour les banques centrales », Banque & Stratégie n°400,
2021
164
Discours du 29 octobre 2020 de Denis Beau, Premier sous-gouverneur de la banque de France,
« Cryptoactifs, stablecoins et banques centrales : risques, enjeux et perspectives »
Voir le Communiqué de presse de la BCE sur les résultats de la consultation publique relative à un Euro
165
Numérique .
166
A ce sujet, lire STORRER P, « À propos du Rapport de la BCE sur un euro numérique », Revue Banque
n°856, 2021
LEMAITRE F., “La Chine teste sa monnaie virtuelle pour un lancement prévu en février 2022 », Le Monde,
167
2021 ; BOUNIE D, DIE N. ET VERDIER M., « La Chine à l’avant-garde des MNBC de détail », Revue
Banque n°854, 2021
Page 58 sur 317

132. Au niveau européen, la mise en place de l’euro numérique est étudiée simultanément
à de nombreuses autres évolutions annoncées dans le cadre de la nouvelle stratégie
européenne de finance numérique.
B - LES PERSPECTIVES DE L’UE EN MATIERE D’IDENTIFICATION

ELECTRONIQUE ET DE FINANCE NUMERIQUE
133. Dans le cadre de la présentation de la nouvelle stratégie européenne en matière de

finance numérique 168 et la publication de la Proposition de Règlement du Parlement
européen et du Conseil sur le marché de cryptoactifs dit Règlement MiCA pour « Markets
in Crypto Assets169 », la Commission Européenne a présenté les grands chantiers des années
à venir en matière de finance numérique.
134. Ce chantier, qui s’annonce de grande ampleur, est élaboré autour de quatre priorités
pour l’Union Européenne : la fragmentation du marché unique numérique des services
financiers, l’adaptation du cadre réglementaire de l’UE en vue de faciliter l’innovation
numérique, la création d’un espace européen des données financières et la résilience de l’UE
face aux nouveaux défis et risques liés à la transformation numérique.
135. Ces enjeux ne sont pas nouveaux, la fragmentation du marché numérique Européen
était notamment déjà présentée comme l’un des objectifs principaux de l’UE dans sa
stratégie numérique pour l’Europe présentée le 26 Aout 2010, soit quelques années avant
l’adoption du Règlement eIdas, du RGPD et de la DSP 2170.
136. Si ces trois réglementations ont beaucoup apporté à l’Union Européenne en matière de
confiance numérique, il faut reconnaître qu’elles n’ont pas toutes atteint les objectifs
annoncés, particulièrement le Règlement eIdas, dont l’application par les États n’a pas
permis, notamment en France, d’exploiter pleinement ses dispositions.
Communication du 24 Septembre 2020 de la Commission au Parlement européen, au Conseil, au Comité

168
Économique et Social Européen et au Comité des régions sur une stratégie en matière de finance numérique
pour l'UE
169
Proposition de Règlement du Parlement européen et du Conseil sur les marchés de cryptoactifs, et modifiant
la directive (UE) 2019/1937
170
européen et au comité des régions du 26 Aout 2010 relative à une Stratégie Numérique pour l’Europe
Page 59 sur 317

137. Concernant ce Règlement, la nouvelle stratégie numérique de l’UE annonce une
évolution attendue par de nombreux acteurs du secteur bancaire : l’adoption prochaine de
mesures visant à renforcer l’interopérabilité des systèmes d’identification numérique des
États membres et une uniformisation des règles de KYC.171.
138. Cette annonce a été récemment confirmée par la présentation de la Commission

Européenne de son projet de mise en place d’un portefeuille numérique Européen172 dans le
cadre de la révision du Règlement eIdas 173. Ce futur portefeuille numérique Européen a
vocation à offrir un véritable équivalent numérique aux justificatifs papiers puisqu’il devra
permettre de lier de manière fiable l’identité numérique d’un individu et ses attributs
personnels tels que ses diplômes et son permis de conduire. Le portefeuille numérique
européen permettra en outre à chacun de pouvoir procéder à la signature électronique
qualifiée de documents174.
139. Nous suivrons bien évidemment ces travaux de près, car ils offriront
vraisemblablement une avancée majeure en matière de confiance numérique,
particulièrement en ce qui concerne l’authentification et le KYC175. L’authentification et
l’identification à distance sont en effet des problématiques centrales pour les banques, dont
la rigueur en la matière est essentielle à la sécurisation de la relation bancaire distante entre
un client et sa banque. À ce titre, les banques peuvent s’appuyer sur des moyens
d’identification à distance dits « de confiance ».
171
MOUY. S., « Enfin une stratégie européenne de finance numérique centrée sur l’identité !”, Revue Banque
n°849, 2020. MOUY. S., « Le KYC partagé, bientôt une réalité ? », Banque & Stratégie n°388, 2020
172
Communiqué de Presse de la Commission Européenne du 3 juin 2020, "La Commission propose une identité
numérique fiable et sécurisée pour tous les Européens"
173
Proposition de Règlement du parlement européen et du conseil modifiant le règlement (UE) no 910/2014
en ce qui concerne l’établissement d’un cadre européen relatif à une identité́ numérique
174
Proposition d’article 6 bis 2. de la proposition de Règlement du parlement européen et du conseil modifiant
le règlement (UE) no 910/2014 en ce qui concerne l’établissement d’un cadre européen relatif à une identité
numérique : « Les portefeuilles européens d’identité numérique permettent à l’utilisateur: (a) de demander et
d’obtenir, de stocker, de sélectionner, de combiner et de partager en toute sécurité, d’une manière qui soit
transparente pour l’utilisateur et traçable par ce dernier, les données légales nécessaires d’identification
personnelle et l’attestation électronique d’attributs pour s’authentifier en ligne et hors ligne en vue d’utiliser
des services publics et privés en ligne; (b) de signer au moyen de signatures électroniques qualifiées. »
175
Lire à ce sujet LACROIX DE SOUSA S., « Le renouveau technologique du dispositif Know Your
Customer », RD bancaire et fin. n° 6, Novembre 2020, étude 17
Page 60 sur 317

Page 61 sur 317
SECTION II – LES MOYENS D’IDENTIFICATION A DISTANCE DE
CONFIANCE
140. L’identification et l’authentification par les banques de leurs prospects et clients

comptent parmi les étapes les plus importantes de l’entrée en relation, d’autant plus quand
celles-ci interviennent à distance. En effet, outre les risques liés à une éventuelle non-
conformité réglementaire, ces étapes ont une incidence sur l’intégralité des actes intervenant
par la suite dans le cadre de cette relation.
141. Les termes « identification » et « authentification » sont souvent utilisés de manière

indifférenciée. Or, il s’agit d’un abus de langage. Pour les distinguer, il est généralement
avancé que l’identification consiste, pour un individu, à déclarer qui il est, quand
l’authentification consiste, quant à elle, à le prouver. Ainsi, un prospect va d’abord déclarer
son identité pour s’identifier, puis fournira des justificatifs pour s’authentifier au stade de
l’entrée en relation. Dans le cadre d’une relation bancaire existante, les clients s’identifient
à distance en saisissant leur identifiant, puis s’authentifient généralement en saisissant un
mot de passe.
142. Les établissements de crédits sont traditionnellement soumis à un certain nombre de

règles relatives à l’authentification de leur clientèle dans le cadre de leur rôle dans la lutte
contre le blanchiment d’argent et le financement du terrorisme. L’authentification à distance
a par ailleurs un double intérêt en matière de confiance : pour le client il s’agit de ne pas
permettre à un tiers d’accéder à ses données et d’effectuer des transactions non autorisées,
pour la banque il s’agit de protéger la confiance qui lui est accordée en tant que tiers de
confiance et de se prémunir contre les risques juridiques et financiers assortis.
143. Le cadre réglementaire relatif aux outils d’authentification numérique a été marqué
par de grandes évolutions ces dernières années, tant dans les rapports de droit public176que
dans les rapports de droit privé177. Le domaine de l’identification et de l’authentification
numérique n’a par ailleurs pas échappé à la tendance générale de l’européanisation du droit
176
C’est-à-dire les règles de droit applicables aux personnes de droit public telles que l’État, ses collectivités
et agents, ainsi qu’à leurs rapports avec les particuliers.
177
C’est-à-dire l’ensemble des règles de droit applicables aux rapports entre particuliers personnes physiques
ou morales.
Page 62 sur 317

numérique. Un certain nombre d’outils d’identification et d’authentification à distance sont
disponibles pour une utilisation par les banques (§1), cependant, la réglementation impose
généralement le recours à des outils présentant un niveau de fiabilité tel que leur utilisation
peut s’avérer difficilement conciliable avec la fluidité recherchée par les clients (§2).
§ 1 - LES OUTILS D’AUTHENTIFICATION NUMERIQUE
144. Les justificatifs d’identité physiques, tels que les Cartes Nationales d’Identité ou les
passeports, ont rapidement montré leurs limites lorsqu’il s’est agi de s’assurer de l’identité
d’une personne physique sans que cette dernière ne soit physiquement présente.
145. En effet, sans avoir l’original du justificatif, ni être en présence de celui qui s’en
prétend titulaire, comment, alors, vérifier que le document est authentique et qu’il appartient
bien à celui qui le présente ? Dans ce contexte, choisir la facilité consisterait à demander une
simple copie numérique du document, ce qui faciliterait grandement la fraude du client peut
scrupuleux qui pourrait fournir la copie du justificatif d’un tiers.
146. Lorsqu’il s’agit d’entrer en relation avec un établissement bancaire, l’article L561-5
du code monétaire et financier, impose à ces derniers de vérifier l’identité du prospect en
s’appuyant sur plusieurs justificatifs. Il faut comprendre ici les termes « écrit » et
« document » au sens large puisque l’article R561-5-2 du même code 178 liste, parmi les
documents acceptables, les moyens d’identification électronique présumés fiables ou
délivrés dans le cadre d’un schéma d’identification électronique notifié à la Commission
Européenne par un État membre de l’Union Européenne. Ces dispositions font directement
référence au Règlement Européen n°910/2014 du 23 Juillet 2014 sur l’identification
électronique et les services de confiance pour les transactions électroniques au sein du
marché intérieur dit Règlement eIdas179. Grâce au cadre juridique établi, un large éventail
178
L’article R.561-5-1 du Code Monétaire et Financier fait en effet notamment référence à un moyen
d’identification électronique.
179
Règlement (UE) no 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l’identification
abrogeant la directive 1999/93/CE, dit Règlement eIdas, JOUE L257, du 28 aout 2014 ; A ce sujet, lire
DOUVILLE T, « Le Règlement européen sur l'identification électronique et les services de confiance
(eIDAS) », JCP E n° 1, 5 Janvier 2017, 1005
Page 63 sur 317

de choix se présente aux banques (A), parmi lequel les solutions biométriques semblent être
privilégiées. (B).
A – LE DIFFICILE DEPLOIEMENT DES OUTILS D’IDENTIFICATION ENCADRES

PAR LE REGLEMENT EIDAS
147. En 2014, lors de l’adoption du Règlement eIdas, tout laissait espérer que le cadre ainsi
mis en place permettrait aux entreprises françaises de développer leurs usages en la matière
grâce au cadre qu’établissait le Règlement eiDAS au niveau européen. L’une des conditions
à ce déploiement était cependant que la France, en s’appuyant sur le Règlement eIdas, crée
une identité numérique 180 régalienne et qu’elle la notifie ensuite à la Commission
Européenne pour offrir le plein potentiel rendu possible par ce Règlement181.
148. Sept ans après l’adoption de ce texte, nous ne pouvons malheureusement que déplorer
qu’aucune de ces conditions ne se soit réalisée, laissant tous ceux espérant ainsi bénéficier
des nouveaux outils de confiance sans possibilité de le faire pleinement, parmi lesquels bien
sûr les banques et autres prestataires de services de paiement.
149. Parmi les différentes mesures acceptables au titre de l’identification du client ou

prospect à distance, le Code Monétaire et Financier offre la possibilité aux banques de se
reposer sur un moyen d’identification électronique ou une signature électronique à condition
que ces derniers répondent à un certain niveau de confiance, renvoyant à la nomenclature
établie par le Règlement eIdas.
150. En effet, en ce qui concerne la signature électronique 182 , seule une signature
électronique avancée ou qualifiée reposant sur un certificat qualifié et délivré par un
180
EYNARD J., L'identité numérique : quelle définition pour quelle protection ? Larcier, 2020, Création
Information Communication, 212 p
181
Lire DOUVILLE T, « Le Règlement européen sur l'identification électronique et les services de confiance
(eIDAS) », JCP E n° 1, 5 Janvier 2017, 1005
182
Article 1367 du code civil : « La signature nécessaire à la perfection d'un acte juridique identifie son auteur.
Elle manifeste son consentement aux obligations qui découlent de cet acte. Quand elle est apposée par un
officier public, elle confère l'authenticité à l'acte.
Lorsqu'elle est électronique, elle consiste en l'usage d'un procédé fiable d'identification garantissant son lien
avec l'acte auquel elle s'attache. La fiabilité de ce procédé est présumée, jusqu'à preuve contraire, lorsque la
signature électronique est créée, l'identité du signataire assurée et l'intégrité de l'acte garantie, dans des
conditions fixées par décret en Conseil d'Etat. »
Page 64 sur 317

prestataire de services de confiance qualifié est éligible en vertu des articles R561-5-1 et
suivants du Code Monétaire et Financier. Concrètement, cela signifie que pour accepter une
signature électronique au titre des mesures d’identification à distance, celle-ci doit
correspondre à l’un des deux niveaux les plus élevés de signature électronique prévus par le
Règlement eIdas.
151. Peu d’individus disposant, à titre individuel, d’un certificat électronique qualifié, sorte
d’équivalent numérique d’une carte d’identité qui est délivré par un organisme de
certification, cela suppose que les banques soient en mesure de proposer, outre le service de
signature électronique, un service de remise de certificat électronique183.
152. Or, si la plupart des banques proposent effectivement des services de signature
électronique de bout en bout à distance, les certificats délivrés dans ce cadre ne sont en
principe utilisables qu’une seule et unique fois, souvent pour la signature du contrat, et ne
répondent pas aux critères nécessaires à la qualification des signatures qui en sont issues de
signatures électroniques qualifiées184.
183
AGOSTI P., SCHIANG N., BADINA R., « Guide de la signature électronique », Fédération Nationale des
Tiers de Confiance, 2013
184
La proposition de proposition de Règlement du Parlement Européen et du Conseil modifiant le règlement
(UE) nº 910/2014 en ce qui concerne l’établissement d’un cadre européen relatif à une identité numérique, qui
sera évoqué plus tard dans cette étude, devrait résoudre cette problématique, le futur Règlement établissant les
conditions de délivrance de certificats électroniques qualifiés à la volée comme indiqué dans l’exposé des
motifs « Le chapitre III comporte un nouvel article 29 bis visant à définir les exigences applicables à un
service qualifié de gestion des dispositifs de création de signatures électroniques à distance. Le nouveau
service de confiance qualifié serait directement lié à des mesures répertoriées et évaluées dans l’analyse
d’impact et s’appuierait sur celles-ci, notamment des mesures relatives à l’ « harmonisation du processus de
certification pour la signature électronique à distance» et d’autres mesures appelant à l’harmonisation des
pratiques de contrôle des États membres. ». ; Article 29 bis de la Proposition de Règlement : « «Article 29 bis
Exigences applicables aux services qualifiés de gestion d’un dispositif de création de signature électronique à
distance
1. La gestion d’un dispositif de création de signature électronique qualifié à distance en tant que service
qualifié ne peut être confiée qu’à un prestataire de services de confiance qualifié qui :
(a) génère ou gère des données de création de signature électronique pour le compte du signataire ;
Page 65 sur 317

153. Le recours à un moyen d’identification électronique n’est quant à lui pas plus simple
puisqu’il suppose que le moyen d’identification accepté par la banque ait été délivré dans le
cadre d’un schéma d’identification électronique qui a été notifié à la Commission
Européenne par un État de l’Union Européenne et qu’il soit par ailleurs de niveau substantiel,
soit le second niveau le plus élevé parmi les trois prévus par le Règlement eIdas185. Or, la
France a beaucoup tardé à notifier un schéma d’identification électronique à la Commission
Européenne186, peu de clients et prospects français sont donc susceptibles de recourir à un
moyen d’identification électronique éligible à ce jour.
154. Ainsi, les dispositions du Règlement eIdas sont quelque peu compliquées, et
nécessitent par ailleurs des investissements importants pour y recourir, ce qui explique
certainement qu’elles soient aujourd’hui encore peu utilisées pour identifier la clientèle187.
Il n’est donc pas étonnant que les banques se détournent de ces outils, censés véhiculer la
confiance numérique dans le cadre de l’application des règles de KYC à distance, au profit
de techniques souvent moins sécurisées mais plus fluides pour les clients.
B – LES SYSTEMES D’AUTHENTIFICATION BIOMETRIQUES
155. Depuis quelques années, les systèmes biométriques se sont fortement développés et
font désormais partie intégrante du quotidien de beaucoup d’individus, si tant est que ces
(b) sans préjudice de l’annexe II, point 1 d), reproduit les données de création de signature électronique
exclusivement à des fins de sauvegarde, sous réserve du respect des exigences suivantes :
Le niveau de sécurité des ensembles de données reproduits doit être équivalent à celui des ensembles de
données d’origine ;
Le nombre d’ensembles de données reproduits n’excède pas le minimum nécessaire pour assurer la continuité
du service.
(c) respecte les exigences énoncées dans le rapport de certification du dispositif de création de signature
électronique qualifié à distance concerné, établi conformément à l’article 30.
2. Dans un délai de douze mois à compter de l’entrée en vigueur du présent règlement, la Commission
détermine, au moyen d’actes d’exécution, les spécifications techniques et les numéros de référence des normes
aux fins du paragraphe 1. » ; »
185
Le Règlement prévoit trois niveaux de schémas d’identification électronique : faible, substantiel et élevé.
186
FranceConnect+ et l’Identité numérique La Poste n’ont en effet été notifiés qu’en février 2021.
187
MOUY S., « Identité numérique et règles LCB-FT : une délicate conciliation », Revue Banque n°836, 2019
Page 66 sur 317

derniers disposent de l’équipement nécessaire 188 . Le Règlement 2016/679 du Parlement
européen et du Conseil du 27 Avril 2016, dit Règlement Général sur la Protection des
Données, ou RGPD189, définit les données biométriques comme « des données à caractère
personnel résultant d'un traitement technique spécifique, relatives aux caractéristiques
physiques, physiologiques ou comportementales d'une personne physique, qui permettent ou
confirment son identification unique, telles que des images faciales ou des données
dactyloscopiques ».
156. L’authentification biométrique peut donc être définie comme un système

d’authentification reposant sur un facteur, dit, d’inhérence, c’est-à-dire un facteur reposant
sur des caractéristiques propres à l’individu qui s’authentifie, tel que sa voix, sa gestuelle,
ou ses caractéristiques physiques. Si ces systèmes relevaient encore, il y a quelques dizaines
d’année, de la science-fiction, ou étaient réservés aux systèmes de sécurité internes des
entreprises les plus à la pointe de la technologie, la plupart des smartphones actuels disposent
aujourd’hui de systèmes d’authentification reposant sur la reconnaissance faciale ou la
digitale.
157. Ces systèmes, bien que très utiles et souvent plus sécurisés que le recours à simple
facteur de connaissance, comme un mot de passe, présentent cependant quelques défauts.
Tout d’abord, le cadre juridique applicable à l’authentification biométrique pose question.
En effet, le Règlement eIdas ne donne aucune définition de la biométrie, seul son Règlement
d’Exécution n°2015/1502190 y fait référence. La biométrie est simplement mentionnée en
tant qu’élément éligible aux vérifications nécessaires à l’attribution d’un moyen
d’identification électronique. Par ailleurs, aucune disposition légale n’autorise expressément
les banques à recourir à la biométrie pour authentifier leurs clients, les privant ainsi d’un
cadre juridique de confiance.
188
Lire à ce sujet BOURGEOIS M., « L'irrésistible ascension de la biométrie : aspects juridiques », Revue
pratique de la prospective et de l'innovation n° 1, Mai 2020, dossier 3
189
Règlement (UE) 2016/ 679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des
personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces
données, et abrogeant la directive 95/ 46/ CE (Règlement général sur la protection des données) (europa.eu)
190
Règlement d'exécution (UE) 2015/ 1502 de la commission du 8 septembre 2015 fixant les spécifications
techniques et procédures minimales relatives aux niveaux de garantie des moyens d'identification électronique
visés à l'article 8, paragraphe 3, du règlement (UE) no 910/ 2014 du parlement européen et du conseil sur
l'identification électronique et les services de confiance pour les transactions électroniques au sein du marché
intérieur
Page 67 sur 317

158. Comment expliquer dans ce cas que les banques proposent presque toutes des systèmes
d’authentification biométriques ? Tout d’abord, il est à préciser que les systèmes
d’authentification biométriques utilisés par les banques ne sont généralement pas utilisés au
stade de l’entrée en relation, mais plutôt au cours de l’exécution du contrat entre la banque
et le client, pour sécuriser par exemple l’accès à l’espace personnel. En effet, pour que les
banques puissent s’appuyer sur un système d’authentification biométrique, il faudrait que
celui-ci s’intègre à un moyen d’identification électronique de niveau substantiel ou élevé.
En revanche, il est de plus en plus courant que la biométrie soit utilisée pour vérifier la
cohérence des pièces justificatives fournies par le client, par exemple, en procédant à une
technique de reconnaissance faciale visant à vérifier que la personne présentant son visage
est bien celle figurant sur les documents.
159. Il faut également noter que les systèmes d’authentification biométriques mis en place
par les banques sont souvent délégués aux systèmes d’exploitation ou fabricants des
smartphones et tablettes des individus plutôt que gérés directement par les banques. La
banque va ainsi simplement demander au système d’exploitation du smartphone si
l’empreinte digitale ou le visage qui lui est présenté correspond bien à l’empreinte
préalablement enregistrée dans le smartphone, elle va rarement demander elle-même à
l’individu d’enregistrer une empreinte ou son apparence, pour ne pas avoir à la traiter et
échapper ainsi aux dispositions assez contraignantes en la matière.
160. En effet, le RGPD191, et les lignes directrices du G29 du 4 avril 2017 pourtant sur les
analyses d’impact relatives à la protection des données, dites AIPD 192 imposent aux
responsables de traitement souhaitant traiter des informations biométriques de procéder à
une « analyse d’impact sur la protection des données », qui suppose une analyse relativement
poussée des impacts de la solution mise en place et, en fonction du résultat de l’analyse, d’en
191
Règlement (UE) 2016/ 679 du parlement européen et du conseil du 27 avril 2016 relatif à la protection des
données, et abrogeant la directive 95/ 46/ CE (Règlement général sur la protection des données)
192
Extrait de l’article 35 du RGPD : « Lorsqu'un type de traitement, en particulier par le recours à de nouvelles
technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement, est susceptible
d'engendrer un risque élevé pour les droits et libertés des personnes physiques, le responsable du traitement
effectue, avant le traitement, une analyse de l'impact des opérations de traitement envisagées sur la protection
des données à caractère personnel. Une seule et même analyse peut porter sur un ensemble d'opérations de
traitement similaires qui présentent des risques élevés similaires... »
Page 68 sur 317

transmettre le résultat à la CNIL193. La biométrie semble ainsi ne pas être tout à fait adaptée
en tant qu’outil de confiance numérique, malheureusement, les outils qui pourraient
prétendre à cette qualité sont souvent compliqués à mettre en place.
§ 2 - LES DIFFICULTES INHERENTES A L’AUTHENTIFICATION A DISTANCE
161. Les systèmes d’authentification de confiance prévus par le Règlement eIdas sont en
pratique peu utilisés par les banques et clients en raison, notamment, de leur complexité.
Outre les difficultés liées au manque de clarté des dispositions du Règlement eIdas en ce qui
concerne les conditions de qualification des signatures électroniques et moyens
d’identification électronique, l’utilisation de ces outils suppose une étape préalable plus ou
moins longue et difficile à mettre en œuvre.
162. En effet, qu’il s’agisse de s’appuyer sur un moyen d’identification électronique ou sur
une signature électronique, il faut préalablement que l’individu concerné se soit fait
préalablement attribuer un moyen d’identification électronique ou un certificat de signature
électronique. Or, les conditions dans lesquelles cette attribution intervient auront une
conséquence directe sur le niveau de confiance de la signature électronique ou du moyen
d’identification électronique dont disposera l’individu (A), c’est pourquoi il est nécessaire
de fédérer, déléguer, ou rendre interopérables par d’autres moyens les identités numériques
pour qu’un individu puisse utiliser un même certificat ou moyen d’identification
électronique auprès de plusieurs établissements. (B)
A - L’ATTRIBUTION INITIALE DES MOYENS D’IDENTIFICATION NUMERIQUE
163. Bien que le Règlement eIdas ai le mérite de poser un cadre réglementaire unifié au
niveau européen en ce qui concerne les outils de confiance numérique tels que la signature
électronique et les moyens d’identification électronique, il présente néanmoins l’indéniable
défaut d’être peu accessible et de renvoyer vers les États membres en ce qui concerne
l’établissement des référentiels précisant les conditions à remplir pour chaque niveau de
193
Ibid.
Page 69 sur 317

moyen d’identification électronique. Les cinquante-deux articles de ce Règlement, ses
annexes et ses Règlement délégués font en effet référence à des éléments très techniques,
rarement à la portée des individus ayant suivi une formation purement juridique et les efforts
de vulgarisation de l’ANSSI, qui en a la charge ne semblent pas suffire.
164. Par ailleurs, les dispositions nationales relatives à certains outils de confiance prévus
par le Règlement eIdas peuvent prêter à confusion. L’article 1367 du Code Civil 194 par
exemple, indique que la signature électronique est présumée fiable « lorsque la signature
électronique est créée, l’identité du signataire assurée et l’intégrité de l’acte garantie dans
des conditions fixées par décret en Conseil d’État ». Aucun des termes de signature
électronique simple, avancée ou qualifiée n’apparaît, quid alors de la cohérence de ces
dispositions avec celles du Règlement eIdas ? C’est en lisant les deux textes en parallèle que
l’on finit par comprendre que la signature présumée fiable que présente le Code Civil
correspond à une signature électronique qualifiée selon le Règlement eIdas…
165. Outre ces difficultés de forme, le fond des dispositions issues du Règlement eIdas est
lui aussi relativement obscure. La notion d’équivalent au face-à-face notamment, condition
à la délivrance d’un certificat électronique qualifié ou d’un moyen d’identification
électronique de niveau élevé prête beaucoup à confusion. Face à cette confusion, beaucoup
fondaient leurs espoirs dans l’ANSSI, dont les consignes en la matière restaient très
attendues. La pandémie de la COVID 19 a accéléré les choses puisque le 1er mars 2021,
l’ANSSI a publié le premier référentiel présentant les exigences applicables aux prestataires
de vérification d’identité à distance195.
166. À ce jour196, un seul moyen d’identification électronique français figure sur la liste
des services qualifiés par l’ANSSI 197 : l’Identité Numérique La Poste, de niveau
194
Article 1367 du code civil : « La signature nécessaire à la perfection d'un acte juridique identifie son auteur.
Elle manifeste son consentement aux obligations qui découlent de cet acte. Quand elle est apposée par un
officier public, elle confère l'authenticité à l'acte.
195
Voir le référentiel de l’ANSSI des exigences applicables aux Prestataires de vérification d’identité à distance
196
Décembre 2021
197
Liste des produits et services qualifiés par l’ANSSI (Liste n°38, éditée le 10 mai 2021)
Page 70 sur 317

substantiel 198 . La plateforme FranceConnect, que nous présenterons dans le paragraphe
suivant, est néanmoins reconnue par l’ANSSI comme conforme aux niveaux substantiels et
élevés199, elle pourra donc proposer à ses utilisateurs de fédérer une identité numérique de
niveau élevé dès lors que l’un des fournisseurs d’identité sera en mesure de le proposer. Le
développement de l’usage des signatures électroniques de niveau élevé ou qualifié et des
moyens d’identification de niveau avancé ou élevé ne pourra selon nous intervenir en France
que lorsqu’une identité numérique régalienne sera notifiée à la Commission Européenne et
que les modalités d’attribution seront simplifiées. À ce titre, FranceConnect, déjà reconnu
par l’ANSSI comme répondant aux critères de qualification d’une identité numérique de
niveau élevée, offre de nombreuses perspectives aux banques.
B - LES FEDERATIONS D’IDENTITE COMME SOLUTION PRIVILEGIEE ?
167. Au regard de la complexité de l’étape d’attribution initiale des moyens d’identification

électronique et, en suivant le modèle des moyens d’identification physique comme la Carte
Nationale d’Identité (CNI), le passeport ou le permis de conduire, il est rapidement devenu
évident que pour présenter un quelconque attrait pour les individus, il fallait que ces moyens
d’identification soient utilisables auprès d'un éventail de prestataires de services le plus large
possible.
168. C’est ainsi que le principe de fédération d’identités a peu à peu fait son chemin, au
travers, notamment, des services publics grâce à la plateforme FranceConnect. Placé sous la
responsabilité de la DINSIC (Direction Interministérielle du Numérique et du Système
d'Information et de Communication de l’État), depuis, renommée DINUM (Direction
Interministérielle du Numérique), lors de sa création en 2016 par l’Arrêté du 24 juillet 2015
portant création d'un traitement de données à caractère personnel par la direction
interministérielle des systèmes d'information et de communication d'un téléservice
198
Voir la décision de l’ANSSI n°1017 du 29 Avril 2020, disponible en ligne à l’adresse suivante :
https://www.ssi.gouv.fr/uploads/2020_1017_np.pdf,consulté le 11/03/2022.
199
Voir la décision de l’ANSSI n°1226 du 18 mai 2021, disponible en ligne à l’adresse suivante :
https://www.ssi.gouv.fr/uploads/2021_1226_np.pdf,consulté le 11/03/2022.
Page 71 sur 317

dénommé « FranceConnect » 200 , FranceConnect a d’abord été réservé aux institutions
publiques, permettant aux usagers d’utiliser leur compte FranceConnect pour accéder par
exemple à leurs comptes Amélie ou Impôts.gouv en utilisant les mêmes identifiants.
169. Ce n’est que depuis l’Arrêté du 8 novembre 2018201 qu’il est possible d’utiliser un
compte FranceConnect pour s’authentifier auprès de certains acteurs privés proposant des
« services en ligne dont l'usage nécessite, conformément à des dispositions législatives ou
réglementaires, la vérification de l'identité de leurs utilisateurs ou de celle de certains de
leurs attributs et uniquement pour les services qui nécessitent cette vérification202 ».
170. Les banques sont habilitées depuis lors à authentifier leurs clients via la plateforme
FranceConnect, qui compte à ce jour plus de 30 millions d’utilisateurs203, soit plus de la
moitié de la population française adulte204. Pour ce faire, il est néanmoins nécessaire que
ledit client ait créé une identité numérique La Poste, la simple détention d’une identité
fédérée dans FranceConnect obtenue auprès d’un des autres fournisseurs d’identité existant,
soit, pour le moment, Impots.gouv.fr, La Poste, Ameli, MobileConnect&Moi ou la Mutualité
Sociale Agricole ne suffit pas, ces dernières n’étant pas de niveau au moins substantiel.
171. L’arrivée prochaine d’Alicem parmi les fournisseurs d’identité FranceConnect

pourrait contribuer au développement du service, ce dernier permettant d’utiliser un titre
d’identité biométrique pour avoir une identité numérique de niveau élevé, ce que ne propose
200
Arrêté du 24 juillet 2015 portant création d'un traitement de données à caractère personnel par la direction
interministérielle des systèmes d'information et de communication d'un téléservice dénommé « FranceConnect
», NOR : PRMJ1518229A, JORF n°0180 du 6 août 2015, Texte n° 4
201
Arrêté du 8 novembre 2018 relatif au téléservice dénommé « FranceConnect » créé par la direction
interministérielle du numérique et du système d'information et de communication de l'Etat, NOR :
PRMJ1819224A, JORF n°0264 du 15 novembre 2018
202
Article 4 de l’arrêté du 8 novembre 2018 relatif au téléservice dénommé « FranceConnect » créé par la
direction interministérielle du numérique et du système d'information et de communication de l'Etat : « Les
destinataires ou catégories de destinataires des informations enregistrées par le traitement sont les autorités
administratives partenaires habilitées à traiter les démarches et formalités des usagers en vertu d'un texte
législatif ou réglementaire; les personnes morales mentionnées au II et au III de l'article 1er de l'ordonnance
du 28 avril 2005 susvisée qui proposent des services en ligne liés à la démarche de changement d'adresse et
uniquement pour ces services; les personnes morales de droit privé qui proposent des services en ligne dont
l'usage nécessite, conformément à des dispositions législatives ou réglementaires, la vérification de l'identité
de leurs utilisateurs ou de celle de certains de leurs attributs et uniquement pour les services qui nécessitent
cette vérification. »
203
ANONYME, « 30 millions d’utilisateurs conquis par FranceConnect ! », Site internet numerique.gouv,
2021
204
« Population par sexe et groupe d'âges », Site internet de l’INSEE, 2022
Page 72 sur 317

actuellement aucun des fournisseurs d’identité FranceConnect 205 . Notons également
l’expérimentation en cours consistant à identifier les autres services privés auxquels pourrait
s’étendre le système FranceConnect206, de même que celle portant sur la mise en place du
service Mon FranceConnect, qui permet aux individus, en s’authentifiant via
FranceConnect, de retrouver dans un seul et même espace les justificatifs fournis par les
différents services publics, de suivre l’avancement de démarches administratives, et de
bénéficier de conseils sur l’exercice de droits et devoirs207.
172. Le développement de la fédération d’identité contribue très largement à une expérience

client fluide. C’est pourquoi les géants privés comme Facebook, Google, Apple ou Amazon
ont tous leurs solutions de fédération ou de délégation d’identité, mais l’authentification
n‘est qu’une des étapes d’une expérience qui se veut bien plus vaste et dont l’optimisation
dépend largement d’une personnalisation réussie de l’expérience grâce aux données des
individus.
205
CE, 4 novembre 2020, Décision n°432656
206
Arrêté du 11 mai 2020 relatif à l'expérimentation visant à étendre le périmètre des partenaires du téléservice
« FranceConnect », NOR : PRMJ2003891A, JORF n°0124 du 21 mai 2020, Texte n° 4
207
Décret n° 2021-1538 du 29 novembre 2021 relatif à l'expérimentation du téléservice dénommé « Mon
FranceConnect » (MFC), NOR : TFPJ2131758D, JORF n°0278 du 30 novembre 2021
Texte n° 20
Page 73 sur 317
CONCLUSION DU CHAPITRE
173. Comme nous venons de l’établir, la confiance dans l’identité de l’individu, ou la

banque, avec laquelle la relation s’établit, est primordiale en vue de l’établissement d’une
relation de confiance. À cet égard, le fait, pour un individu et sa banque, de ne jamais se
rencontrer physiquement peut être perçu par certains comme une circonstance appelant à la
méfiance, en ce que le risque de fraude est alors amplifié.
174. Le fameux adage « On the internet, nobody knows you’re a dog208» qui peut se traduire
par « Sur internet, personne ne sait que vous êtes un chien » nous semble tout à fait approprié
pour qualifier le sentiment de certains en la matière : comment s’assurer que la personne
avec qui l’on est en contact est bien la personne qu’elle prétend être ?
175. La question étant particulièrement importante pour les banques, qui sont par ailleurs
tenues par de nombreuses obligations légales en la matière, il n’est pas étonnant qu’elles
montrent un tel intérêt dans les systèmes d’authentification électroniques et notamment ceux
reposant sur la biométrie.
176. Cependant, le déploiement de ces outils en France est relativement lent en raison de
certaines circonstances, telles que les difficultés liées à l’attribution initiale des moyens
d’identification électronique.
177. Les systèmes de fédération d’identité, le déploiement des justificatifs d’identité

biométriques et l’annonce de l’arrivée prochaine d’un portefeuille électronique nous
semblent en revanche très prometteurs pour l’avenir.
208
Cet adage est issu du dessin de P. STEINER paru dans le quotidien américain le New Yorker en 1993. Dans
ce dessin, on observe un chien utilisant un ordinateur.
Page 74 sur 317

CHAPITRE II - LA CONNAISSANCE CLIENT (KYC) A L’HEURE
DU BIG DATA
178. En vertu de leur devoir de lutte contre le blanchiment d’argent et le financement du

terrorisme, les établissements financiers ont l’obligation de bien connaître leur clientèle afin
de pouvoir détecter un comportement suspect ou anormal le cas échéant. Pour ce faire, divers
dispositifs sont mis en place par ces établissements au titre de ce qui est communément
appelé le « KYC » pour « know your customer », qui se traduit littéralement par
« Connaissez votre client » en français.
179. Aujourd’hui, la connaissance client dépasse largement le simple cadre des exigences
réglementaires puisqu’elle présente par ailleurs un « intérêt business » majeur pour les
banques et autres prestataires de services de paiements209. En effet la fourniture d’un service
personnalisé, d’un « conseil augmenté », ainsi que la réalisation d’opérations marketing
ciblées passent elles aussi par une connaissance client très avancée, ce qui implique des
traitements de données à caractère personnel important mais aussi le recours à de
l’intelligence artificielle. Or, la confiance des individus est justement mise à mal par les
inquiétudes relatives au Big Data210, ce phénomène de données massives que l’on observe
ces dernières années.
180. Les banques se retrouvent ainsi elles aussi à prendre parti à cette « guerre de la data »
que l’on peut observer entre les entreprises du numérique et particulièrement les GAFAM
que sont Google, Apple, Facebook, Amazon et Microsoft. La clientèle bancaire étant dans
la grande majorité des cas également cliente d’une ou plusieurs des GAFAM, les banques se
209
L’ACPR fait également ce constat dans son étude sur la révolution numérique du secteur bancaire français,
réalisée en 2017. L’étude est disponible à l’adresse suivante:
https://acpr.banquefrance.fr/sites/default/files/medias/documents/as_88_etude_revolution_numerique_secteur
_bancaire_francais.pdf
210
La CNIL propose la définition suivante du Big Data : "On parle depuis quelques années du phénomène de
Big Data, que l’on traduit souvent par « données massives ». Avec le développement des nouvelles
technologies, d’internet et des réseaux sociaux ces vingt dernières années, la production de données
numériques a été de plus en plus nombreuse : textes, photos, vidéos, etc. Le gigantesque volume de données
numériques produites combiné aux capacités sans cesse accrues de stockage et à des outils d’analyse en temps
réel de plus en plus sophistiqués offre aujourd’hui des possibilités inégalées d’exploitation des informations.
Les ensembles de données traités correspondant à la définition du Big Data répondent à trois caractéristiques
principales : volume, vélocité et variété."
Page 75 sur 317

doivent d’être à la hauteur de la qualité du service que ces dernières peuvent offrir grâce à
la personnalisation établie sur la base des traitements de données à caractère personnel. Cet
enjeu est d’autant plus important que ces entreprises ne cachent pas leurs ambitions dans le
secteur du paiement, la plupart proposent d’ailleurs déjà aujourd’hui des solutions de
paiement ou d’agrégation de comptes concurrençant les banques traditionnelles211.
181. Si certains apprécient grandement ces services sur mesure, d’autres les perçoivent
comme une intrusion dans leur vie privée et expriment ainsi un comportement relativement
paradoxal en manifestant un fort désir pour un service personnalisé pour répondre au mieux
à leur besoin, voire, pour les anticiper, tout en étant réticents à ce que les entreprises traitent
leurs données par crainte pour leur vie privée. La mauvaise presse qu’ont pu recevoir
certaines entreprises sur le sujet, conjuguée aux diverses théories du complot sur le sujet des
données à caractère personnel et aux risques d’actes de cyber-malveillance est certainement
à blâmer au moins en partie.
182. Le cadre réglementaire applicable aux banques dans le domaine de la protection des
données bancaires en particulier les place dans une position que certaines entreprises non
bancaires pourraient aisément jalouser (Section I) et grâce auquel les perspectives offertes à
ce secteur en termes d’algorithmes et intelligence artificielle sont extrêmement poussées, ce
qui suscite la crainte de certains clients (Section II)
211
LEGEAIS D., « Open Banking : menace ou opportunité pour les banques ?”, RD bancaire et fin. n° 5,
Septembre 2017, repère 5
Page 76 sur 317

SECTION I - LES CRAINTES RELATIVES AUX DONNEES A
CARACTERE PERSONNEL
183. La sensibilité des individus concernant le sujet des données à caractère personnel a
connu un tournant important ces dernières années suite aux nombreux scandales et faits
divers mis en lumière par la presse en la matière, mais aussi et surtout, suite à la refonte du
cadre juridique applicable et les actions de communication et sensibilisation en la matière
opérées par la Commission Nationale de l’Informatique et des Libertés (CNIL).
184. Lors de sa création il y a plus de 40 ans par la Loi du 6 Janvier 1978 relative à
l’informatique et aux libertés, époque à laquelle internet existait mais pas le WEB, le
législateur et la CNIL ne pouvaient qu’imaginer que l’environnement juridique qu’ils
commençaient alors à établir deviendrait un jour à ce point essentiel. Rappelons que la CNIL
a été créée au lendemain d’un scandale lié à la mise en lumière d’un projet du gouvernement
français, le projet SAFARI, qui avait pour objet d’interconnecter les différents fichiers
nationaux autour du fleuron des identifiants français : le Numéro d’Inscription au Registre
des Personnes, connu de tous sous le nom de NIR ou plus communément le numéro de
sécurité sociale.
185. Il s’agissait alors, pour le législateur, d’instaurer un garde-fou à l’État Français pour
garantir la protection de la vie privée des individus, mais aussi et surtout, de rassurer ces
derniers face au développement inéluctable du numérique, qui n’était alors qu’à ses
prémices. Si 40 ans plus tard, la CNIL a toujours cette mission, elle fait aujourd’hui surtout
parler d’elle en raison de son rôle, là aussi de garde-fou, auprès des entreprises privées, avec,
en première ligne de ces dernières, les GAFAM que sont les américains Google, Apple,
Facebook, Amazon et Microsoft, ainsi que les BATX : les chinois Baidu, Alibaba, Tencent
et Xiaomi.
186. Or, les GAFAM et BATX ne cachent pas leurs ambitions dans le secteur bancaire et
celui des paiements212, ce qui a conduit les banques à s’essayer aux mêmes pratiques que ces
dernières. L’adoption, puis l’entrée en application du Règlement 2016/679 du Parlement
européen et du Conseil du 27 Avril 2016, dit « RGPD » a conduit les institutions, publiques,
212
Citons par exemple les services de paiement Apple Pay et Google Pay des géants Apple et Google, ou encore
le projet de cryptoactif « Diem », anciennement Libra, du géant Facebook pour ne citer qu’eux.
Page 77 sur 317

comme privées, à se mettre en ordre de marche. S’il semble que les clients aient davantage
confiance en leur banque qu’en d’autres acteurs en ce qui concerne la protection de leurs
données213, ces dernières avancent néanmoins indéniablement sur un terrain glissant, tentant
de concilier leur conformité à la réglementation, leurs intérêts « business » et la confiance
de leur clientèle qui est de plus en plus vigilante quant au respect de sa vie privée (§1) et la
maîtrise de ses données (§2).
§ 1 - LA PROTECTION DE LA VIE PRIVEE DU CLIENT
187. Les banques occupent une place relativement centrale dans la vie des individus et sont
à ce titre amenées à avoir connaissance de nombreuses informations sur leurs clients, que
celles-ci soient fournies à la demande de la banque, ou qu’elles soient fournies spontanément
pas les clients. En effet, que ce soit pour la tenue de leurs comptes, ou pour l’obtention d’un
financement, les banques connaîtront, de fait, beaucoup de détails de la vie privée de leurs
clients, tels que leurs moments de vie au travers du financement du permis de conduire et du
premier véhicule ou la primo accession immobilière.
188. À ce titre, la CNIL a publié en octobre 2021 un livre blanc sur les données de paiement,
intitulé « Quand la confiance paie – Les moyens de paiement d’aujourd’hui et de demain au
défi de la protection des données », dans lequel la Présidente de la CNIL, Marie-Laure
DENIS, rappelle très justement en introduction, que « les données de paiement sont des
données à caractère personnel : données d’achat, données financières données
contextuelles, elles concernent bien des aspects de l’existence des individus. Elles peuvent
permettre de « tracer » leurs activités personnelles, de cerner leurs comportements ; elles
peuvent être utilisées pour commettre des fraudes. En outre, le recours à tel ou tel moyen de
213
IFOP et FBF, « Les Français, leur banque, leurs attentes », Site internet de l’IFOP, 2021, page 23,
disponible à l’adresse suivante :https://www.ifop.com/wp-content/uploads/2021/02/POUR-PUBLI-SITE-
IFOP-ETUDE-FBF-IFOP-Les-FR_leur-banque_leurs-attentes.pdf, consulté le 11/03/2022.
Page 78 sur 317

paiement et, en particulier, les possibilités de recourir aux espèces comportent également
des enjeux importants d’anonymat et de protection de la vie privée214. »
189. Le devoir de discrétion des banquiers concourt très certainement à ce que les clients
se confient facilement à leurs banquiers (A), et si cela est très bénéfique aux banques, dans
leur quête de personnalisation de la relation, cela pose néanmoins l’épineux problème de la
sélection des données qu’elles sont habilitées à traiter selon chaque finalité parmi toutes
celles auxquelles elles ont accès B).
A - LE DEVOIR DE DISCRETION DU BANQUIER
190. L’article L511-33 du Code Monétaire et Financier215 établit un devoir de discrétion à

la charge du banquier, au travers de l’obligation de secret professionnel216 issu de la Loi du
24 janvier 1984 relative à l’activité et au contrôle des établissements de crédit,
communément appelée la Loi bancaire 217 . À ce titre, ces derniers ont l’interdiction de
communiquer à des tiers les informations dont ils ont connaissance dans le cadre de leur
relation avec leurs clients, sauf cas de dérogation218 issus de la réglementation ou de la
jurisprudence 219 , ou, ponctuellement, si le bénéficiaire du secret bancaire y renonce
expressément220.
191. Le partage d’informations entre plusieurs établissements de crédit appartenant à un

même groupe ou entre un établissement bancaire et une entreprise non bancaire du même
214

215
Voir l’article L511-33 du Code Monétaire et Financier :
BORDAS F. et MAOUCHE S., « Devoirs professionnels des établissements de crédit - secret bancaire –
216
Généralités », J. Cl Banque - Crédit – Bourse, Fasc. 141,2021

217
Loi du 24 janvier 1984 relative à l’activité et au contrôle des établissements de crédit, communément
appelée la Loi bancaire
218
BORDAS F. et MAOUCHE S., « Devoirs professionnels des établissements de crédit - secret bancaire –
Personnes et organismes auxquels le secret professionnel est inopposable– Personnes publiques », J. Cl Banque
- Crédit – Bourse, Fasc. 141-5, 2021
219
MATHEY. N., Notes sous Cass. Com., 15 mai 2019, no 18-10491, LEDB juill. 2019, n° 112f7, p. 1
220
A noter que les établissements de crédit ont longtemps procédé à l’ajout de clauses de renonciation générale
au secret professionnel, sous couvert d’une jurisprudence ancienne issue d’un arrêt de la première chambre
civile de la Cour de cassation du 11 avril 1995 n°93-13.629. Cette pratique est désormais expressément
interdite par la loi ; LASSERRE CAPDEVILLE J., “Le secret bancaire en 2009 : un principe en voie de
disparition ?”, AJ Pénal 2009, p. 165 ; LASSERRE CAPDEBILLE J., Note sous Cass. Com., 5 févr. 2013, n°
11-27.746, JCP G, n° 18, 29 avril 2013, 502
Page 79 sur 317

groupe est également concerné par cette obligation. Dans le premier cas, la CNIL a eu
l’occasion de rappeler dans deux délibérations de 2005 221 qu’un tel transfert était
conditionné par une clause prévoyant le consentement explicite de l’individu. Le non-respect
de cette obligation est par ailleurs constitutif d’un délit passible d’un an d’emprisonnement
et de quinze mille euros d’amende comme l’indique l’article 226-13 du Code Pénal222.
192. La notion de tiers est ici à comprendre au sens strict. Une banque n’aura par exemple
pas le droit de communiquer des informations sur son client au conjoint de celui-ci, quand
bien même ce dernier serait également client de la même banque exception faite bien
évidemment des comptes joints dont les deux époux seraient titulaires ensemble. À ce titre,
on peut d’ailleurs s’interroger sur l’intérêt du secret bancaire quand on sait que, s’agissant
de données personnelles, le partage de données avec des tiers est de toute façon soumis au
consentement explicite de l’individu concerné conformément au RGPD223.
193. Les clients peuvent partager des informations, parfois très intimes, avec leurs
banquiers, en étant rassurés quant au fait que ces informations resteront secrètes224, du moins
en quelque sorte puisque comme nous l’indiquions précédemment, le secret bancaire est
soumis à un certain nombre d’exceptions, notamment vis-à-vis de l’administration fiscale.
À ce jour, les exceptions sont d’ailleurs si nombreuses qu’elles entraînent parfois des
difficultés opérationnelles pour les banques.
221
Voir la délibération de la CNIL n° 2005-197 du 8 septembre 2005 portant autorisation de mise en œuvre
par la société FINAREF d'un traitement automatisé des données à caractère personnel ayant pour finalité la
prévention du surendettement par les filiales de crédit à la consommation du groupe Crédit agricole ; et la
délibération de la CNIL n° 2005-196 du 8 septembre 2005 portant autorisation de mise en œuvre par la société
SOFINCO d'un traitement automatisé de données à caractère personnel ayant pour finalité la prévention du
surendettement par les filiales de crédit à la consommation du Groupe Crédit Agricole
222
Article 226-13 du Code pénal : « La révélation d'une information à caractère secret par une personne qui en
est dépositaire soit par état ou par profession, soit en raison d'une fonction ou d'une mission temporaire, est
punie d'un an d'emprisonnement et de 15 000 euros d’amende ».
223
ROUSSILLE M, « Le secret bancaire entre actualité et archaïsme », RD bancaire et fin. n° 6, Novembre
2020, alerte 83 ; Rapport du 6 juillet 2020 du Haut Comité Juridique de la Place financière (HCJP) appelle à
ce titre les pouvoirs publics à faire évoluer les dispositions relatives au secret bancaire pour résoudre la
complexité amenée par la coexistence de celui-ci avec les dispositions du RGPD et de la DSP 2.
224
A ce titre, la synthèse du rapport du 6 juillet 2020 du Haut Comité Juridique de la Place financière (HCJP)
concernant le secret bancaire rappelle que « Le devoir de discrétion du banquier vis-à-vis des affaires de son
client est un principe ancien et majeur de la profession bancaire. Le banquier tient, dans ses relations avec son
client, un rôle de « confident nécessaire » au regard des informations d’ordre financier et patrimonial, mais
également d’ordre personnel, qu’il est amené à connaître le concernant. Le secret constitue, dans ces
conditions, un élément essentiel de cette relation et la sauvegarde de l’intérêt privé de son client fonde en
grande partie l’obligation de discrétion auquel le banquier doit rester tenu à son égard. »
Page 80 sur 317

194. Le Haut Comité Juridique de la Place financière (HCJP) a d’ailleurs dédié un rapport
au sujet225 dans lequel il note que « les contours de cette obligation, dont le périmètre est
très large, demeurent complexes à appréhender du fait d’une multitude d’exceptions
disséminées dans la réglementation et d’évolutions jurisprudentielles régulières.
L’appréhension du périmètre précis d’application du secret bancaire demeure source
d’insécurité juridique, tant pour les personnes protégées que pour les établissements
assujettis (et les personnes physiques astreintes au secret) qui restent exposés à des
sanctions pénales, certes peu prononcées, mais particulièrement lourdes226 ».
195. La diminution des échanges en face-à-face a très certainement diminué la possibilité

de cette relation client-confident. Pour autant, les banques restent aujourd’hui encore les
entités certainement les mieux informées sur la vie privée de leurs clients au travers des
opérations se présentant sur les comptes de ces derniers et des demandes de financement
qu’ils effectuent, souvent liées à des moments de vie comme les études, l’achat d'une maison
ou d’'un véhicule ou encore l’arrivée d’un enfant.
196. Conformément aux dispositions du RGPD et de la Loi informatique et libertés227, les

banques, et autres prestataires de services de paiement ne sont cependant habilités qu’à
traiter les données qui sont pertinentes au regard des traitements de données à caractère
personnel mis en place en vertu du contentement du client, de l’exécution du contrat ou une
autre des bases légales prévues par le RGPD et la loi informatique et libertés.
225
Lire à ce sujet LASSERRE CAPDEVILLE J., « Rapport du HCJP sur le secret bancaire : présentation et
réflexions personnelles », JCP E n° 49, 3 Décembre 2020, 1509. Le rapport du HCJP du 6 juillet 2020 est
consultable sur son site internet à l’adresse suivante : https://www.banque-
france.fr/sites/default/files/rapport_33_f.pdf,consulté le 11/03/2022.
226
HCJP, « Rapport sur le secret bancaire », 2020, page 3
227
Extrait de l’article 4 de la Loi informatique et libertés, identique à l’article 5 du RGPD : « Les données à
caractère personnel doivent être :
« a) traitées de manière licite, loyale et transparente au regard de la personne concernée (licéité, loyauté,
transparence) ;
b) collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d'une
manière incompatible avec ces finalités ; le traitement ultérieur à des fins archivistiques dans l'intérêt public,
à des fins de recherche scientifique ou historique ou à des fins statistiques n'est pas considéré, conformément
à l'article 89, paragraphe 1, comme incompatible avec les finalités initiales (limitation des finalités) ;
c) adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont
traitées (minimisation des données) »
Page 81 sur 317

B - LA SELECTION DES DONNEES TRAITEES PAR LA BANQUE
197. Consciemment ou non, le client d’une banque fournit un nombre très élevé
d’informations le concernant. Ses paiements par carte bancaire sont par exemple
susceptibles de dévoiler sa localisation géographique, l’endroit où il a l’habitude de faire ses
courses, ses restaurants et cinémas favoris, ses lieux de vacances, le budget qu’il attribue à
chacune de ces activités, les heures auxquelles il les pratique. La carte bancaire est utilisée
quotidiennement ou presque par une majorité d’individus, ce qui en fait l’outil de traçage
idéal. La simple évocation de la disparition de la monnaie fiduciaire effraie bon nombre
d’entre eux pour cette même raison : les paiements effectués par carte bancaire, virements
ou prélèvements étant nécessairement traçables.
198. Riches d’un patrimoine informationnel très étendu en ce qui concerne leurs clients, les
banques pourraient techniquement proposer des services personnalisés à un niveau
certainement proche de ce qui peut être évoqué dans les œuvres de l’auteur de science-fiction
Philip K. Dick 228 . Le cadre juridique établit par le RGPD et la nécessité d’obtenir le
consentement explicite des clients dans de nombreux cas y fait cependant obstacle, et les
banques sont en principe obligées de ne traiter que les données strictement nécessaires aux
traitements de données auxquels les clients ont consenti, nécessaires au respect de leurs
obligations légales ou nécessaires à l’exécution du contrat qui les lient à leurs clients
conformément aux articles 5 et 6 du RGPD229.
199. En complément de ces trois bases légales, il en existe trois autres et notamment, une,
que les banques utilisent assez largement : l’intérêt légitime, qui permet aux responsables de
traitement d’effectuer un traitement dans la seule limite de la légalité et si l’individu faisant
228
Auteur de Science-Fiction notamment connu pour ses romans « Ubik », « The Minority Report » ou encore
« Les androïdes rêvent-ils de moutons électriques »
229
Extrait de l’article 6 du RGPD : « Le traitement n'est licite que si, et dans la mesure où, au moins une des
conditions suivantes est remplie :
a) la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs
finalités spécifiques ;
b) le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à
l'exécution de mesures précontractuelles prises à la demande de celle-ci ;
c) le traitement est nécessaire au respect d'une obligation légale à laquelle le responsable du traitement est
soumis »
Page 82 sur 317

l’objet du traitement n’a pas un intérêt légitime supérieur qui justifierait qu’un tel traitement
ne soit pas effectué230.
200. Les principes généraux231 posés à l’article 5 du RGPD imposent ainsi aux banques, à
l’heure du Big Data, des investissements humains et matériels très poussés au risque d’être
en non-conformité. Les principes de minimisation et de pertinence des données à caractère
personnel sont d’autant plus délicats à appliquer dans le secteur bancaire que certaines
données pourront être pertinentes à un moment donné de la relation, puis cesser de l’être peu
de temps après, ce qui implique une vérification permanente de la pertinence des données
détenues concernant les clients.
201. Lors d’une demande de souscription de crédit par exemple, la banque va vérifier que
le demandeur n’est pas inscrit au FICP et devra conserver la preuve de cette vérification
pendant un temps relativement long allant jusqu’à 35 ans dans certains cas232, dans le cas
contraire, elle pourra être privée de ses droits aux intérêts233. Le résultat de cette consultation
ne devra pour autant, lui, pas être conservé en base active. En effet, l’arrêté du 26 octobre
2010 relatif au fichier national des incidents de remboursement des crédits aux particuliers234
dispose que le résultat ne doit être accessible que pour « l'instruction du dossier de demande
de crédit, de reconduction annuelle d'un contrat de crédit renouvelable ou d'attribution de
moyens de paiement dans le cadre de laquelle la consultation a été effectuée235 ».
202. Une fois la vérification faite, les banques devront donc archiver ce résultat qui ne sera
accessible qu’à des fins d’audit ou à des fins de preuve dans le cadre d’un litige. Elles devront
par ailleurs résister à la tentation d’utiliser ce résultat à d’autres fins, comme l’étude d’une
demande de crédit d’un membre du foyer de la personne concernée ou l’étude d’une
230
PERRAY R., « L'intérêt légitime, une base légale du RGPD pas vraiment comme les autres”, Comm. com.
électr. n° 6, Juin 2021, étude 11
231
PERRAY R., « Données à caractère personnel – Principes fondamentaux relatifs aux traitements de données
à caractère personnel. Loyauté, licéité et transparence », J. Cl. Communication, Fasc.932-10, 2020
232
Voir l’article 13 de l’Arrêté du 26 octobre 2010 relatif au fichier national des incidents de remboursement
des crédits aux particuliers, NOR : ECET1024001A, JORF n°0253 du 30 octobre 2010, Texte n° 22.
233
TI Saint-Brieuc, 17 juin 2013, Gaz. Pal., 4-8 août 2013, p. 13, note G. Poissonnier
234
Arrêté du 26 octobre 2010 relatif au fichier national des incidents de remboursement des crédits aux
particuliers, NOR : ECET1024001A, JORF n°0253 du 30 octobre 2010, Texte n° 22
235
Article 13 de l’arrêté du 26 octobre 2010 relatif au fichier national des incidents de remboursement des
crédits aux particuliers
Page 83 sur 317

demande ultérieure de crédit par la personne qui aurait été inscrite au FICP par le passé mais
n’y serait plus lors de cette nouvelle demande.
203. Outre ces aspects réglementaires, la bonne sélection des données représente un enjeu
business pour éviter le phénomène de « bad data », qui désigne le fait, pour un responsable
de traitement de détenir des données de mauvaise qualité, souvent parce qu’elles sont
fausses, incomplètes ou sans intérêt236. Au regard de l’ampleur des travaux qui se sont avérés
nécessaires pour la mise en conformité des banques au RGPD avant l’entrée en application
de celui-ci, il était craint que certaines d’entre elles ne soient pas prêtes à temps237. Les
sanctions de la CNIL à l’égard des banques restant à ce jour relativement rares238, il faut
croire que la majorité d’entre elles ont fait le nécessaire à temps.
204. Au-delà de leur conformité, les banques ne peuvent cependant pas ignorer le désir
grandissant des individus de maîtriser leurs données à caractère personnelles, invitant les
responsables de traitements à fournir des efforts supplémentaires pour conserver leur attrait.
Ironiquement, il est d’ailleurs de plus en plus fréquent que les GAFAM et BATX eux-mêmes
utilisent cet argument pour attirer des clients239.
§2 - LA MAITRISE DES CLIENTS SUR LEURS DONNEES
205. Le développement du Big Data a mis en exergue le besoin de renforcer la maîtrise des
individus sur leurs données à caractère personnel, non seulement en ce qui concerne les
données traitées en elles-mêmes, mais aussi en ce qui concerne la finalité de leur traitement.
Le laboratoire de recherche de la CNIL, le LINC, publie régulièrement depuis 2015 les
résultats d’une étude intitulée « le baromètre générique sur les pratiques numériques et la
maîtrise des données personnelles ». Les résultats de l’étude de 2019 mettent en effet en
236
FONTAINE M., « La protection des données », JCP N n° 1, 4 Janvier 2019, 1003
237
VETRIAK N., DUVAL G. et FRENEL C., « Mise en conformité au RGPD : l’état d’avancement des
établissements financiers », Revue Banque n° 819, 2018
238
KOVAR J-P et LASSERE CAPDEVILLE J., « Première banque sanctionnée pour des manquements liés
au RGPD », Revue Banque n°851, 2020
239
SIX N., « Apple affine le blocage du suivi publicitaire sur iPhone et iPad », Le Monde, 2021 ; PIQUARD
A., « Google va renoncer aux cookies, ces fichiers qui traquent les internautes, une annonce qui ne convainc
pas », Le Monde, 2021
Page 84 sur 317

avant le fait que les individus prennent de plus en plus le temps de personnaliser les
paramètres liés à leurs données, puisqu’en 2019, 76% des internautes prenaient soin de
paramétrer la suppression de leurs données contre 68% en 2015. Par ailleurs, cette étude
nous apprend qu’en 2019, 71% des individus personnalisaient les paramètres de
confidentialité contre seulement 58% en 2015240.
206. Si la Loi informatique et libertés prévoyait bien avant l’adoption du RGPD241 une
obligation générale de transparence quant aux données traitées et instaurait déjà un grand
nombre de droits en faveur des individus sur leurs données, le RGPD a largement renforcé
le socle établi par celle-ci en associant des sanctions bien plus élevées aux manquements à
la réglementation242.
207. Parallèlement à l’augmentation de la sévérité des sanctions applicables, la volonté des

individus d’avoir une vraie maîtrise sur leurs données s’est elle aussi développée, donnant
naissance au concept dit d’« autodétermination informationnelle243 » qui désigne la vocation
des individus à être en mesure de maîtriser leurs données, notamment en ce qui concerne
l’étendue des données traitées mais aussi ce qu’il en est fait. Ce phénomène n’est pas passé
inaperçu auprès des professionnels et a donné lieu à l’émergence de plusieurs entreprises se
positionnant comme des « Private Information Management Systems »244, dits PIMS245 et
au modèle du « Self-data ».
208. Les PIMS permettent aux entreprises et individus de gérer plus facilement leurs
données à caractère personnel, en simplifiant par exemple la fourniture et la révocation des
autorisations de traitement de leurs données par des tiers. En France, c’est ce que permettent
par exemple les entreprises telles que Fair and Smart246 et Didomi.
240
Le baromètre générique sur les pratiques numériques et la maîtrise des données personnelles, édition 2019
241
Article 40-5 - Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés
242
Voir par exemple la sanction prononcée par la CNIL à l’égard de GOOGLE : Délibération SAN-2020-012
du 7 décembre 2020
243
LASSALLE M., « La réparation des atteintes au droit à l'autodétermination informationnelle », Comm. com.
électr. n° 2, Février 2021, étude 4
244
Systèmes de gestion des données personnelles
245
L’entreprise française COZY CLOUD par exemple offre un service de domicile numérique, c’est-à-dire un
cloud privé et personnel à l’individu qui peut choisir avec qui ses données seront partagées.
246
Le site internet de la société Fair and Smart est disponible à l’adresse suivante :
https://wp.fairandsmart.tech,consulté le 11/03/2022.
Page 85 sur 317

209. Pour encourager le développement de ce type d’initiatives, la proposition de
Règlement sur la gouvernance européenne des données (acte sur la gouvernance des
données)247, dit « Data governance act », introduit la notion d’ « intermédiaire de partage de
données à caractère personnel» et définit un certain nombre de mesures visant à augmenter
la confiance dans les intermédiaires de partage de données à caractère personnel et à
renforcer les mécanismes de partage de données au sein de l’Union Européenne. Cette
proposition de Règlement vient ainsi compléter la Directive 2019/024 du 20 juin 2019
concernant les données ouvertes248 , qui ne concernait que les données publiques, alors que
le Data Governance Act a vocation à s’appliquer aux données soumises à des « droits
d’autrui », telles que des données à caractère personnel ou des données soumise au droit
d’auteur ou au secret des affaires.
210. Grace au cadre que le Data Governance Act a vocation à établir, les données pourront
plus simplement circuler entre les administrations, les entreprises et les individus tout en
garantissant les droits des individus et entreprises sur les données concernées. L’altruisme
en matière de données est également encouragé grâce à la création d’un registre national des
organismes reconnus en la matière. Ainsi, les individus pourront simplement choisir de
partager les données les concernant avec ces organismes, à des fins, par exemple, de
recherche. Avec le Data Governance Act, l’objectif de l’UE quant à la simplification des
échanges de données tout en renforçant la maîtrise des personnes concernées sur leurs
données est ainsi clairement affiché, contribuant par la même occasion au self data.
211. Le self-data ne désigne pas un type d’entreprise en particulier mais plutôt une approche
de la donnée que peuvent adopter les entreprises et administrations de domaines diverses.
Le self-data est un concept popularisé par la FING 249 , Fondation Internet Nouvelle
Génération, qui consiste à assurer aux individus la possibilité d’obtenir simplement la
restitution de leurs données et la possibilité de les réutiliser comme ils l’entendent. Il s’agit
plus globalement de permettre aux individus de capitaliser sur leurs données, et non plus
247
Proposition de Règlement du Parlement européen et du Conseil du 25 novembre 2021 sur la gouvernance
européenne des données dit « Data governance act ».
248
Directive (UE) 2019/1024 du Parlement européen et du Conseil du 20 juin 2019 concernant les données
ouvertes et la réutilisation des informations du secteur public
249
La Fondation Internet Nouvelle Génération est une association créée en 2000 par Daniel KAPLAN, Jacques-
François MARCHANDISE et Jean-Michel CORNU. (Site internet de la FING, consultable à l’adresse
suivante : https://fing.org/a-propos.html)
Page 86 sur 317

seulement de laisser cette faculté aux entreprises et administrations responsables de
traitement.
212. Si le concept de self-data semble particulièrement populaire auprès des

administrations250, il est très probable que ce type d’approche devienne de plus en plus
fréquent chez les entreprises, notamment les banques, dans les années à venir, car il s’agit
d’une manière indéniable de se distinguer en matière de confiance numérique. Le sujet de la
protection des données devient ainsi, un nouvel argument marketing que même les GAFAM
exploitent 251 . Pour les banques, la mise en place de ces modèles sera particulièrement
importante pour renforcer la maîtrise des individus sur leurs données à caractère personnel,
tant a priori (A) qu’a posteriori de la mise en place des traitements de données. (B)
A – LA MAITRISE A PRIORI DES DONNEES TRAITEES PAR LA BANQUE
213. Les banques sont habilitées à traiter les données de leurs clients en vertu de
nombreuses bases légales, principalement, du consentement exprès du client, de l’exécution
du contrat, du respect d’une obligation légale ou de l’intérêt légitime de la banque. En
pratique, ce n’est qu’en prenant le soin de lire attentivement les formulaires qui lui sont remis
et la politique de confidentialité de la banque que le client pourra avoir une idée de l’étendue
250
Les villes de Lyon, Nantes et La Rochelle ont notamment toutes des expérimentations en cours autour du
self-data comme le souligne le site gouvernemental “Labo société numérique”, disponible à l’adresse suivante :
https://labo.societenumerique.gouv.fr/2019/07/18/lyon-nantes-et-la-rochelle-jettent-les-bases-du-self-data-
territorial/,consulté le 11/03/2022. La caisse des dépôts et consignations a d’ailleurs dédié un rapport au sujet
du self data intitule “Données personnelles, Le Monde d’après : Etat des lieux de l’écosystème du self data”,
publié le 20 novembre 2020. Ce rapport est consultable à l’adresse suivante :
https://www.banquedesterritoires.fr/sites/default/files/202103/Données%20personnelles_le%20modèle%20d
%27après_Selfdata.pdf,consulté le 11/03/2022.
251
La société Apple met notamment en avant les paramètres de confidentialité du système d’exploitation de
ses iPhones sur son site internet, disponible à l’adresse suivante : https://www.apple.com/fr/ios/ios-
15/,consulté le 11/03/2022. Le 26 avril 2021, à l’occasion de la publication de la version 14.5 du système
d’exploitation iOS, la presse avait largement relayé la fonctionnalité visant à empêcher facilement le traçage
des applications installées sur l’iPhone. Lire par exemple SIX N., « Apple affine le blocage du suivi publicitaire
sur iPhone et iPad », Le Monde, 2021, disponible à l’adresse suivante :
https://www.lemonde.fr/pixels/article/2021/04/28/apple-affine-le-blocage-du-suivi-publicitaire-sur-iphone-
et-ipad_6078379_4408996.html,consulté le 11/03/2022. ; voir également celui du quotidien Les Echos du 17
mars 2021 par BALENIERI R. et DUMOULIN S., « Ciblage publicitaire : 6 questions sur les nouvelles
restrictions imposées par Apple », Les Echos, 2021, disponible à l’adresse suivante :
https://www.lesechos.fr/tech-medias/hightech/ciblage-publicitaire-6-questions-sur-les-nouvelles-restrictions-
imposees-par-apple-1299194,consulté le 11/03/2022.
Page 87 sur 317

des traitements de données réalisés par la banque et les bases légales sur lesquelles elles
s’appuient.
214. Si nous les prenons une par une, on ne peut que constater que le client a un niveau de
maîtrise a priori très limité sur les données traitées car s’il peut effectivement ne pas donner
son consentement exprès aux traitements reposant sur cette base, ou se prévaloir d’un intérêt
légitime supérieur à celui de la banque pour s’opposer aux traitements que cette dernière
effectue sur la base de l’un de ses propres intérêts légitimes, il ne pourra échapper aux
traitements de données effectués sur la base de l’exécution du contrat ou du respect d’une
obligation légale qu’en s’abstenant de contractualiser avec la banque252.
215. La faible marge de manœuvre a priori de la conclusion du contrat dont disposent les
individus dans l’acceptation ou non des traitements effectués par les banques est cependant
contrebalancée, si l’on peut dire, par l’obligation qui leur est faite de s’assurer que les
individus soient bien en mesure de comprendre les traitements effectués et leurs implications
conformément à l’article 13 du RGPD253. La première sanction rendue par la CNIL à l’égard
d’une banque pour manquement aux dispositions du RGPD sanctionnait d’ailleurs un tel
manquement de la part de Carrefour Banque254. Les dispositions du RGPD visant à assurer
une maîtrise a posteriori des individus sur leurs données contribuent elles aussi à ce
rééquilibrage des forces entre individus et responsables de traitements.
B – LA MAITRISE A POSTERIORI SUR LES DONNEES TRAITEES PAR SA BANQUE
216. Les articles 15 et suivants du RGPD255 offrent aux individus de nombreux droits sur
leurs données à caractère personnel, permettant à ces derniers d’avoir une meilleure maîtrise
a posteriori sur les données traitées par les banques. Pour en garantir l’effectivité, les banques
BANCK A., « Neuf idées préconçues sur le Règlement européen relatif à la protection des données », Revue
252
Banque n°810, 2017 ; MATTATIA F., RGPD et droit des données personnelles, Eyrolles, 5e édition, 2021
253
Voir l’article 13 du RGPD.
Délibération de la formation restreinte n° SAN-2020-009 du 18 novembre 2020 concernant la société
254
CARREFOUR BANQUE
255
données, et abrogeant la directive 95/ 46/ CE (Règlement général sur la protection des données
Page 88 sur 317

sont par ailleurs contraintes d’informer leurs clients de l’existence de ces droits et des
modalités d’exercice de ces derniers au risque de s‘exposer à des sanctions.256
217. C’est ainsi que les clients peuvent notamment obtenir de leur banque le détail des
informations connues à leur sujet en vertu du droit d’accès, demander la suppression de
certaines informations les concernant ou s’opposer à certains traitements. À réception de la
demande, la banque dispose alors d’un délai d’un mois pour y répondre, sauf si la demande
est complexe ou si la banque a reçu un trop grand nombre de demandes, dans quel cas la
banque doit le préciser à l’individu concerné. En tout état de cause le délai maximum de
traitement de la demande est de trois mois257.
218. Précisons que, dans le cadre de l’exercice de leurs droits sur leurs données
personnelles, les individus ont la possibilité de prouver leur identité, si la situation le justifie,
grâce à des données d’identité numérique et qu’ils peuvent également, s’ils le souhaitent,
mandater une personne physique ou morale pour exercer leurs droits en leur nom258. Dans
256
Carrefour Banque a également été sanctionnée sur ce point par la CNIL : Délibération de la formation
restreinte n° SAN-2020-009 du 18 novembre 2020 concernant la société CARREFOUR BANQUE
257
Extrait de l’article 12 du RGPD : « Le responsable du traitement fournit à la personne concernée des
informations sur les mesures prises à la suite d'une demande formulée en application des articles 15 à 22, dans
les meilleurs délais et en tout état de cause dans un délai d'un mois à compter de la réception de la demande.
Au besoin, ce délai peut être prolongé de deux mois, compte tenu de la complexité et du nombre de demandes.
Le responsable du traitement informe la personne concernée de cette prolongation et des motifs du report dans
un délai d'un mois à compter de la réception de la demande. Lorsque la personne concernée présente sa
demande sous une forme électronique, les informations sont fournies par voie électronique lorsque cela est
possible, à moins que la personne concernée ne demande qu'il en soit autrement. »
258
Article 77 du décret n° 2019-536 du 29 mai 2019 pris pour l'application de la loi n° 78-17 du 6 janvier 1978
relative à l'informatique, aux fichiers et aux libertés : « Lorsque la personne concernée forme une demande, y
compris par voie électronique, tendant à la mise en œuvre des droits prévus aux articles 48, 49, 50, 51, 53, 54,
55 et 56 de la loi du 6 janvier 1978 susvisée, elle justifie de son identité par tout moyen. Elle peut exercer ses
droits en utilisant des données d'identité numériques lorsque ces données sont nécessaires et estimées
suffisantes par le responsable du traitement pour authentifier ses utilisateurs.
Lorsque le responsable du traitement ou le sous-traitant a des doutes raisonnables quant à l'identité de cette
personne, il peut demander les informations supplémentaires apparaissant nécessaires, y compris, lorsque la
situation l'exige, la photocopie d'un titre d'identité portant la signature du titulaire.
Page 89 sur 317

le cadre d’une relation avec une banque, faute d’identité numérique régalienne la fourniture
d’une copie d’un justificatif d’identité papier reste cependant presque systématiquement
demandée, que la demande émane directement de l’individu ou de son mandataire259.
219. Si à première lecture, ces droits sont effectivement susceptibles de rassurer le client en
lui donnant un sentiment de maîtrise sur ses données, dans les faits, leur efficacité est quelque
peu artificielle quand il s’agit de les exercer auprès d’une banque.
220. Prenons l’exemple du droit à l’effacement des données prévu à l’article 17 du RGPD.
Ce droit, permet à tout individu d’obtenir du responsable de traitement l’effacement de ses
données pour six motifs énumérés, mais prévoit presque autant d’exceptions (cinq)260. Parmi
les motifs susceptibles de donner droit à l’effacement des données figure notamment le fait
que les données ne soient plus nécessaires au regard des finalités du traitement ou que
l’individu ait retiré son consentement sur lequel était fondé le traitement.261
221. Cette disposition semble relativement vide de sens puisqu’en réalité, les responsables
de traitements ont l’obligation de spontanément effacer les données dans ces circonstances
au risque d’être en non-conformité avec les principes de pertinence et licéité des traitements,
Les délais prévus au 3 de l'article 12 du règlement (UE) 2016/679 du 27 avril 2016 susvisé sont suspendus
lorsque le responsable du traitement ou le sous-traitant a sollicité des informations supplémentaires
nécessaires pour identifier la personne concernée.
Lorsqu'il existe un doute raisonnable sur l'identité du demandeur ou sur l'adresse postale à laquelle la
personne concernée a demandé la transmission par écrit d'informations la concernant, la réponse peut être
expédiée sous pli recommandé sans avis de réception, la vérification de l'adresse et de l'identité s'effectuant
lors de la délivrance du pli.
Lorsque le responsable du traitement, le sous-traitant ou le délégué à la protection des données n'est pas connu
du demandeur, celui-ci peut adresser sa demande au siège ou à l'adresse électronique fonctionnelle de la
personne morale, de l'autorité publique, du service ou de l'organisme dont le traitement relève. La demande
est transmise immédiatement au responsable du traitement.
La demande peut être également présentée par une personne spécialement mandatée à cet effet par le
demandeur, si celle-ci justifie de son identité et de l'identité du mandant, de son mandat ainsi que de la durée
et de l'objet précis de celui-ci. Le mandat doit également préciser si le mandataire peut être rendu destinataire
de la réponse du responsable du traitement ou du sous-traitant ».
259
La CNIL a récemment publié ses recommandations en ce qui concerne l’exercice des droits sur les données
personnelles par mandat. Voir la délibération de la CNIL n°2021-070 du 27 mai 2021 portant adoption d’une
recommandation relative à l’exercice des droits par l’intermédiaire d’un mandataire. Il y est précisé qu’une
pièce d’identité peut être demandé lorsque le prestataire connait le client sous son identité régalienne, comme
c’est le cas des banques.
260
Voir l’article 17 du Règlement (UE) 2016/ 679 du parlement européen et du conseil du 27 avril 2016.
BANCK A., « Neuf idées préconçues sur le Règlement européen relatif à la protection des données », Revue
261
Banque n°810, 2017
Page 90 sur 317

qui supposent que seules les données nécessaires aux traitements soient traitées et que
chaque traitement ait une base légale, en l’occurrence, le consentement de l’utilisateur. Cela
revient donc en quelque sorte à avoir un droit à ce que la réglementation soit respectée, ce
qui a peu de sens.
222. Si nous regardons cette fois-ci les exceptions au droit à l’effacement des données,
figurent notamment le fait que les données soient nécessaires au respect d’une obligation
légale et le fait qu’elles soient nécessaires à la constatation, la défense ou l’exercice de droits
en justice262.
223. En ce qui concerne les banques, ces deux exceptions font donc obstacle à ce qu’un
client puisse obtenir la suppression des données liées à ses paiements et revenus, à son
identité, à ses coordonnées, à sa situation patrimoniale, à ses correspondances avec sa
banque. L’exercice est bien plus aisé dans l’autre sens, seules les données qui pourraient
être utilisées pour des services annexes ayant supposé le consentement du client pourront en
réalité être effacées, du moins tant que ce dernier reste client de la banque, et le cas échéant
jusqu’à cinq ans après la fin de la relation contractuelle.
224. Le rapport annuel de la CNIL concernant 2019263 fait état d’une hausse de 27% des
plaintes par rapport à 2018 pour un total de 14137 plaintes reçues en 2019. Sachant que le
rapport précédent indiquait déjà une hausse de 32% des plaintes264, il semblerait donc qu’en
dépit du peu de marge de manœuvre offert en ce qui concerne le droit de suppression, les
individus ont bien compris que l’entrée en application du RGPD leur offrait une réelle
opportunité de rééquilibrer leurs rapports de force avec les responsables de traitement.
225. Le recours aux algorithmes semble exacerber cette prise de conscience des individus
quant à la nécessité de protection de leur vie privée comme le souligne la CNIL dans son
rapport annuel 2020. En effet, grâce à cette pratique, certains acteurs sont désormais en
262
Article 17 du RGPD.
263
CNIL, « Rapport annuel 2020 concernant l’année 2019 », 2020. Le rapport est disponible en ligne à
l’adresse suivante :
https://www.cnil.fr/sites/default/files/atoms/files/cnil_-_41e_rapport_annuel_-_2020.pdf, consulté le
11/03/2022.
264
CNIL, « Rapport annuel 2019 oncernant l’année 2018 », 2019. Le rapport est disponible à l’adresse
suivante : https://www.cnil.fr/sites/default/files/atoms/files/cnil-40e_rapport_annuel_2019.pdf,consulté le
11/03/2022.
Page 91 sur 317

mesure d’obtenir un volume d’informations suffisamment élevé pour établir des profils
particulièrement détaillés. Or, l’établissement de tels profils peut révéler des informations
que les individus ne souhaitaient pas exposer265. Dans le domaine bancaire, le recours aux
algorithmes et à la pratique du profilage fait donc naturellement naître certaines craintes au
regard de la nature et du volume des données traitées.
265
Extrait du rapport 2020 de la CNIL page 37 : « De nombreux acteurs sont désormais en mesure d’accumuler
suffisamment d’informations pour créer des profils individuels très détaillés, en particulier grâce à la
multiplication des sources de collecte. Ces profils peuvent produire, au fil du temps, une « image » complète
et plus ou moins exacte des internautes, voire révéler des informations qu’ils n’auraient pas choisi d’exposer.
»
Page 92 sur 317

SECTION II – LES CRAINTES RELATIVES AUX ALGORITHMES
226. Riches d’un patrimoine informationnel conséquent au sujet de leur clientèle, les
banques ont rapidement été confrontées à la problématique de l’exploitation des données
contenues dans leurs bases de données, et se sont tournées pour ce faire vers les algorithmes
et l’intelligence artificielle266.
227. Dans le cadre d’une étude sur la révolution numérique dans le secteur bancaire
français, réalisée en 2017, l’ACPR267 indiquait que les algorithmes représentaient alors les
investissements les plus importants des banques françaises268. Parmi les techniques les plus
utilisées figurent sans surprise les solutions de traitement automatique de documents par
reconnaissance du texte et le traitement automatique du langage naturel pour l’analyse
automatique de documents, ainsi que les expérimentations autour de la blockchain, que les
banques ont pourtant longtemps considérées comme une menace269.
228. Si ces solutions permettent aux banques de gagner en efficacité et, souvent,
d’améliorer l’expérience client, leur développement exponentiel en l’absence d’un cadre
juridique clair engendre de nombreux questionnements notamment sur l’éthique de
l’intelligence artificielle et la gouvernance des algorithmes270. C’est dans ce contexte que
l’ACPR a initié en 2018 des travaux sur la gouvernance des algorithmes d’intelligence
artificielle dans le secteur financier ayant donné lieu à un premier document de réflexion en
2018271 puis un rapport en juin 2020 en vue d’une consultation272.
266
BLANC P., « L’IA et les banques, entre foisonnement et interrogations », Revue Banque n°825, 2018
267
ACPR, « Étude sur la révolution numérique dans le secteur bancaire français », 2018, disponible à l’adresse
suivante : https://acpr.banque-france.fr/communique-de-presse/lacpr-publie-les-resultats-de-son-etude-sur-la-
transformation-numerique-dans-les-secteurs-francais,consulté le 11/03/2022.
268
ACPR, « Étude sur la révolution numérique dans le secteur bancaire français », actualisée en 2018, page 6
269
CAPRIOLI E., « La blockchain ou la confiance dans une technologie », Lexisnexis Revue JCP G Semaine
Juridique numéro 23 pages 1162-1163, 2016 ; DOUVILLE T. et VERBIEST T, « Blockchain et tiers de
confiance : incompatibilité ou complémentarité ? », Recueil Dalloz 2018 p.1144
270
WILSON S., « Quand l’algorithme pêche la donnée personnelle », Banque & Stratégie n°360, 2017
271
ACPR, « Intelligence artificielle : enjeux pour le secteur financier », site de l’ACPR, 2018, disponible à
l’adresse suivante:
https://acpr.banquefrance.fr/sites/default/files/medias/documents/2018_12_20_intelligence_artificielle_fr_0.p
df,consulté le 11/03/2022.
DE RAVEL D’ESCLAPON T., « La gouvernance des algorithmes dans le secteur financier - Le point de
272
vue de l'ACPR », RD bancaire et fin. n° 4, Juillet 2020, étude 12
Page 93 sur 317

229. Les propositions figurant dans ce rapport pourraient contribuer à améliorer la
confiance de la clientèle des banques dont les craintes sont principalement perceptibles au
regard des techniques de profilage (§1) et des conséquences juridiques que peuvent avoir
pour eux les décisions reposant sur des algorithmes (§2).
§ 1 - LE PROFILAGE
230. La notion de profilage est définie par le RGPD à son article 4273 comme « toute forme
de traitement automatisé de données à caractère personnel consistant à utiliser des données
à caractère personnel pour évaluer certains aspects personnels relatifs à une personne
physique, notamment pour analyser ou prédire des éléments concernant le rendement au
travail, la situation économique, la santé, les préférences personnelles, les intérêts, la
fiabilité, le comportement, la localisation ou les déplacements de cette personne physique ».
231. Plus simplement, il s’agit d’établir automatiquement le profil d’un individu sur la base
d’un certain nombre de ses données à caractère personnel. Comme toujours en matière de
données, plus les données seront volumineuses, plus le profil sera, en principe, fiable.
Comme beaucoup d’entreprises, les banques s’appuient beaucoup sur des techniques
d’analyse et de prédiction, principalement à des fins marketing, pour segmenter leur clientèle
et leur adresser des contenus et offres personnalisés par segment ou, pour certaines banques,
par personne, mais aussi à des fins d’analyse de risque, pour identifier si tel individu est un
profil à risque ou non avant de lui octroyer un crédit.
232. Si l’analyse et la prédiction réalisées sur un ensemble d’individus ne relèvent pas, à

strictement parler, du profilage, les analyses et prédictions à la maille de l’individu, elles,
sont clairement visées par les dispositions du RGPD relatives au profilage274. Le profilage,
en ce qu’il permet de fournir aux clients un service très personnalisé, sous réserve de détenir
un maximum de données les concernant, se retrouve donc, de fait, au centre de ce paradoxe
273
274
Lignes directrices du G29 sur le profilage et les décisions automatisées du 6 février 2018, disponibles en
ligne à l’adresse suivante : https://www.cnil.fr/sites/default/files/atoms/files/wp251_profilage-fr.pdf,consulté
le 11/03/2022.
Page 94 sur 317

observé chez les individus quant à leur désir de protection de leur vie privée et de
personnalisation (A). Par ailleurs, le profilage est au centre d’une question intéressante en
ce qui concerne la confiance de la banque dans son client : est-elle accordée au client ou à
son profil ? (B)
A - LE PARADOXE DU PROFILAGE
233. Pour constituer le profil d’un client, la banque va s’appuyer sur de nombreuses
données qui auront soit été fournies directement par le client, par le biais de formulaires, de
pièces justificatives ou d’échanges avec son conseiller. Soit issues de l’analyse de son
comportement, en analysant les contenus qu’il consulte le plus dans son espace personnel
bancaire ou sa fréquence de connexion par exemple. La tentation d’utiliser les données issues
des profils de réseaux sociaux des individus peut également être forte, mais les banques n’y
sont pas autorisées, quand bien même les données seraient publiques275.
234. Ces techniques ont vocation à établir un profil le plus fiable possible du client pour
que la banque puisse ensuite optimiser et personnaliser les parcours et offres qui lui sont
adressés, ou, dans le cadre de l’analyse de risque, pour déterminer si le client est éligible à
un produit276.
235. Comme dans beaucoup de secteurs, les clients sont donc tiraillés entre leur volonté de
préserver la confidentialité de certaines informations les concernant et obtenir un service des
plus personnalisé. Pour ces nombreuses raisons, le recours au profilage est fortement encadré
par la réglementation au travers de deux mesures censées garantir la protection de la vie
privée des individus.
236. Au regard des propos de la CNIL au sujet du profilage277, il semble que le principal
risque qu’elle y associe concerne les prédictions qui en sont issues et les conséquences
qu’elles peuvent avoir pour les individus. En effet, sans parler à ce stade des conséquences
275
MARTIAL BRAZ N., « L'apport de l'intelligence artificielle à la banque - Enjeux et contraintes en matière
de données à caractère personnel », RD bancaire et fin. n° 6, Novembre 2019, dossier 53
276
BASDEVANT A., MIGNARD J. P., « Big Data et intelligence artificielle Les algorithmes deviennent les
nouveaux oracles », Banque et Droit n°HS-2018-2, 2018
277
CNIL, « Profilage et décision entièrement automatisées », site internet de la CNIL, 2018
Page 95 sur 317

que pourront avoir ces prédictions, on peut aisément supposer que dans un contexte
entièrement distant, la connaissance qu’a la banque dans son client se résume à ce que
contient son profil et peut donc, par définition, être faussée, de même que la relation de
confiance qui peut en être issue.
B - DE LA CONFIANCE DANS SON CLIENT A LA CONFIANCE DANS SON PROFIL
237. La diminution des échanges directs entre le client et son conseiller rend presque
impossible l’établissement d’une confiance individuelle entre le client et sa banque puisque
dans une configuration distante, le client va généralement chercher à être autonome dans la
gestion de son dossier en réalisant lui-même ses actes de gestion depuis son espace
personnel. La banque va néanmoins avoir besoin, d’une manière ou d’une autre, de connaître
au mieux son client si elle souhaite être en mesure de lui proposer un service optimisé et
personnalisé. Pour ce faire, elle va s’appuyer sur son profil client, constitué grâce aux
informations issues des formulaires qu’il aura complétés, des correspondances entre celui-
ci et sa banque. Dans les cas les plus extrêmes, la personne du client se résumera, pour la
banque, à son profil.
238. Il arrivera pourtant certainement un moment où la banque devra se poser la question

de la confiance qu’elle a dans son client, dans la majorité des cas, pour savoir si elle peut ou
non lui accorder un crédit. Dans une telle situation, à défaut de rencontrer réellement son
client pour étudier son dossier, la banque n’accordera alors sa confiance non pas à son client
mais bien à son profil, qui peut, si les données d’origine sont erronées, être plus ou moins
faussé278…
239. La pratique du profilage dans un contexte distant a ainsi une conséquence inévitable :
la confiance de la banque va être attachée au profil établi et non plus au client lui-même.
Réciproquement, le client pourra donc légitimement se méfier des décisions prises par sa
banque sur la base de son profil.
278
PERRAY R., « Données à caractère personnel. Principes fondamentaux relatifs aux traitements de données
à caractère personnel. Exactitude », J. Cl. Communication, Fasc. 932-40, 2020
Page 96 sur 317

240. Par ailleurs, l’établissement d’un profil peut, comme la rappelle la CNIL dans son
rapport annuel 2020279, impliquer le croisement de données issues de plusieurs sources, dont
certaines pourraient être moins fiables que d’autres. À ce titre le principe d’exactitude280
posé par le RGPD à son article 5, trouve tout son sens, les risques associés à une mauvaise
décision pouvant être particulièrement conséquents pour un individu. Dans les lignes
directrices n°4/2019 du CEPD relatives à l’article 25 « Protection des données dès la
conception et protection des données par défaut » adoptées le 20 octobre 2020, le CEPD
prend l’exemple d’un diagnostic médical établit manuellement ou automatiquement qui
pourrait être ainsi faussé281.
241. Pour autant, le respect du principe d’exactitude ne signifie cependant pas que toutes
les données personnelles relatives à un individu soient effectivement exactes ou à jour à tout
moment, un certain délai pouvait s’écouler entre un changement de situation et
l’actualisation des données à la demande du responsable de traitement ou spontanément par
l’individu concerné. Certains individus peuvent d’ailleurs délibérément choisir de renseigner
des informations fausses.
242. La banque a donc tout intérêt à être extrêmement rigoureuse dans le contrôle de la
qualité des données traitées, particulièrement lorsqu’il s’agit d’utiliser des outils visant à
prendre des décisions automatisées.
279
CNIL, « Rapport annuel 2020 concernant l’année 2019 », 2020, page 37. Le rapport est disponible en ligne
à l’adresse suivante :
https://www.cnil.fr/sites/default/files/atoms/files/cnil_-_41e_rapport_annuel_-_2020.pdf, consulté le
11/03/2022.
280
Ce principe impose aux responsables de traitement de faire en sorte que les données traitées soient exactes
et maintenues à jour.
281
Lignes directrices n°4/2019 du CEPD relatives à l’article 25 - Protection des données dès la conception et
protection des données par défaut adoptées le 20 octobre 2020, page 27 : « Les exigences doivent être
considérées au regard des risques et des conséquences associés à l’utilisation concrète des données. Des
données à caractère personnel inexactes pourraient constituer un risque pour les droits et libertés des
personnes concernées, par exemple lorsqu’elles conduisent à un diagnostic erroné ou à un traitement injustifié
dans un protocole de santé, ou si l’image incorrecte d’une personne peut donner lieu à des décisions fondées
sur une base erronée, que ces décisions soient prises manuellement, par un système de décision automatisé ou
par une intelligence artificielle. »
Page 97 sur 317

§ 2 - LES DECISIONS ENTIEREMENT AUTOMATISEES
243. À la différence du profilage, les décisions entièrement automatisées ne sont pas

formellement définies dans le RGPD, sans doute parce que leur définition semble plus
évidente qu’elle ne l’est pour le profilage. En effet, sans surprise, la CNIL nous indique qu’il
s’agit de “décisions prises à l’égard d’une personne, par le biais d’algorithmes appliqués à
ses données personnelles, sans qu’aucun être humain n’intervienne dans le processus282 ”.
En résumé, il s’agit donc d’une décision prise en toute autonomie par une machine.
244. Les décisions automatisées sont elles aussi à l’origine d’une certaine méfiance de la
clientèle bancaire au regard des conséquences qu’elles peuvent avoir sur leurs droits. En
effet, le fait qu’un individu se voit opposer un refus à une demande de crédit, ou à une
demande de mise à disposition d’un moyen de paiement par un ordinateur revient à ce qu’une
machine le prive d’un droit, et ce pour des raisons potentiellement erronées. Les risques de
discrimination associés à l’intelligence artificielle, qu’ils soient volontaires, au travers d’un
paramétrage discriminatoire, ou accidentels, font d’ailleurs parti des risques principaux mis
en exergue par le débat public mené par la CNIL en 2017 intitulé « comment permettre à
l’homme de garder la main ? les enjeux éthiques des algorithmes et de l’intelligence
artificielle283 ».
245. Dans l’hypothèse où un individu se verrait opposer une décision discriminatoire issue
d’une IA, il pourra être particulièrement difficile pour ce dernier de contester la décision s’il
n’a pas connaissance de la logique sous-jacente qui a conduit à la décision qui lui est imposée
(A). Ces mêmes logiques sous-jacentes pourraient aussi, dans certains cas, augmenter ses
chances d’obtenir une décision favorable(B).
282
Ibid.
283
Le rapport du débat public mené par la CNIL en 2017 intitulé « comment permettre à l’homme de garder la
main ? les enjeux éthiques des algorithmes et de l’intelligence artificielle » est disponible à l’adresse suivante :
https://www.cnil.fr/sites/default/files/atoms/files/cnil_rapport_garder_la_main_web.pdf,consulté le
11/03/2022.
Page 98 sur 317

A - LA TRANSPARENCE DES LOGIQUES SOUS-JACENTES
246. Les responsables de traitement sont tenus de dévoiler « des éléments utiles »
concernant la logique sous-jacente de leurs algorithmes conformément à l’article 13 du
RGPD, portant sur l’obligation de transparence 284 . De manière générale, contester une
décision suppose, en effet, pour celui à qui elle est opposée, de connaître les raisons de cette
décision pour pouvoir réfuter la validité des arguments. Quand cette décision a été prise par
un individu, sans l’assistance d’un algorithme quelconque, les données prises en compte
dans cette décision sont en principe limitées par les capacités humaines de ce dernier et la
logique retenue pour aboutir à ladite décision est rarement très compliquée.
247. Dans le secteur bancaire pourtant, la transparence de la logique ayant abouti à la

décision n’est pas toujours évidente, notamment quand il s’agit d’un crédit. En effet, l’étude
des demandes de crédit suppose, pour les banques, l’application de ce qu’elles appellent le
« crédit scoring », une grille de calcul associée à un certain nombre de critères qui permet à
ces dernières de déterminer le niveau de solvabilité du client. Or, si certains éléments pris
en compte dans l’évaluation des demandes de crédit sont connus de tous, comme le montant
du reste à vivre, le taux d’endettement et un fichage éventuel au FICP, la liste complète des
critères pris en comptes et la valeur accordée à ces derniers est confidentielle et propre à
chaque banque.
248. Si le dossier est également étudié par un conseiller, il est possible que des éléments
non compris dans le dossier conduisent à l’acceptation du dossier malgré un score limité, ce
qui ne sera pas le cas si la décision est entièrement prise automatiquement. Pour éviter une
284
DE RAVEL D’ESCLAPON t., « Transparence et intelligence artificielle – Libres propos en droit
bancaire ? », Banque et Droit n°192, 2020 ; La CADA avait été amenée à se prononcer concernant la
plateforme « Admissions Post Bac » dans un avis du 10 janvier 2019 (n° 20184400). A cette occasion, il avait
été rappelé que même les services de l’éducation sont concernés par cette obligation et se doivent donc de
renseigner les étudiants qui demandent des renseignements sur le traitement de leur dossier : « La commission
estime toutefois, d’une part, que si ces dispositions du cinquième alinéa de l’article L612-3 du code de
l’éducation dispensent les établissements concernés de l’obligation de diffusion en ligne des règles définissant
les principaux traitements algorithmiques utilisés dans l'accomplissement de leurs missions lorsqu'ils fondent
des décisions individuelles par les établissements dispensant une formation d'enseignement supérieur, elles
n’interdisent pas que ces établissements en assurent une diffusion spontanée. Elle estime également, d’autre
part, que le droit d’accès spécial instauré par le législateur, au bénéfice des candidats qui en font la demande,
aux informations relatives aux critères et modalités d'examen de leurs candidatures ainsi qu'aux motifs
pédagogiques qui justifient la décision prise, doit leur permettre de connaître de façon complète et effective
ces critères, modalités et motifs, ce qui peut inclure, le cas échéant, une information relative à un ou plusieurs
éléments du traitement algorithmique. »
Page 99 sur 317

telle situation, l’article 22 du RGPD encadre le recours aux décisions entièrement
automatisées285 en instaurant un droit de ne pas faire l’objet d’une telle décision. Ainsi, un
individu qui se voit opposer un refus de crédit issu d’une décision entièrement automatisée
pourra la contester et demander un réexamen humain de son dossier.
249. En cas de refus de crédit, il nous semble logique que l’individu cherche à connaître le
motif de ce refus, notamment pour que ce dernier puisse améliorer sa situation avant de
renouveler sa demande. Cependant, la CNIL rappelle aux individus concernés que les
banques sont libres de contractualiser ou non avec tout individu en vertu du principe général
de liberté contractuelle prévu par l’article 1101 du Code Civil286 et qu’elles ne sont donc pas
non plus tenues de dévoiler le motif de leur refus en cas de décision défavorable287.
B - LE PARADOXE DE LA MEFIANCE DANS L’INTELLIGENCE ARTIFICIELLE
250. Bien que largement popularisée par les œuvres de sciences-fictions depuis des
décennies, l’intelligence artificielle est une réalité encore trop récente pour que la plupart
des individus puissent s’en faire une opinion exempte des biais induits par les œuvres telles
que celles d’Isaac ASIMOV, l’auteur du cycle des fondations. Dans ces mêmes œuvres,
d’ailleurs, si l’on passe outre le fait que l’intelligence artificielle ait presque toujours
l’annihilation de l’humanité comme dessein, on trouve certains éléments très intéressants au
285
Règlement (UE) 2016/ 679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des
286
Article 1101 du Code Civil : « Le contrat est un accord de volontés entre deux ou plusieurs personnes
destiné à créer, modifier, transmettre ou éteindre des obligations ».
287
CNIL, « Le refus de crédit en question », site internet de la CNIL, 2018
Page 100 sur 317

regard de nos problématiques actuelles sur l’éthique de l’intelligence artificielle288, telles
que les trois lois de la robotique d’ASIMOV289.
251. De la même manière, les décisions entièrement automatisées semblent être souvent
associées à un risque de discrimination, mais qu’en est-il réellement ? En matière de crédit,
le crédit scoring prend en compte un nombre de critères prédéterminés. Si le client a de
mauvais résultats au regard de ces critères, son dossier sera très probablement refusé, ou, s’il
est accepté, sera conditionné à un taux d’intérêt très élevé.
252. Pourtant, il est possible qu’au regard d’autres critères, non pris en compte dans le crédit
scoring en question, son dossier emprunteur soit en réalité bien meilleur. Il n’est d’ailleurs
pas rare qu’un même individu présente le même dossier à des banques différentes et que
certaines l’acceptent alors que d’autres le refusent, précisément en raison de ces divergences
de critères pris en compte. Les algorithmes ayant des capacités de traitement de données
virtuellement illimitées, on pourrait imaginer que ces derniers soient améliorés pour prendre
en compte davantage de données dans ce score, fiabilisant par la même occasion leurs
décisions.
253. La proposition de Règlement du Parlement européen et du Conseil du 21 avril 2021

établissant des règles harmonisées concernant l’intelligence artificielle290 constituera en tout
cas un premier socle pour encourager la confiance des individus dans l’intelligence
artificielle. La proposition de Règlement classe notamment les différents systèmes
d’intelligence artificielle par niveau de risque, en commençant par interdire tous les systèmes
pouvant constituer des menaces évidentes pour les citoyens de l’UE. Les autres systèmes
sont répartis dans trois catégories : haut risque, risque limité et risque minimal.
288
En 2018, la faculté de droit de La Rochelle et son laboratoire de droit, le Centre d’Études Juridiques et
Politiques (CEJEP) avait justement organisé un colloque sur le thème « Numérique, éthique et droit » traitant
de ces problématiques. Le programme est disponible en ligne à l’adresse suivante : https://univ-
droit.fr/actualites-de-la-recherche/manifestations/25743-numerique-ethique-et-droit,consulté le 11/03/2022.
289
Les trois lois de la robotique énoncées par Isaac ASIMOV dans sa nouvelle « Cycles fermés » publiée en
1942 sont les suivantes : « Un robot ne peut porter atteinte à un être humain ni, restant passif, laisser cet être
humain exposé au danger ; Un robot doit obéir aux ordres donnés par les êtres humains, sauf si de tels ordres
entrent en contradiction avec la première Loi ; Un robot doit protéger son existence dans la mesure où cette
protection n'entre pas en contradiction avec la première ou la deuxième Loi. »
290
Proposition de Règlement du Parlement européen et du Conseil établissant des règles harmonisées
concernant l’intelligence artificielle (législation sur l’intelligence artificielle) et modifiant certains actes
législatifs de l’union, du 21 avril 2021
Page 101 sur 317

254. Les systèmes de crédit scoring figurent dans la catégorie « haut risque » de même que
les systèmes d’intelligence artificielle liés à l’administration de la justice, à la formation
scolaire ou professionnelle, et aux services publics et privés essentiels. Ainsi, dans le
domaine bancaire, les individus auront la garantie que les systèmes d’intelligence artificielle
liés à l’accord de crédit seront soumis à des contrôles rigoureux. La proposition de
Règlement prévoyant, en effet, pour les systèmes à haut risque, une procédure d’évaluation
initiale et continue 291 visant à renforcer la confiance des clients des entreprises qui y
recourent292.
255. En synthèse, il est indéniable que l’IA offre de nombreuses perspectives au secteur
bancaire, tant aux banques qu’à leurs clients, sous réserve d’un encadrement juridique et de
pratiques qui soient vecteurs de confiance. À ce titre, la nouvelle proposition de Règlement
Européen pour un cadre juridique harmonisé sur l’Intelligence Artificielle s’avéra
291
Extrait de l’exposé des motifs de la Proposition de Règlement, page 2 : « La proposition établit une méthode
solide d’évaluation du risque permettant de recenser les systèmes d’IA dits « à haut risque » qui présentent des
risques importants pour la santé, la sécurité ou les droits fondamentaux des personnes. Les systèmes d’IA en
question devront satisfaire à un ensemble d’exigences obligatoires horizontales garantissant une IA digne de
confiance et faire l’objet de procédures d’évaluation de la conformité avant de pouvoir être mis sur le marché
de l’Union. » ; Article 43 de la proposition de règlement : « Pour les systèmes d’IA à haut risque énumérés à
l’annexe III, point 1, lorsque, pour démontrer la conformité d’un système d’IA à haut risque avec les exigences
énoncées au chapitre 2 du présent titre, le fournisseur a appliqué les normes harmonisées visées à l’article 40
ou, le cas échéant, les spécifications communes visées à l’article 41, il suit l’une des procédures suivantes:
(a) la procédure d’évaluation de la conformité fondée sur le contrôle interne visée à l’annexe VI ;
(b) la procédure d’évaluation de la conformité fondée sur l’évaluation du système de gestion de la qualité et
l’évaluation de la documentation technique, avec l’intervention d’un organisme notifié, visée à l’annexe VII.
Lorsque, pour démontrer la conformité d’un système d’IA à haut risque avec les exigences énoncées au
chapitre 2 du présent titre, le fournisseur n’a pas appliqué ou n’a appliqué qu’en partie les normes
harmonisées visées à l’article 40, ou lorsque ces normes harmonisées n’existent pas et que les spécifications
communes visées à l’article 41 font défaut, le fournisseur suit la procédure d’évaluation de la conformité
prévue à l’annexe VII.
Aux fins de la procédure d’évaluation de la conformité visée à l’annexe VII, le fournisseur peut choisir
n’importe lequel des organismes notifiés. Toutefois, lorsque le système est destiné à être mis en service par les
autorités répressives, les services de l’immigration ou les autorités compétentes en matière d’asile ainsi que
les institutions, organes ou agences de l’UE, l’autorité de surveillance du marché visée à l’article 63,
paragraphe 5 ou 6, selon le cas, agit en tant qu’organisme notifié »
292
Extrait de l’exposé des motifs de la Proposition de Règlement, page 12 : « La présente proposition établit
des obligations qui s’appliqueront aux fournisseurs et aux utilisateurs de systèmes d’IA à haut risque. Pour
les fournisseurs qui développent de tels systèmes et les mettent sur le marché de l’Union, elle créera une
sécurité juridique et garantira qu’aucun obstacle ne puisse empêcher la fourniture transfrontière de services
et de produits liés à l’IA. Pour les entreprises qui ont recours à l’IA, elle contribuera à instaurer un climat de
confiance auprès de leurs clients. »
Page 102 sur 317

certainement centrale, reste à savoir s’il sera suffisant pour générer la confiance numérique
attendue.
Page 103 sur 317

256. Le sujet de la connaissance client, autrefois purement réglementaire, prend une tout
autre dimension dans l’environnement numérique actuel, où la personnalisation est un levier
business important pour les banques.
257. En effet, les différents traitements de données mis en place par les banques en vue de
mieux connaître leur clientèle, peuvent, outre le fait de répondre à des exigences
réglementaires, permettent aux banques de personnaliser leurs services et d’ainsi offrir un
service sur mesure à leur clientèle, ainsi que d’anticiper efficacement des moments de vie à
l’occasion desquels elles peuvent mettre en avant leurs propres produits avant que leur
clientèle ne se rapproche de la concurrence.
258. La tentation est donc naturellement forte, pour les banques, de saisir les opportunités
dont elles disposent en matière de traitements de donnée à caractère personnel, d’autant plus
au regard du large éventail de données qu’elles sont à même de récolter grâce à la nature de
leur relation avec leurs clients, qui est par ailleurs protégée par le secret bancaire.
259. Pourtant, la personnalisation est un terrain glissant, puisqu’il se trouve au centre du

fameux paradoxe souvent observé chez les individus, qui souhaitent un service personnalisé
mais sont réticents quant au partage de leurs données. Tout l’enjeu pour les banques repose
donc dans l’accompagnement de leurs clients en la matière en vue de leur montrer qu’ils
peuvent faire confiance à leur banque pour protéger leurs données.
260. À ce titre, il semble important que les individus conservent la pleine maîtrise de leurs
données, en étant correctement informés quant aux différents traitements établis, et en restant
libre de consentir ou non aux traitements de données que souhaitent mettre en place leurs
banques.
261. Cependant, le consentement n’est qu’une des six bases légales pouvant justifier un
traitement de données en vertu du RGPD, et il semble que dans le cadre de leur relation
contractuelle, les clients n’aient que peu de marge de manœuvre en la matière, peu de
traitements reposant finalement sur un consentement exprès, sauf bien sûr à ce que les
banques acceptent de conditionner certains traitements à un consentement, quand bien même
elles pourraient s’appuyer sur une autre base légale.
Page 104 sur 317

262. La question des traitements de données mis en place par les banques pose également
question en ce qui concerne le recours aux techniques de profilages, qui consistent comme
leur nom l’indique, à établir un profil de l’individu, en vue de prévoir son comportement ou
d’en déduire des préférences. Si cette pratique est loin d’être nouvelle dans le domaine
bancaire, puisqu’elle est notamment au centre du processus d’octroi de crédit avec le recours
au crédit scoring, elle pose question quand elle est mise en place dans une relation
entièrement distante.
263. En effet, dans une telle situation, tout ce que connaît la banque de son client peut être
réduit à son profil, aussi est-il essentiel pour les banques de prendre grand soin à s’assurer
que les données à la base desdits profils soient justes. Moyennant le respect de ce prérequis
essentiel, et la fourniture des informations requises au client, le profil d’un individu pourrait,
demain, constituer son jumeau numérique et offrir de vraies opportunités pour les clients et
leurs banques en environnement numérique.
Page 105 sur 317

CONCLUSION DU TITRE
265. La question de la confiance numérique entre la banque et son client au stade de l’entrée
en relation semble bel et bien être primordiale dans un contexte numérique sans échange en
face-à-face, d’autant plus au regard des obligations légales qui pèsent sur les banques en
matière d’identification de leurs clients.
266. Aussi, il est naturel que les banques s’intéressent de près aux outils d’identification
numérique et aux différents travaux de l’Union Européenne en la matière. En effet, si des
solutions existent aujourd’hui, tels que les moyens d’identification électronique encadrés par
le règlement eIdas, les espoirs que pouvaient nourrir les banques en la matière ne semblent
pas encore avoir trouvé leur réponse, notamment en raison des difficultés liées à l’attribution
initiale des moyens d’identification électronique.
267. Outre la question de l’identification électronique, le fait que les banques soient par
ailleurs tenues de bien connaître leurs clients au titre du KYC nécessite la mise en place, par
ces dernières, de nombreux traitements de données à caractère personnel et le recours au
profilage.
268. Or, il semble que ces techniques, qui visent à renforcer la confiance des banques dans
leurs clients, soient-elles même source, au contraire, de méfiance des clients envers leurs
banques, qui peuvent avoir l’impression de perdre la maîtrise de leurs données à caractère
personnel, qui sont, dans ce contexte, amenées à figurer dans de nombreux fichiers.
269. Les efforts des banques pour rassurer leurs clients et leur offrir autant de maîtrise que
possible sur leurs données à caractère personnel sont donc essentiels pour générer de la
confiance numérique au stade de l’entrée en relation.
Page 106 sur 317

TITRE II - CONFIANCE NUMERIQUE
ET PERFECTION DU CONTRAT
Page 107 sur 317

270. Au-delà du sujet de l’identification distante des parties, la confiance entre la banque et
son client se construit, plus globalement, sur la base d’un processus contractuel très
rigoureux, au cours duquel la banque doit fournir à son client un nombre conséquent
d’informations débouchant à terme sur la manifestation ultime de la confiance que le client
accorde à la banque : son consentement à la conclusion du contrat.
271. À l’inverse, on pourrait considérer que le fait que la banque accepte, compte tenu des
justificatifs fournis, de contractualiser avec un individu, est une manifestation là aussi de la
confiance de la banque dans ce dernier. Cependant, l’existence du droit au compte293 instauré
par l’article L312-1 du code monétaire et financier294 limite grandement ce constat dans la
mesure où la Banque de France peut imposer à un établissement d’ouvrir un compte pour un
individu295.
272. Que l’entrée en relation intervienne à distance ou en face-à-face, les banques remettent
à leurs clients et prospects un certain de nombre de documents comportant une quantité
relativement importante d’informations dont ces derniers doivent prendre connaissance.
Dans le cadre de l’ouverture d’un compte de dépôt par exemple, les articles L312-1-1296 et
293
Le droit au compte a été instauré par la Loi bancaire du 24 janvier 1984. Il vise à permettre à tout individu
d’obtenir l’ouverture d’un compte bancaire.
294
Voir les dispositions du III de l’article L312-1 du Code Monétaire et Financier.
CASSON P. et TOUFFLET J., “Compte bancaire. Généralités. Compte de dépôt », J. Cl. Banque-Crédit-
295
Bourse, Fasc. 200, 2021 ; MAYMONT A., « La liberté contractuelle du banquier : un droit fondamental ? »,
RD bancaire et fin. n° 6, dossier 37, Novembre 2018
296
Extrait de l’article L312-1 du Code Monétaire et Financier : « I. – Les établissements de crédit sont tenus
de mettre à la disposition, sur support papier ou sur un autre support durable, de leur clientèle et du public
les conditions générales et tarifaires applicables aux opérations relatives à la gestion d'un compte de dépôt,
selon des modalités fixées par un arrêté du ministre chargé de l'économie.
II. – La gestion d'un compte de dépôt des personnes physiques n'agissant pas pour des besoins professionnels
est réglée par une convention écrite, sur support papier ou sur un autre support durable, passée entre le client
et son établissement de crédit.
Les principales stipulations que la convention de compte de dépôt doit comporter, notamment les conditions
générales et tarifaires d'ouverture, de fonctionnement et de clôture, sont précisées par un arrêté du ministre
chargé de l'économie.
Avant que le client ne soit lié par cette convention, l'établissement de crédit lui fournit lesdites conditions sur
support papier ou sur un autre support durable. L'établissement de crédit peut s'acquitter de cette obligation
en fournissant au client une copie du projet de convention de compte de dépôt.
Si, à la demande du client, cette convention est conclue par un moyen de communication à distance ne
permettant pas à l'établissement de crédit de se conformer au précédent alinéa, ce dernier satisfait à ses
obligations aussitôt après la conclusion de la convention de compte de dépôt.
L'acceptation de la convention de compte de dépôt est formalisée par la signature du ou des titulaires du
compte… »
Page 108 sur 317

R312-1297 du Code monétaire et financier exigent la fourniture des conditions générales et
tarifaires, les conditions d’utilisation et de fermeture du compte et les engagements
réciproques de la banque et du client. En pratique, ces informations sont fournies dans des
documents comptant de nombreuses pages, que le client peut parfois ne pas faire l’effort de
lire. Par exemple, les conditions tarifaires du Crédit Agricole en vigueur au 15 janvier 2020
comptent 32 pages298, ce qui est également la taille de la convention de compte de dépôt de
la Société Générale en vigueur au 1e janvier 2021299.
Dans le cadre d’un crédit, les articles L312-12300, L312-28301, L312-29302 et R312-10303 du
Code de la consommation listent également de nombreuses informations à fournir. Les
297
Article R312-1 du Code Monétaire et Financier : « Les établissements de crédit sont tenus de mettre à
disposition de leur clientèle et du public les conditions générales de banque qu'ils pratiquent pour les
opérations qu'ils effectuent.
Lorsqu'ils ouvrent un compte, les établissements de crédit doivent fournir à leurs clients, sur support papier
ou sur un autre support durable, les conditions d'utilisation du compte, le prix des différents services auxquels
il donne accès et les engagements réciproques de l'établissement et du client. »
298
Les conditions tarifaires du Crédit Agricole sont disponibles à l’adresse suivante :
https://www.credit-agricole.fr/content/dam/assetsca/cr835/npc/documents/conditions-
generales/CAL_2020_tarifs_particuliers_2020.pdf,consulté le 11/03/2022.
299
La convention de compte de la Société Générale est disponible à l’adresse suivante :
https://particuliers.societegenerale.fr/static/Particuliers/Medias/Home/Banque/Comptes_bancaires_et_formul
es/Ouvrir_un_compte/Compte-individuel/cg_convention_compte.pdf,consulté le 11/03/2022.
300
Article L312-12 du code de la consommation : « Préalablement à la conclusion du contrat de crédit, le
prêteur ou l'intermédiaire de crédit fournit à l'emprunteur, sous forme d'une fiche d'informations, sur support
papier ou sur un autre support durable, les informations nécessaires à la comparaison de différentes offres et
permettant à l'emprunteur, compte tenu de ses préférences, d'appréhender clairement l'étendue de son
engagement.
La liste et le contenu des informations devant figurer dans la fiche d'informations à fournir pour chaque offre
de crédit ainsi que les conditions de sa présentation sont fixés par décret en Conseil d'Etat.
Cette fiche comporte, en caractères lisibles, la mention indiquée à l'article L. 312-5.
Lorsque le consommateur sollicite la conclusion d'un contrat de crédit sur le lieu de vente, le prêteur veille à
ce que la fiche d'informations mentionnée au premier alinéa lui soit fournie, sur le lieu de vente, sur support
papier, ou tout autre support durable.
Lorsque le prêteur offre à l'emprunteur ou exige de lui la souscription d'une assurance, le prêteur ou
l'intermédiaire de crédit informe l'emprunteur du coût de l'assurance en portant à sa connaissance les éléments
mentionnés à l'article L. 312-7. »
301
Article L312-28 du code de la consommation : « Le contrat de crédit est établi sur support papier ou sur
un autre support durable. Il constitue un document distinct de tout support ou document publicitaire, ainsi que
de la fiche mentionnée à l'article L. 312-12. Un encadré, inséré au début du contrat, informe l'emprunteur des
caractéristiques essentielles du crédit.
La liste des informations figurant dans le contrat et dans l'encadré mentionné au premier alinéa est fixée par
décret en Conseil d'Etat. »
302
Voir l’article L312-29 du code de la consommation.
303
Voir l’article R312-10 du code de la consommation.
Page 109 sur 317

nombreuses informations à fournir sont, dans leur très grande majorité, essentielles. Mais
certaines dispositions sont questionnables quant à la réelle valeur, pour le client, de
l’information communiquée. Il est, par exemple difficilement concevable que l’obligation
d’apposer sur tout support faisant la publicité d’un crédit la mention selon laquelle un crédit
engage celui qui le souscrit et doit donc être remboursé, ce qui suppose que ce dernier vérifie
ses capacités de remboursement avant de s’engager304, ait vraiment vocation à informer le
client305 .
273. Pour que le client s’engage en toute confiance dans une relation contractuelle avec une
banque, il est néanmoins essentiel qu’il dispose des informations nécessaires à la prise d’une
décision éclairée. L’information est à ce titre un vecteur de confiance indéniable, mais à la
condition évidente que celles-ci soient lues et comprises. (Chapitre I). S’agissant cependant
d’informations à fournir obligatoirement par toute banque, quel facteur de confiance
différentiel reste-t-il à disposition de ces dernières, si ce n’est leur réputation ou autres
preuves de confiance accordées par des tiers de confiance ? C’est dans ce contexte que les
banques, tiers de confiance historiques, peuvent être amenées à faire appel, à leur tour, à des
tiers de confiance numérique (Chapitre II).
304
Article L312-5 du code de la consommation : « Toute publicité, à l'exception des publicités radiodiffusées,
contient, quel que soit le support utilisé, la mention suivante : " Un crédit vous engage et doit être remboursé.
Vérifiez vos capacités de remboursement avant de vous engager " »
305
ARCELIN L., « La redondance informative ou le bon sens oublié », Contrats concurrence consommation
n° 5 étude 9, 2011
Page 110 sur 317

CHAPITRE I - L’INFORMATION : VECTEUR DE CONFIANCE
NUMERIQUE EFFICACE ?
274. Le banquier est tenu de fournir de nombreuses informations à ses prospects et clients
au titre de ses devoirs d’information et de conseil306. Ceci en vue de garantir un engagement
du client en toute connaissance de cause sans que ce futur engagement ne soit entaché d’un
quelconque vice de consentement307.
275. L’idée générale semble pleine de bon sens. Le client doit pouvoir avoir confiance dans
sa banque et à ce titre, celle-ci se doit de lui fournir toutes les informations utiles à sa prise
de décision. Cette intention n’est d’ailleurs absolument pas exclusive du domaine bancaire
puisque des dispositions mettant à la charge d’un professionnel une obligation d‘information
sont omniprésentes, de manière générale, dans tous les secteurs régis par le droit de la
consommation308 et en matière contractuelle.
276. Dans le cadre d’une entrée en relation à distance, la plupart des établissements
bancaires se conforment à leurs obligations d’information de manière exclusivement écrite,
demandant à leurs prospects et clients de prendre connaissance, puis de donner leur
consentement à des conditions contenues dans des documents qui dépassent très
fréquemment la dizaine de pages, ce qui peut les dissuader de les lire. Davantage encore
quand l’entrée en relation à distance a été préférée par le client ou prospect dans un objectif
de simplicité et de rapidité309.
306
BOUCARD F., « Les devoirs généraux du banquier », J. Cl Commercial, Fasc. 343, 2002 ; A la différence
de l’obligation d’information, qui concerne la délivrance d’une information objective qui n’est par définition
pas personnalisée, l’obligation de conseil elle tend à éclairer le créancier de l’obligation de conseil quant à sa
propre situation. ; Précisons que si les banques doivent prouver qu’elles ont bien transmises les informations,
elles n’ont pas à prouver qu’elles ont bien été reçues (Cass. Com., 7 janv. 1997 ; Cass. 1re civ., 9 déc. 1997 :
Bull. civ. I, n° 356)
307
CHAUVEL P., « Vices du consentement », J. Cl Contrats – Distribution, Fasc. 45, 2021
308
Voir l’article L111-1 du code de la consommation.
309
PARLEANI G. et ROUAUD A., Digitalisation des banques - Impact de la digitalisation sur la relation
contractuelle – L'entrée en relation, RD bancaire et fin. n° 6, Novembre 2019, dossier 51
Page 111 sur 317

277. Par ailleurs, tenter de véhiculer la confiance par la fourniture d’informations peut
s’avérer très délicat si l’évaluation du niveau de conseil et de l’accompagnement nécessaire
n’est pas rigoureuse (Section I), d’autant plus au regard de la volumétrie d’informations que
les banques sont tenues de fournir aux clients (section II).
SECTION I –LA PERSONNALISATION DU CONSEIL A DISTANCE
278. Les banques sont confrontées à un enjeu de personnalisation de plus en plus important
face à la concurrence des FinTechs et GAFAM, ainsi que l’évolution des attentes des
individus en termes de personnalisation de la relation. Les banques se trouvent ainsi dans
une situation paradoxale dans laquelle leurs clients souhaitent être autonomes grâce aux
outils digitaux, tout en bénéficiant d’une relation personnalisée telle qu’ils pourraient
l’espérer avec un conseiller qui les connaîtrait bien, ce qui implique naturellement de
nombreux traitements de données.
279. Cet enjeu de personnalisation ne présente cependant pas uniquement un intérêt

concurrentiel pour les banques puisqu’elles y sont par ailleurs tenues par la réglementation,
notamment dans le cadre de la distribution de certains produits financiers présentant un
risque de perte de capital, comme c’est le cas des comptes titres par exemple. En effet, en
vertu de la Directive 2004/39/CE du Parlement européen et du Conseil du 21 avril 2004
concernant les marchés d'instruments financiers du 21 Avril 2004, dite Directive MIFID310,
révisée en 2014 par la directive 2014/65 du 15 mai 2014 311dite MIFID 2, les banques sont
tenues de classifier leurs clients en fonction de leur niveau de connaissance et de risque, pour
personnaliser le conseil à fournir en fonction de ces éléments.
310
Directive 2004/39/CE du Parlement européen et du Conseil du 21 avril 2004 concernant les marchés
d'instruments financiers, modifiant les directives 85/611/CEE et 93/6/CEE du Conseil et la directive
2000/12/CE du Parlement européen et du Conseil et abrogeant la directive 93/22/CEE du Conseil ; BONNEAU
T., « Transposition de la directive « MIF » du 21 avril 2004 », Droit des sociétés n° 10, Octobre 2007, comm.
183 ; DUPONT LASSALLE J., « Directive 2004/39/CE concernant les marchés d'instruments financiers »,
Europe n° 1, Janvier 2015, comm. 32
311
Directive 2014/65/UE du Parlement européen et du Conseil du 15 mai 2014 concernant les marchés
d’instruments financiers et modifiant la directive 2002/92/CE et la directive 2011/61/UE Texte présentant de
l'intérêt pour l'EEE ; VABRES R., « Transposition de la directive 2014/65/UE (MiFID II) et mise en
conformité avec le règlement (UE) n° 600/2014 (MiFIR) », Droit des sociétés n° 8-9, Août 2016, comm. 148
Page 112 sur 317

280. Dans un contexte dans lequel les individus peuvent souscrire en toute autonomie en
ligne, les banques ne peuvent plus systématiquement s’appuyer sur le conseiller pour évaluer
les connaissances de leur clientèle (§1). Elles doivent donc pouvoir compter sur la qualité
des techniques d’évaluation mises en place et la fiabilité du résultat de l’évaluation, au
risque, sinon de mal évaluer les connaissances de leur clientèle et de lui fournir un conseil
inadapté (§2)
§ 1 – LA SOUSCRIPTION AUTONOME DU CLIENT : L’AVENEMENT DU SELF CARE
281. Pour répondre aux attentes de leur clientèle, mais aussi à des fins de réduction des
coûts et d’optimisation, les banques recourent de plus en plus aux parcours autonomes,
appelés parcours « self care » ou « self-service312». Le self care consiste à permettre aux
clients de trouver eux-mêmes réponse à leurs questions, en s’appuyant sur les éléments mis
à leur disposition, ainsi que de leur permettre de réaliser eux-mêmes les actes de gestion et
de consultation pour lesquels ils devaient par le passé faire intervenir un conseiller, comme
c’était par exemple le cas pour la modification du plafond de leur carte, l’initiation d’un
virement, ou l’édition de leurs relevés de comptes.
282. En permettant à leurs clients de réaliser ces actes en toute autonomie, les conseillers
sont ainsi en mesure de se concentrer sur ce que les banques qualifient d’actes à forte valeur
ajoutée, c’est-à-dire les actes contribuant plus directement à la production comme la
promotion d’un produit ou l’accompagnement d’un client qui n’aurait pas souscrit
autrement.
283. Les parcours en self care se sont beaucoup développés ces dernières années. Même les
actes les plus sensibles sont aujourd’hui généralement proposés sous cette forme, laissant la
possibilité aux clients de choisir le canal qui leur est le plus adapté, bien que la fermeture
des agences et la multiplication des banques en ligne limite de plus en plus la possibilité
réelle d’un choix du client. Or, si ces nouvelles modalités relationnelles sont appréciées par
312
MENCARELLI R. et RIVIERE A., « La participation du client dans un contexte de self-service
technologies. Une approche par la valeur perçue”, Revue française de gestion 2014/4 (N° 241), pages 13 à 30,
2014
Page 113 sur 317

la plupart des clients, elles posent cependant question en ce qui concerne leur incidence sur
le développement de la confiance entre la banque et sa clientèle (A) et les discriminations
qu’elles peuvent entraîner (B).
A – LA PLACE DE LA CONFIANCE DANS UNE RELATION AVEC UNE BANQUE EN

LIGNE
284. La relation entre un client et son conseiller pouvait souvent, par le passé, aboutir à une
vraie relation de confiance individuelle entre les deux individus. La proximité des agences
et la nécessité de passer par le conseiller pour la majorité des actes multipliaient en effet les
occurrences de contact, et par la même occasion les chances de développer cette relation.
Puis, la fermeture des agences, la diminution de la pratique du conseiller attitré, et enfin, le
développement du self care, ont fait presque intégralement disparaître ces occurrences de
contact, rendant très difficiles le développement ou l’entretien de cette confiance
individuelle entre un client et son conseiller. La manifestation la plus flagrante du
développement du self care est certainement l’existence même des banques en lignes, aussi
appelées « néobanques313 ».
285. Le terme de néobanque est très souvent utilisé à tort, pour qualifier les FinTechs, parmi
lesquelles les établissements de paiement et les établissements de monnaie électronique314
qui ne sont pas des banques. L’ACPR a donc récemment dû rappeler qu’une néobanque
était, avant tout, une banque, et que ce statut nécessite donc la détention d’un agrément
d’établissement de crédit 315 . Si elle peut sembler anodine pour un client profane, cette
distinction est en réalité importante dans les faits, notamment car la garantie des dépôts
prévue par le Fonds de Garantie des Dépôts et Résolutions, dit FGDR, ne concerne que les
établissements de crédit, même si les établissements de paiement et les établissements de
monnaie électronique sont eux aussi contraints de mettre en place des mécanismes de
313
Le terme de néobanque est utilisé pour qualifier les banques dont l’organisation est très différente de celle
des banques traditionnelles, qui fonctionnent en réseau d’agences, en ce qu’elles ne proposent leurs activités
qu’en ligne.
314
LASSERRE CAPDEVILLE J, « Utilisation frauduleuse d’une mention à connotation bancaire : Précision
de l’ACPR à l’égard de l’expression « néobanque », Banque et Droit n°197, 2021
315
Site internet de la Banque de France, « Rappel des règles d’usage du terme « néobanque » », 2021
Page 114 sur 317

garantie316 ou en font indirectement bénéficier leurs clients en s’appuyant sur une banque,
qui, elle, est par définition éligible au FGDR.
286. Les premières banques en ligne ont vu le jour au début des années 2000, et
s’adressaient alors principalement aux individus déjà clients d’une banque traditionnelle, qui
cherchaient à ouvrir un second compte sans engager de frais supplémentaires ou à avoir une
banque offrant davantage d’autonomie en ligne. En effet, outre la plus grande autonomie
qu’offrent ces établissements, ils utilisent très régulièrement la gratuité des services comme
argument commercial. Le client ne paiera ainsi ni frais de tenue de compte, ni cotisations
pour la détention d’une carte bancaire… Ne restent alors que quelques frais exceptionnels
ou inhérents au produit tels que les frais de découvert et les intérêts des crédits ce qui pose
d’ailleurs question en ce qui concerne la rentabilité de ces établissements317.
287. La relation entre les néobanques et leurs clients nous enseigne un certain nombre
d’éléments en ce qui concerne la confiance entre les individus et les banques. Premièrement,
316
Article L522-17 du Code Monétaire et Financier : « I. – Les fonds reçus soit des utilisateurs de services de
paiement, soit par le biais d'un autre prestataire de services de paiement pour l'exécution d'opérations de
paiement sont protégés conformément à l'une des deux méthodes suivantes, ce choix étant laissé à
l'appréciation de l'établissement de paiement :
1° Les fonds reçus ne sont en aucun cas confondus avec les fonds de personnes physiques ou morales autres
que les utilisateurs de services de paiement pour le compte desquels les fonds sont détenus.
Les fonds restant sur le compte de l'utilisateur de services de paiement à la fin du jour ouvrable suivant le jour
où ils ont été reçus, tel que défini au d de l'article L. 133-4, sont déposés sur un compte distinct auprès d'un
établissement de crédit habilité à recevoir des fonds à vue du public.
Ils peuvent aussi être investis en instruments financiers conservés dans des comptes ouverts spécialement à cet
effet auprès d'une personne mentionnée aux 2° à 5° de l'article L. 542-1, dans des conditions fixées par arrêté
du ministre chargé de l'économie.
Ces fonds sont protégés dans les conditions prévues à l'article L. 613-30-1 contre tout recours d'autres
créanciers de l'établissement de paiement, y compris en cas de procédures d'exécution ou de procédure
d'insolvabilité ouverte à l'encontre de l'établissement ;
2° Les fonds reçus sont couverts par un contrat d'assurance ou une autre garantie comparable d'une entreprise
d'assurances, d'une société de financement ou d'un établissement de crédit n'appartenant pas au même groupe,
dans les conditions définies par arrêté du ministre chargé de l'économie, qui assure ou garantit les utilisateurs
des services de paiement contre la défaillance de l'établissement de paiement dans l'exécution de ses
obligations financières.
II. – Lorsque les fonds remis peuvent être utilisés d'une part pour exécuter de futures opérations de paiement
et d'autre part pour des services autres que les services de paiement, la partie des fonds reçue pour l'exécution
de futures opérations de paiement est protégée selon les modalités prévues au présent article. Si cette partie
est variable ou ne peut être déterminée à l'avance, les établissements de paiement procèdent à l'évaluation de
la part représentative des fonds reçus pour l'exécution d'opérations de paiement, en respectant les conditions
fixées par un arrêté du ministre chargé de l'économie. La part représentative ainsi déterminée est protégée
dans les conditions prévues au I. »
317
Des néobanques en quête de rentabilité | banque de France (banque-france.fr)
Page 115 sur 317

le fait que les néobanques attirent autant de clients peut amener à se demander si ancienneté,
et donc l’expérience d’une banque est vraiment un élément essentiel à la confiance des
clients. Le terme de néobanque est sur ce point trompeur. Si le préfixe latin « néo » marque
bien la nouveauté, ici, il ne vise souvent que le modèle et non l’établissement, ou plutôt le
groupe bancaire, en lui-même. En effet, les néobanques les plus populaires en France
appartiennent presque toutes à des groupes bancaires historiques tels la Société Générale
(Boursorama), la BNP (Hello Bank) ou encore le Crédit Agricole (BforBank)318. Il est donc
difficile d’affirmer que les clients qui se tournent vers les néobanques le font au détriment
de la confiance que véhiculent l’expérience et la réputation d’une banque traditionnelle,
même s’il existe quelques exceptions comme les néobanques étrangères N26 et Revolut.
288. Ensuite, on peut se demander si le fait que les individus se tournent de plus en plus
vers ces établissements indique qu’ils n’ont pas besoin d’avoir une relation de proximité
avec un conseiller. Là aussi il est difficile de tenir un discours catégorique. Car s’il est vrai
que certains clients choisissent une néobanque pour cette raison, d’autres le font faute
d’agence à proximité de leurs domiciles ou d’accessibilité de celles qui existent, situation
exacerbée par la pandémie de la Covid 19. Dans ce scénario, on peut aisément comprendre
qu’un client préfère se tourner vers une banque en ligne qui lui assurera, outre une
disponibilité permanente, la gratuité d’une grande partie de ses services.
289. Il est donc en réalité assez difficile de déterminer si la confiance joue un rôle dans le
choix d’une banque en ligne plutôt qu’une autre. Au regard du classement actuel des banques
en lignes françaises, c’est la banque du groupe Société Général, Boursorama, qui a le plus
grand nombre de clients, or il se trouve que c’est aussi la moins chère et l’une des plus
anciennes en France319. Les prix pratiqués sont peut-être, finalement, l’argument principal à
l’heure du choix de sa banque.
318
Classement des banques en ligne 2021 réalisé par le site internet Culture Banque, disponible en ligne à
l’adresse suivante : https://www.culturebanque.com/banques/classement/en-ligne/,consulté le 11/03/2022.
319
Ibid.
Page 116 sur 317

B – LES INEGALITES CREUSEES PAR L’EMERGENCE DES BANQUES EN LIGNES
290. Si les néobanques et les banques en ligne séduisent de plus en plus d’individus320, la
question de l’accessibilité de ces services pose néanmoins question, d’autant plus pour les
individus qui n’ont pas la possibilité de se rendre en agence. En effet, l’usage du self care
suppose un certain nombre de prérequis tels que la détention d’un smartphone ou d’un
ordinateur mais aussi les compétences nécessaires pour y recourir. Concernant l’équipement,
si le smartphone et l’ordinateur font partie du quotidien de nombreux Français, il reste des
individus qui ne détiennent ni l’un ni l’autre comme le relèvent les études en la matière.
291. En effet, l’ARCEP, l’autorité de Régulation des Communications Électroniques,

réalise régulièrement une étude sur les pratiques numériques en France intitulée « Le
Baromètre du numérique ». À ce jour321, la dernière étude parue est celle de 2019322. Cette
étude nous apprend qu’en 2019, 76% des Français de 12 ans et plus détenaient un
smartphone et 76% un ordinateur. Si ces chiffres nous indiquent que davantage de personnes
détiennent un smartphone qu’un ordinateur, elle met surtout en exergue le fait que 9% des
Français de 12 ans et plus n’ont ni ordinateur, ni smartphone et ne sont donc pas équipés
pour utiliser internet et les outils numériques mis à disposition par les banques.
292. Concernant la capacité de réaliser des actes en self care, là aussi, certaines personnes
ne sont pas en mesure d’y recourir, que ce soit en raison d’un handicap, ou en raison d’un
manque de connaissances en informatique.
293. Il est à ce titre regrettable de noter que l’obligation d’accessibilité des sites et
applications mobiles ne s’applique pas à tous les organismes français. En effet, le cadre
juridique sur l’accessibilité numérique, établi par la Loi du 11 Février 2005 pour l'égalité des
droits et des chances, la participation et la citoyenneté des personnes handicapées323, ne
s’applique pas à tous, elle n’est contraignante que pour les administrations et certaines
320
RAYNAL J., « Toujours plus nombreuses, les néobanques imposent leur modèle en France », La tribune,
2020
321
Cette étude a été finalisée en décembre 2021.
322
L’étude de l’ARCEP, « Baromètre du numérique 2019 », est disponible à l’adresse suivante :
https://www.arcep.fr/uploads/tx_gspublication/rapport-barometre-num-2019.pdf,consulté le 11/03/2022.
323
Loi n° 2005-102 du 11 février 2005 pour l'égalité des droits et des chances, la participation et la citoyenneté
des personnes handicapées
Page 117 sur 317

entreprises, soit parce qu’elles sont délégataires d’une mission de service public, soit parce
qu’elles ont un chiffre d’affaires annuel moyen (ou produit net bancaire pour une banque)
supérieur à 250 millions d’euros.
294. La plupart des grandes banques françaises dépassent largement les 250 millions
d’euros de produit net bancaire annuel324. La majorité des interfaces WEB et applications
mobiles de banques sont donc tenues, pour être conformes, d’avoir des fonctionnalités
d’accessibilités comme un mode sombre, le grossissement des caractères, ou la commande
vocale, mais rares sont les banques qui vont au-delà de ce que prévoit la réglementation.
295. Enfin, au-delà de la question de l’accessibilité, l’appétence et les compétences

numériques peuvent être très variables d’un client à un autre, certains recherchent, et peuvent
bénéficier davantage d’autonomie en ligne, quand d’autres ont au contraire, le souhait ou le
besoin, d’être accompagnés même pour les démarches les plus simples.
296. Si nous déplorons le fait que les banques ne soient pas davantage vigilantes quant au
besoin d’accompagnement en la matière, elles sont en revanche contraintes de l’être quand
il s’agit d’offrir un conseil adapté, ce qui leur impose de perfectionner leurs techniques
d’évaluation des connaissances et besoins de ces derniers.
§ 2 - L’EVALUATION DES CONNAISSANCES DU CLIENT A DISTANCE
297. Dans un contexte numérique, la banque et son client seront tout de même amenés à
interagir à plusieurs reprises, souvent de manière asynchrone, au cours de leur relation
contractuelle. Il interviendra notamment très certainement un moment où le client cherchera
à se renseigner sur un produit, un investissement, des conditions….
298. À ce titre, il est primordial pour les banques de bien évaluer les connaissances et
attentes de leurs clients afin d’adopter un discours adéquat et leur fournir le renseignement
recherché. Pour répondre à ce besoin, à défaut d’un échange direct, et si les informations
issues du profil du client déjà établi ne suffisent pas, cette évaluation sera généralement
324
Étude réalisée par KPMG, « Performance des grands groupes bancaires français au 30 juin 2020 », 2020.
L’étude est disponible en ligne à l’adresse suivante : https://assets.kpmg/content/dam/kpmg/fr/pdf/2020/08/fr-
performance-banques-france-juin2020.pdf,consulté le 11/03/2022.
Page 118 sur 317

réalisée au travers de questionnaires. La fiabilité des réponses qui seront obtenues et la
justesse du renseignement apporté seront donc fortement dépendantes de la manière dont le
questionnaire a été conçu (A), pourtant, bien que le législateur encadre les échanges
contractuels dématérialisés, les règles relatives aux formulaires restent, à date, assez rares
dans le secteur bancaire (B).
A - LA FIABILITE DES QUESTIONNAIRES ET FORMULAIRES COMME BASE DE LA

CONFIANCE NUMERIQUE
299. Le profil du client est amené à être enrichi en permanence par les données issues de
son comportement dans son espace personnel, ses échanges avec sa banque et les
informations qu’il sera amené à renseigner dans les formulaires qui lui seront transmis ou
mis à disposition dans son espace personnel. Le recours à ces formulaires, en l’absence de
règles liées à leur formalisme et aux questions posées, peut cependant poser un problème en
termes de fiabilité. En effet, comme souvent, la qualité de la réponse sera plus ou moins
influencée par la forme de la question.
300. Par exemple, on peut légitimement penser qu’une interrogation directe, qui ne permet
que deux réponses, oui ou non, apportera une réponse plus claire mais potentiellement moins
précise qu’une interrogation indirecte. Que faut-il privilégier alors ? La clarté de la réponse
ou sa précision ? La commercialisation de produits bancaires en elle-même n’est que très
peu encadrée en ce qui concerne la forme et le fond des formulaires, si ce n’est en ce qui
concerne la commercialisation de produits d’investissement 325 . La commercialisation de
produits d’assurance en revanche dispose bien d’un tel cadre, que les banques se doivent de
maîtriser notamment dans le cadre de la commercialisation de crédits et d’assurances
emprunteur.
301. L’absence d’interactions directes entre la banque et son client va également priver la
banque de beaucoup d’informations que le client aurait pu lui confier spontanément tel que
le fait que ce dernier présente un handicap. Or, ce type d’information a toute son importance
L’ACPR fournit en effet des instructions assez précises sur la forme du questionnaire MIFID à faire
325
compléter par la clientèle.
Page 119 sur 317

lorsqu’il s’agit d’adapter le niveau d’accompagnement et le conseil associé. Le cadre
juridique des relations numériques à distance nous semble à ce titre perfectible.
B - L’ENCADREMENT DES RELATIONS NUMERIQUES A DISTANCE
302. La réglementation applicable aux banques dans le cadre du développement de leurs

activités numériques, notamment en ce qui concerne les modalités d’interactions avec leurs
clients dans un contexte dématérialisé, s’est bâtie au travers de nombreuses réglementations
entre les années 2000 et aujourd’hui, en passant notamment par la Loi du 13 mars 2000326,
la LCEN de 2004 327 et le Règlement eIdas 328 de 2014 329 . Si ces réglementations ont
contribué à l’établissement d’un cadre juridique général applicable aux relations
numériques, des sujets, plus spécifiques, restaient encore relativement peu encadrés.
303. C’est dans ce contexte que la Loi du 7 octobre 2016 pour une République numérique,
dite « Loi Lemaire »330 et l’Ordonnance du 4 octobre 2017 relative à la dématérialisation des
relations contractuelles dans le secteur financier331 ont été adoptées en vue de renforcer le
cadre juridique applicable au secteur financier. La Loi pour une république numérique est
souvent mise en avant par le gouvernement comme le cadre juridique qui a permis à la
France de « libérer l’innovation », « créer un cadre de confiance clair » et « construire une
République numérique ouverte et inclusive332 ». En pratique, on ne peut en effet pas nier le
fait que cette Loi a effectivement constitué une avancée importante sur le sujet, notamment
en ce qui concerne l’accessibilité numérique, la protection des données à caractère personnel
326
Loi no 2000-230 du 13 mars 2000 portant adaptation du droit de la preuve aux technologies de l'information
et relative à la signature électronique
327
Loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique
328
abrogeant la directive 1999/93/CE, dit Règlement eIdas, JOUE L257, du 28 aout 2014
329
AGOSTI P. et CAPRIOLI E., « Digitalisation des services financiers : quels changements ? » Revue Banque
n°814, 2017
330
Loi n° 2016-1321 du 7 octobre 2016 pour une République numérique, JORF n°0235 du 8 octobre 2016
331
Ordonnance n° 2017-1433 du 4 octobre 2017 relative à la dématérialisation des relations contractuelles dans
le secteur financier, JORF n°0233 du 5 octobre 2017
332
« Innover pour retrouver de la croissance. Pour une République numérique », Site internet gouvernement.fr,
disponible à l’adresse suivante : https://www.gouvernement.fr/action/pour-une-republique-numerique,
consulté le 11/03/2022.
Page 120 sur 317

(en avance sur le RGPD qui n’est entré en application que deux ans plus tard), et en
renforçant les libertés dans un environnement numérique. Pourtant, elle aurait pu aller plus
loin en ce qui concerne certains sujets, notamment celui de l’obligation d’accessibilité des
services numériques, puisqu’elle n’a malheureusement pas étendu l’obligation d’avoir des
sites et applications accessibles à toutes les entreprises, comme la Loi de 2005.
304. L’Ordonnance du 4 octobre 2017 relative à la dématérialisation des relations

contractuelles dans le secteur financier quant à elle, a posé un socle clair à la
dématérialisation des relations contractuelles dans ce secteur. La consécration de la notion
de support durable333 et l’encadrement des modalités d’utilisation des espaces personnels
mis à disposition par les banques notamment ont permis aux établissements financiers et aux
clients d’évoluer dans un cadre plus stable et sécurisant. Parmi les dispositions de cette
ordonnance, l’obligation des organismes financiers de s’assurer que leurs clients aient bien
la capacité de communiquer par voie dématérialisée et l’encadrement de la durée de
disponibilité des documents contractuels sous forme dématérialisée sont louables334, mais
devront vraisemblablement être complétés à l’avenir au regard de l’évolution constante des
pratiques numériques.
305. La dématérialisation des échanges contractuels implique toutefois un inconvénient

certain par rapport au face-à-face lorsqu’il s’agit de communiquer à distance. Lors d’une
souscription, le conseiller bancaire fournit un certain nombre d’explications à ses clients et
est disponible pour répondre à leurs éventuelles questions, aussi, à défaut de lire l’intégralité
des conditions qui leur sont présentées, les clients ont, a minima, une présentation orale des
informations essentielles de celles-ci. Lorsque l’échange a lieu à distance, et a fortiori
lorsqu’il s’agit d’une souscription en self care, si le client ne fait pas l’effort de lire les
documents, ou s’il ne sollicite pas un échange avec un conseiller, il peut être amené à
souscrire sans réellement prendre connaissance des conditions qui vont s’appliquer à lui. Il
333
La notion de support durable est apparue dans de nombreux textes européens avant d’être clairement définie.
Elle est aujourd’hui définie à l’article L314-1 du code de la consommation comme « tout instrument permettant
à l’utilisateur de services de paiement de stocker les informations qui lui sont personnellement adressées d’une
manière telle que ces informations puissent être consultées ultérieurement pendant une période adaptée à leur
finalité et reproduites à l’identique ». Y font notamment référence, la directive 97/7/CE du 20 mai 1997 sur la
protection des consommateurs en matière de vente à distance, la directive 2002/65/CE Commercialisation à
distance des services financiers et la directive 2011/83/UE relative aux droits des consommateurs .
334
DOUVILLE T, « La dématérialisation des relations contractuelles dans le secteur financier - À propos de
l'ordonnance n° 2017-1433 du 4 octobre 2017 », JCP E n° 43-44, 26 Octobre 2017, act. 765
Page 121 sur 317

est donc délicat d’utiliser l’information comme vecteur de confiance dans une relation à
distance.
SECTION II – LES DIFFICULTES A VEHICULER LA CONFIANCE

PAR L’INFORMATION DANS UNE RELATION DISTANTE
306. Au stade de la perfection du contrat, il est essentiel pour la banque d’être en mesure
de s’assurer que le prospect prenne la décision de contractualiser en toute connaissance de
cause et qu’il n’y ait pas de vice du consentement335 qui pourrait remettre la validité du
contrat en cause par la suite. De manière générale, on pourrait considérer que la décision de
contractualiser, si prise de manière éclairée, signifie que la confiance est accordée, puisqu’au
regard des éléments qui ont été présentés, les parties ont considéré qu’elles pouvaient
s’engager sereinement dans une relation contractuelle.
307. Si cette supposition se confirme sans doute dans le cadre d’un contrat ayant fait l’objet
d’une négociation de gré à gré, dont les stipulations sont par définition négociables, la
réponse est moins certaine quand il s’agit de contrats d’adhésions336. Or, la majorité des
contrats proposés par les banques à leur clientèle sont des contrats d’adhésion, il n’est par
exemple, en principe, impossible de négocier le contenu d’une convention de compte. Dans
une telle situation, le prospect ou client peut légitimement se demander si le temps qu’il va
passer à prendre connaissance des très nombreuses informations précontractuelles que va lui
fournir la banque est à la hauteur du risque qu’il prend en signant sans en prendre
connaissance. En effet, le contrat qui lui est proposé étant, par définition, le même que celui
qui est proposé à tous les autres clients de la banque pour le même produit à quelques détails
près, le client peut, et va souvent, se contenter de la notoriété de la banque ou du produit et
335
Article 1130 du code civil : « L'erreur, le dol et la violence vicient le consentement lorsqu'ils sont de telle
nature que, sans eux, l'une des parties n'aurait pas contracté ou aurait contracté à des conditions
substantiellement différentes.
Leur caractère déterminant s'apprécie eu égard aux personnes et aux circonstances dans lesquelles le
consentement a été donné. »
336
Les notions de contrat d’adhésion et contrat de gré à gré sont toutes deux définies à l’article 1110 du Code
Civil depuis la réforme de 2016 :« Le contrat de gré à gré est celui dont les stipulations sont négociables entre
les parties.
Le contrat d'adhésion est celui qui comporte un ensemble de clauses non négociables, déterminées à l'avance
par l'une des parties. »
Page 122 sur 317

de prendre connaissance des informations essentielles telles que le prix et la durée
d’engagement avant de signer.
308. Nous nous attacherons ainsi, dans cette section, à étudier si la transparence, est une
stratégie efficace pour véhiculer de la confiance numérique dans le domaine bancaire (§1)
et si les mécanismes actuels visant à faciliter la prise de connaissance d’informations peuvent
contribuer à la solution (§2)
§ 1 - LA TRANSPARENCE : UNE STRATEGIE PEU ADAPTEE AU DOMAINE
BANCAIRE
309. La transparence est très certainement la stratégie la plus employée par le législateur
quand il s’agit de véhiculer de la confiance337. Le code de la consommation y dédie d’ailleurs
un titre entier338, de même que le Code de commerce339. La réglementation applicable au
secteur bancaire n’y fait pas exception, les réglementations imposant aux banques d’être
transparentes en portant toujours davantage d’informations à l’attention des clients n’ont pas
cessé de voir le jour ces dernières années, jusqu’à arriver à une liste d’informations à fournir
si longue, qu’elle décourage beaucoup de personnes de s’aventurer dans leur lecture…. Pour
un client profane en matière de produits bancaires et des conditions associées, on peut
d’ailleurs aisément imaginer qu’une telle quantité d’information soit anxiogène.
310. L’incitation à la transparence n’est pas un phénomène spécifique au secteur bancaire

puisqu’il concerne en réalité la quasi-totalité des activités régies par le droit de la
consommation. En revanche, les banques ont une spécificité en la matière, la contrainte de
devoir articuler ces nombreuses obligations de transparence avec d’autres obligations qui
peuvent parfois être délicates à concilier entre elles. Il nous semble notamment relativement
délicat d’articuler les obligations impliquant une certaine subtilité comme celles relatives à
la LCB-FT et le devoir de non-immixtion du banquier avec la transparence (A). Les
337
ARCELIN L., « La redondance informative ou le bon sens oublié », Contrats concurrence consommation
n° 5 études 9, 2011
338
Code de la consommation, Titre 1 du Livre 1 « Information des consommateurs »
339
Code de commerce, Titre 4 du Livre 4 « De la transparence, des pratiques restrictives de concurrence et
d'autres pratiques prohibées. »
Page 123 sur 317

mécanismes ayant vocation à permettre aux clients de prendre le temps nécessaire à la lecture
de l’étendue des informations fournies nous semblent par ailleurs peu adaptés au secteur
bancaire (B).
A – LA NECESSAIRE SUBTILITE DU BANQUIER
311. Si les banques sont tenues de faire preuve d’un maximum de transparence au titre de
leur devoir d’information et de loyauté, ce principe semble tout de même être en
contradiction avec certains autres de leurs devoirs340, notamment en ce qui concerne la lutte
contre le blanchiment d’argent et le financement du terrorisme, et le devoir de non-
immixtion des banques.
312. En effet, les banques étant tenues de contribuer à la lutte contre le blanchiment d’argent
et le financement du terrorisme, elles se doivent d’être attentives à tout comportement
suspicieux de leurs clients pour le signaler, si besoin, à Tracfin. Pour ce faire, il est évident
que les banques doivent faire preuve d’un minimum de subtilité pour ne pas effrayer leurs
clients potentiellement innocents ou mettre à mal les enquêtes dans le cadre de suspicions
de fraudes qui se trouveraient avérées.
313. Ensuite, si les banques sont effectivement tenues d’informer leurs clients de manière
adaptée pour leur permettre de disposer de toutes les informations nécessaires à une prise de
décision éclairée, et de faire preuve de vigilance, elles sont également tenues de ne pas
s’immiscer dans leur vie privée341. L’équilibre est relativement délicat à identifier, et la
crainte d’une sanction pour non-respect du devoir de non-immixtion ou de vigilance, peut
conduire les banques à limiter la transparence dont elles pourraient faire preuve en l’absence
de ces obligations342.
340
BOUCARD F., « Les devoirs généraux du banquier”, J. Cl. Commercial, fasc. 343, 2002
BOUTEILLER P., “Service de dépôt de fonds, de domiciliation, d'encaissement et de recouvrement”, J.Cl.,
341
2016 ; LASSERRE CAPDEVILLE J., Notes sous CA Pau, 5 nov. 2020, n° 19/01523, JCP E n° 7, 18 Février
2021, 1100
LASSERRE CAPDEVILLE J., Notes sous CA Rennes, 10 févr. 2016, no 14/00931, LEDB mai 2016, n°
342
EDBA-816072-81605, p. 2
Page 124 sur 317

314. Si la transparence du banquier semble donc, ici, trouver ses limites, les informations
fournies restent tout de même conséquentes, comment faire alors pour permettre au client
d’en prendre connaissance dans de bonnes conditions ?
B – LES MECANISMES TRADITIONNELS DE SIMPLIFICATION DE LA PRISE DE

CONNAISSANCE D’INFORMATIONS
315. Pour optimiser cette phase de « prise de connaissance d’informations » qui peut
s’avérer très lourde, le droit de la consommation prévoit quelques mécanismes permettant
au client de prendre le temps de bien réfléchir et de lire l’étendue des informations dont il
est destinataire. Le délai de réflexion et le délai de rétractation pourraient en effet apporter
un premier niveau de solution à cette problématique volumétrique d’information, mais la
pratique nous fait douter de leur efficacité.
316. Concernant le délai de réflexion d’abord, il s’agit d’un délai prévu par le code de la
consommation à son article L313-34343, réservé à la souscription d’un crédit immobilier
auprès d’une banque. Le délai de réflexion impose aux clients de ne pas accepter l’offre de
prêt reçue d’une banque avant l’écoulement d’un délai de dix jours calendaires à compter de
sa réception. Le client peut ainsi profiter de ces dix jours pour prendre connaissance de
l’intégralité des conditions de l’offre qui lui est faite et choisir en toute connaissance de
cause de l’accepter ou non à l’issue de ce délai.
317. Le délai de rétractation, lui, prend plusieurs formes dans le secteur bancaire. Dans le
cadre de la souscription d’un prêt à la consommation, il est de 14 jours calendaire à compter
de la signature de l’offre de prêt344, dans le cadre de la renégociation d’un prêt, il est de 10
343
Article L313-34 du code de la consommation : « L'envoi de l'offre oblige le prêteur à maintenir les
conditions qu'elle indique pendant une durée minimale de trente jours à compter de sa réception par
l'emprunteur.
L'offre est soumise à l'acceptation de l'emprunteur et des cautions, personnes physiques, déclarées.
L'emprunteur et les cautions ne peuvent accepter l'offre que dix jours après qu'ils l'ont reçue. L'acceptation
est donnée par lettre, le cachet de l'opérateur postal faisant foi, ou selon tout autre moyen convenu entre les
parties de nature à rendre certaine la date de l'acceptation par l'emprunteur. »
344
Article L312-19 du Code de la Consommation : « L'emprunteur peut se rétracter sans motifs dans un délai
de quatorze jours calendaires révolus à compter du jour de l'acceptation de l'offre de contrat de crédit
comprenant les informations prévues à l'article L. 312-28. »
Page 125 sur 317

jours calendaire à compter de la signature de l’avenant345 et dans le cadre de la souscription
d’une assurance vie, il est de 30 jours calendaire à compter de la signature du contrat346. À
la différence du délai de réflexion, qui retarde la prise de décision de contractualiser du
client, le délai de réflexion permet à ce dernier de revenir sur sa décision de contractualiser
sans qu’aucune pénalité ne lui soit appliquée.
318. Ces deux mécanismes semblent utiles et nécessaires à la prise de connaissance des
nombreuses informations communiquées. Il est cependant regrettable qu’ils ne soient pas
accompagnés d’obligations d’actes plus concrets de la part de la banque visant à s’assurer,
pendant ce délai ou à son issue, que les emprunteurs ont bien compris ce à quoi ils s’apprêtent
à s’engager, au moyen, par exemple, de questionnaires visant à vérifier les connaissances
des emprunteurs sur ladite offre mais aussi, plus largement, sur les risques liés aux crédits
tels que le surendettement et les conséquences d’une telle situation.
319. Une telle démarche pourrait par ailleurs indiquer au client que la banque n’a rien à
cacher et qu’il est important que la décision de contractualiser parte sur une base saine. Ces
345
Article L313-39 du Code de la Consommation : « En cas de renégociation de prêt, les modifications au
contrat de crédit initial sont apportées sous la seule forme d'un avenant établi sur support papier ou sur un
autre support durable.
Cet avenant comprend, d'une part, un échéancier des amortissements détaillant pour chaque échéance le
capital restant dû en cas de remboursement anticipé et, d'autre part, le taux annuel effectif global ainsi que le
coût du crédit, calculés sur la base des seuls échéances et frais à venir. Pour les prêts à taux variable ou
révisable, l'avenant comprend le taux annuel effectif global ainsi que le coût du crédit, calculés sur la base des
seuls échéances et frais à venir jusqu'à la date de la révision du taux, ainsi que les conditions et modalités de
variation du taux.
L'emprunteur dispose d'un délai de réflexion de dix jours à compter de la réception des informations
mentionnées au deuxième alinéa.
L'acceptation doit être donnée par lettre, le cachet de l'opérateur postal faisant foi, ou selon tout autre moyen
convenu entre les parties de nature à rendre certaine la date de l'acceptation par l'emprunteur. »
346
Article L132-5-1 du Code des Assurances : « Toute personne physique qui a signé une proposition ou un
contrat d'assurance sur la vie ou de capitalisation a la faculté d'y renoncer par lettre recommandée ou par
envoi recommandé électronique, avec demande d'avis de réception, pendant le délai de trente jours calendaires
révolus à compter du moment où elle est informée que le contrat est conclu. Ce délai expire le dernier jour à
vingt-quatre heures. S'il expire un samedi, un dimanche ou un jour férié ou chômé, il n'est pas prorogé.
La renonciation entraîne la restitution par l'entreprise d'assurance ou de capitalisation de l'intégralité des
sommes versées par le contractant, dans le délai maximal de trente jours calendaires révolus à compter de la
réception de la lettre recommandée ou de l'envoi recommandé électronique. Au-delà de ce délai, les sommes
non restituées produisent de plein droit intérêt au taux légal majoré de moitié durant deux mois, puis, à
l'expiration de ce délai de deux mois, au double du taux légal.
Les dispositions du présent article sont précisées, en tant que de besoin, par arrêté ministériel.
Elles ne s'appliquent pas aux contrats d'une durée maximale de deux mois. »
Page 126 sur 317

délais pourraient alors réellement servir de garde-fous, notamment dans le cadre de la
souscription d’un crédit dont l’emprunteur pourrait réaliser, en y réfléchissant bien, que les
conditions qui lui sont proposées ne sont pas adaptées à sa situation et qu’il a davantage
intérêt à épargner ou à solliciter un autre établissement.
§ 2 – L’OPTIMISATION DE L’INFORMATION AU SERVICE DE LA CONFIANCE
320. Il est peu probable que le législateur revienne sur sa stratégie de transparence, les
marges de manœuvre semblent donc être très limitées pour les banques en ce qui concerne
l’amélioration de cette situation. Par ailleurs, le fait que les réglementations issues de la
digitalisation des banques partagent cette stratégie de transparence, comme l’illustre par
exemple l’article 13 du RGPD347 qui liste un nombre important d’informations à fournir aux
clients, en complément de toutes les informations qu'ils reçoivent déjà en vertu de la
réglementation bancaire et du droit de la consommation, complique davantage la
problématique.
321. Toutes ces réglementations semblent, par ailleurs, presque systématiquement imposer
une transmission d’information sous un seul format : l’écrit, y compris sous forme
numérique. Or, le numérique n’empêche en aucun cas la délivrance d’informations sous un
autre format (A). Dans ce contexte, le recours, de plus en plus courant, au Legal Design nous
semble prometteur (B).
A – LES TRAVERS DE L’ECRIT DANS UNE RELATION DEMATERIALISEE
322. Pour l’accomplissement des nombreuses obligations d’information à leur charge, les
banques disposent d’un éventail de technologie qui pourrait leur permettre de les exécuter
347
Voir l’article 13 du RGPD.
Page 127 sur 317

par bien d’autres moyens que l’écrit papier ou électronique348. Pourtant, ces dernières se
bornent à recourir aujourd’hui encore, à la fourniture d’informations par écrit, et ce souvent
à titre exclusif quand il s’agit d’une relation numérique à distance.
323. S’il est vrai qu’un client peut souvent, dans ce même scénario, choisir d’échanger avec
un conseiller pour obtenir des explications, il ne s’agit pas d’un contenu que le client pourra
réécouter à sa guise pour être sûr d’avoir toutes les informations fournies. Comment
expliquer que presque aucune banque ne propose par exemple de vidéo présentant les
informations dont le client doit avoir connaissance ? La faute est sans doute à chercher dans
notre droit de la preuve, prévu aux articles 1353 et suivants du Code civil349. En effet, l’écrit
a depuis toujours été considéré comme la preuve ultime d’un acte juridique 350 , ce qui
explique sans doute pourquoi les banques s’obstinent à recourir à l’écrit plutôt qu’une autre
forme pour accomplir leurs obligations d’informations. Pourtant, un fichier multimédia tel
qu’un enregistrement audio et une vidéo, pourrait, techniquement, répondre à la définition
de l’écrit électronique s’agissant finalement d’une suite de 0 et de 1351…
324. Nous conviendrons que l’essence même de cette obligation d’information étant de
protéger le client en lui garantissant la possibilité de prendre connaissance de ces
informations, il est étonnant que la priorité soit donnée à la preuve de l’accomplissement de
cette obligation plutôt qu’à son efficacité. Le législateur viendra peut-être remédier à cette
situation dans les années à venir. En attendant, il nous semble important de rappeler que si
l’écrit est effectivement la meilleure preuve de l’accomplissement d’une obligation
d’information, aucun texte n’indique qu’il doit être exclusif. Les établissements peuvent
348
L’écrit électronique entre bien dans la définition de l’article 1365 du code civil : « L'écrit consiste en une
suite de lettres, de caractères, de chiffres ou de tous autres signes ou symboles dotés d'une signification
intelligible, quel que soit leur support. ». L’écrit électronique n’est cependant équivalent à un écrit papier que
s’il répond aux exigences d’imputabilité et d’intégrité prévues à l’article 1366 du code civil : « L'écrit
électronique a la même force probante que l'écrit sur support papier, sous réserve que puisse être dûment
identifiée la personne dont il émane et qu'il soit établi et conservé dans des conditions de nature à en
garantir l'intégrité. » ; A ce sujet lire, HUET J., « Synthèse - Contrats électroniques », J. Cl Contrats –
Distribution
349
Articles 1353 et suivants du Code Civil
350
L’article 1364 du Code Civil dispose en effet que : « La preuve d'un acte juridique peut être préconstituée
par un écrit en la forme authentique ou sous signature privée ».
351
Les fichiers électroniques ne sont qu’une suite d’instruction écrites en binaire pour être lues par un
ordinateur.
Page 128 sur 317

ainsi tout à fait proposer les informations à fournir obligatoirement sous un autre format, en
complément de l’écrit.
B – LE LEGAL DESIGN AU SERVICE DE LA CONFIANCE
325. Pour faciliter la compréhension des informations, la pratique du « Legal Design » est
de plus en plus utilisée par les établissements352. Cette pratique consiste à optimiser non pas
le fond mais la forme des informations juridiques en recourant, par exemple, à un ton plus
léger, à des icônes ou à d’autres formes permettant de véhiculer plus simplement une
information.
326. Si aucune réglementation n’impose à proprement parler de recourir à ce type de

pratique, l’existence des fiches IPID en droit des assurances, s’en approche beaucoup dans
leur philosophie : proposer une fiche synthétique avec des jeux de couleur et la synthèse des
garanties permettant à l’individu de comprendre facilement ce que prévoit le contrat souscrit.
327. Outre l’exemple des fiches synthèses, la CNIL encourage également fortement les
responsables de traitement à recourir à des techniques de legal design et propose au travers
de son laboratoire d’innovations, le LINC 353 , des articles et guides à destination de ces
derniers 354 . Parmi les propositions se trouvent notamment le recours plus fréquent aux
pictogrammes et la vulgarisation des termes. Certains établissements, comme Boursorama
proposent également des contenus éditoriaux de sensibilisation sur le fonctionnement et
risques des différents produits bancaires et assurantiels, mais ils sont rarement présentés au
sein même des parcours de souscription.
328. La pratique du Legal Design est encore très jeune et peu répandue chez les entreprises,
ce qui explique sans doute que si peu de personnes lisent réellement les conditions générales
avant de souscrire. En effet, une étude réalisée par le Cabinet Opinion Way pour l’Internet
352
BRENAS G., « L'intérêt du legal design pour les professionnels du droit », Revue pratique de la prospective
et de l'innovation n° 2, Octobre 2019, 1 ; DONDERO B., « Parler de design à propos du droit a-t-il un sens
? », JCPG 2019, doctr. 85
353
Le LINC est le Laboratoire d’Innovation Numérique de la CNIL
354
Le dossier design du LINC est consultable à l’adresse suivante : https://linc.cnil.fr/fr/dossier-
design,consulté le 11/03/2022.
Page 129 sur 317

Society révélait en 2018 que 7 internautes sur 10 ne lisaient pas les CGU et pour ceux qui
les lisaient, 48% comprenaient mal leur contenu355.
329. Dans le domaine bancaire, ce sont là aussi les nouveaux acteurs du secteur, comme
Lydia, qui se démarquent le plus clairement en la matière, en abordant les sujets juridiques
de manière très accessible et sur un ton souvent teinté d’humour, dans le cadre des
newsletters et courriels adressés à leur clientèle. Parallèlement à ces initiatives
d’optimisation du format des informations juridiques, un second mouvement vecteur de
confiance numérique se développe également : celui des visas de confiance.
355
Opinion Way et Internet society, « Sondage OpinionWay pour l‘Internet Society France : 7 français sur 10
ne lisent pas ou rarement les CGU », 2018. L’étude est disponible en ligne à l’adresse suivante :
https://www.isoc.fr/cgu-opinionway/,consulté le 11/03/2022.
Page 130 sur 317

330. Au regard de nos développements, nous pouvons affirmer que la transparence, comme
vecteur de confiance numérique, a un potentiel certain, mais à la seule condition que les
informations soient intelligibles, accessibles, et fournies dans un format qui en simplifie la
prise de connaissance par les individus.
331. En effet, dans le cadre d’une souscription autonome à distance, le prospect ou client
ne bénéficie pas de l’accompagnement que peut lui offre un conseiller lors d’une
souscription en face-à-face ou au téléphone. Il est donc primordial que les informations qui
lui sont transmises soient conditionnées spécifiquement en vue de leur compréhensibilité par
un individu potentiellement profane du sujet.
332. À cet égard, la tendance à la multiplication des informations à obligatoirement fournir

aux individus doit par ailleurs être modérée, ou optimisée, au risque que la volumétrie
d’information soit perçue comme anxiogène, et que les informations soient finalement
ignorées, par manque de temps ou motivation des individus.
333. Le legal design est une pratique qu’il nous semble souhaitable de développer en la
matière, et le recours presque exclusif à l’écrit devrait certainement être remis en question
au regard du volume et de la nature, parfois complexe à appréhender, des informations
fournies.
Page 131 sur 317

CHAPITRE II - CONFIANCE ET PREUVE DE CONFIANCE DANS
LE DOMAINE BANCAIRE
334. La question de la confiance peut prêter à confusion quand on l’examine d’un point de
vue contractuel. Le contrat, par exemple, est-il un acte formalisant la confiance que les
parties s’accordent l’une à l’autre ? Ou ne serait-il pas plutôt la réponse à un manque de
confiance que l’on atténuerait en formalisant les obligations de chacun pour s’en prévaloir
en cas de litige ? Il peut en être dit autant de la notion de preuve dans le cadre de contentieux
contractuels. L’exigence, dans certains cas d’une preuve formelle, ne sous-entendrait-elle
pas que la seule parole ne suffit pas et que les parties ne peuvent donc pas se faire confiance
?
335. Les autorités de contrôle jouent un rôle primordial en matière de confiance, notamment
quand il s’agit de générer la confiance de la clientèle bancaire dans un contexte numérique.
En effet, en délivrant une autorisation, une certification ou un label, une autorité permet aux
clients de l’entreprise concernée d’être assurés que cette dernière est digne de confiance
puisqu’elle respecte les critères exigés par l’autorité. À ce titre, les décisions des autorités
peuvent être qualifiées de visas de confiance.
336. À l’inverse, en sanctionnant un établissement, ou en lui refusant une autorisation ou

un label, une décision peut générer la méfiance des individus. Puisque cela indique que
l’établissement ne répond pas aux critères exigés par l’autorité.
337. La confiance, ou à l’inverse la méfiance que les autorités peuvent insuffler à la

clientèle bancaire est dans ce contexte indirecte, tout comme celle que peuvent générer
d’autres tiers de confiance comme le Fonds de Garantie des Dépôts et de Résolution356 ou
les associations et entreprises privées tiers de confiance.
356
Voir l’article L312-4-1 du Code Monétaire et Financier.
Page 132 sur 317

338. Nous nous attacherons dans ce chapitre à étudier le rôle des autorités de contrôle en
matière de confiance numérique dans le domaine bancaire (Section I), puis celui des acteurs
privés se présentant comme tiers de confiance numérique (section II).
SECTION I – LE VISA DES AUTORITES DE CONTROLE COMME

PREUVE ET SOURCE DE CONFIANCE INDIRECTE ?
339. Dans un contexte à distance, lorsqu’il s’agit d’accorder sa confiance à une entreprise
ou un individu que l’on ne connaît pas, la confiance n’est généralement accordée que pour
des raisons superficielles, telles que la réputation dudit tiers ou d’autres signes extérieurs
comme l’apparence sérieuse de son site. Les mauvaises expériences restent néanmoins
nombreuses en la matière, notamment en matière de e-commerce357.
340. Lorsqu’il s’agit d’accorder sa confiance à tiers, qui se présente comme étant une
banque ou autre établissement financier, la confiance ainsi accordée peut être
potentiellement dommageable pour l’individu, si ledit tiers n’était en fait pas digne de
confiance.
341. Dans le cadre de l’ouverture d’un compte par exemple, si les individus ne sont pas en
mesure de se faire leur propre avis sur une banque avec laquelle ils envisagent d’entrer en
relation, que peuvent-ils faire alors ?
342. À défaut de trouver des signes de confiance inhérents à une banque, les individus
peuvent rechercher des signaux extérieurs issus de tiers fiables tels que des autorités de
contrôle. En effet, les autorités de contrôle génèrent des signaux de réassurance, et par
extension, de confiance, très forts pour les individus au travers des autorisations, labels,
certifications et autres décisions concernant les établissements qu’elles contrôlent. Nous
proposons d’étudier dans cette partie l’influence des autorités financières (A) et du
numérique (B) en la matière.
357
TUAL M., « Plusieurs centaines de clients de Cdiscount victimes d’une arnaque en ligne », Le Monde,
2017 ; ANONYME., « Amour sur Internet : "Quand on est naïf, on en fait les frais" », Le Monde, 2012
Page 133 sur 317

§ 1 - L’INFLUENCE DE L’ACPR ET L’AMF SUR LA CONFIANCE
343. Beaucoup d’individus pensent, de manière erronée, que tous les établissements
proposant des services de paiement ou d’investissement sont nécessairement des banques ou
néobanques, or, comme l’a rappelé récemment l’ACPR au sujet des néobanques, c’est faux,
seuls les établissements de crédits agréés peuvent prétendre à cette qualification358. En effet,
dans l’écosystème financier coexistent une grande variété d’établissements, dont la
qualification dépend en réalité des activités qu’ils sont autorisés à exercer en vertu de leur
statut, qui peut être vérifié grâce à leur agrément359, enregistrement360, ou immatriculation361.
Il existe par ailleurs un certain nombre d’établissements qui exercent des activités bancaires
sans y être autorisés362, privant leurs clients des nombreuses garanties et règles de protection
de la clientèle dont ils pensent bénéficier.
344. Dans ce cadre, deux autorités semblent jouer un rôle particulièrement important :
l’Autorité de Contrôle Prudentiel et de Résolution (A) et l’Autorité des Marchés Financiers
(B).
A –L’ACPR AU SERVICE DE LA CONFIANCE
345. Issue de la fusion, en 2010, de plusieurs autorités bancaires et assurantielles 363 ,

l’ACPR a aujourd’hui une place importante dans la confiance entre les individus et les
358
Dossier ACPR sur le rappel des règles d’usage du terme "néobanque", 2021
359
Les établissements de crédits sont par exemple autorisés à exercer leurs activités en vertu d’un agrément
par la BCE sur proposition de l’ACPR (Article L511-10 du Code Monétaire et Financier), de même que les
établissements de paiement (Article L522-6 du Code Monétaire et Financier).
Les prestataires de services d’information sur les comptes doivent s’enregistrer auprès de l’ACPR (Article
360
L522-11-2 du Code Monétaire et Financier)

361
Les Intermédiaires en Opérations de Banques et Services de Paiements, dits IOBSP, doivent être
immatriculés sur le registre unique des intermédiaires tenu par l’ORIAS (Article L519-3-1 du Code Monétaire
et Financier)
362
Les mises en garde de l’ACPR et l’AMF à l’égard d’établissements non autorisés sont nombreuses. La liste
est disponible en ligne à l’adresse suivante : https://www.amf-france.org/fr/listing_format/format-du-
contenu/mise-en-garde,consulté le 11/03/2022.
Ordonnance n° 2010-76 du 21 janvier 2010 portant fusion des autorités d'agrément et de contrôle de la
363
banque et de l'assurance
Page 134 sur 317

établissements sous son contrôle. L’article L612-1 du Code Monétaire et Financier364 dresse
une liste relativement longue des missions à la charge de l’ACPR qui en font très
certainement l’autorité la plus importante pour les établissements proposant des services
financiers.
346. L’ACPR est en effet chargée de veiller à “la préservation de la stabilité du système
financier et à la protection des clients, assurés, adhérents et bénéficiaires des personnes
soumises à son contrôle » en vertu des articles L612-1 et suivants du Code Monétaire et
Financier365. Que ce soit au stade de la création de l’institution en elle-même ou lors de
l’exercice de son activité, l’avis de l’ACPR est crucial pour l’existence même des
établissements financiers.
347. Au stade de la création d’abord, l’ACPR est chargée de l’étude des demandes
d’autorisation d’exercice qui lui sont adressées, qu’il s’agisse de demandes d’agréments
d’établissements de crédit, d’établissements de paiement, ou d’établissements de monnaie
électronique, d’autorisations d’organismes de microcrédit, d’immatriculation des
Intermédiaires en Opérations de Banques et en Services de Paiements (IOBSP)… La liste
des établissements qui ne peuvent exercer leurs activités qu’avec l’accord de l’ACPR est
relativement longue, ce qui peut, en soi, rassurer la clientèle puisque cela signifie que
l’ACPR a considéré que ces établissements étaient dignes de sa confiance.
348. Au stade de l’exercice de l’activité, l’ACPR va notamment veiller à ce que les

établissements soumis à son contrôle observent les règles de solvabilité et les règles relatives
à la lutte contre le blanchiment d’argent et le financement du terrorisme. Plus largement,
l’ACPR va veiller au respect des règles liées à la protection de la clientèle. En cas de
manquement observé, elle est en mesure de prendre des mesures de police administrative et
de prononcer des sanctions à l’encontre des établissements contrevenants366. Elle peut par
ailleurs, dans les cas les plus graves, retirer les autorisations et agréments qu’elle avait
accordés aux établissements, les contraignant à mettre fin à leur activité.
364
Article L612-1 du Code Monétaire et Financier.
365
Articles L612-1 et suivants du Code Monétaire et Financier.
366
Article L612-1 IV du Code Monétaire et Financier
Page 135 sur 317

349. On peut donc considérer que l’existence même de l’ACPR et la crainte d’une sanction,
font de cette autorité un gardien de la protection des clients, qui peuvent accorder leur
confiance à leur tour sur la base de celle que l’ACPR a elle-même accordée aux
établissements sous son contrôle.
350. Cependant, la confiance générée par le visa de l’ACPR n’est en réalité pas infaillible.
D’abord car elle suppose que le client vérifie que l’établissement avec lequel le client fait
affaire a bien été autorisé par l’ACPR à exercer son activité, ce qui suppose qu’il fasse un
minimum de recherches. Ensuite, parce qu’un manquement aux règles de protection de la
clientèle ou plus largement à la réglementation ne sera souvent détecté par l’ACPR que si
elle décide de contrôler ledit établissement. Or, les contrôles de l’ACPR ne sont, en l’absence
de soupçons de cette dernière, pas systématiques. Il peut donc se passer plusieurs années
avant que le manquement d’un établissement ne soit sanctionné par l’ACPR.
351. Si l’on peut considérer que le visa de l’ACPR traduit la confiance de cette autorité
dans l’établissement et indique à la clientèle que cet établissement est reconnu comme fiable
par une autorité nationale, cela ne semble donc pas pouvoir constituer un vecteur de
confiance numérique suffisant pour le client.
B – LA VEILLE DE L’AMF AU SERVICE DE LA CONFIANCE DES INVESTISSEURS
352. Outre l’ACPR, une autre autorité agit comme garante de la protection de la clientèle
des établissements financiers : l’Autorité des Marchés Financiers, instituée en 2003 par la
Loi de sécurité financière 367 . Son périmètre est toutefois différent de celui de l’ACPR
puisque l’AMF se focalise principalement sur la protection d’un type de clients, les
367
Loi n° 2003-706 du 1 août 2003 de sécurité financière
Page 136 sur 317

investisseurs, et l’épargne qu’ils investissent en vertu des articles L621-1 et suivants du Code
Monétaire et Financier368.
353. Comme l’ACPR, l’AMF assure cette protection en s’assurant de la bonne information
des clients et en contrôlant le respect des règles relatives à la commercialisation de produits
financiers, notamment celles prévues par les codes de conduite homologués. Les offres
d’investissement frauduleuses étant relativement fréquentes, l’AMF a également mis en
place une « liste noire » des sociétés et sites proposant des services financiers qui ont fait
l’objet d’une mise en garde de l’AMF ou qui usurpent l’identité d’un autre acteur de la place
financière qui, lui, est autorisé à exercer369.
354. En outre, l’AMF contribue fortement à la sensibilisation des épargnants pour renforcer
leur maîtrise du sujet de l’investissement, et ainsi les rendre à même de choisir avec soin les
acteurs financiers auxquels ils peuvent accorder leur confiance. Pour ce faire, l’AMF
procède principalement au travers de fiches pratiques, de quiz, de guides ou de FAQ370.
L’AMF met également à disposition des investisseurs deux applications mobiles leur
permettant de vérifier la fiabilité des acteurs avec lesquels ils entendent faire affaire et
développer leurs connaissances en matière d’investissement : « AMF Protect Épargne 371 »
et l’application « FINQUIZZ 372 ».
368
Le premier alinéa de l'article L621-1 du Code Monétaire et Financier dispose que: « L'Autorité des marchés
financiers, autorité publique indépendante, veille à la protection de l'épargne investie dans les instruments
financiers, les unités mentionnées à l'article L. 229-7 du code de l'environnement et les actifs mentionnés au
II de l'article L. 421-1 du présent code donnant lieu à une offre au public ou à une admission aux négociations
sur un marché réglementé et dans tous autres placements offerts au public. Elle veille également à l'information
des investisseurs et au bon fonctionnement des marchés d'instruments financiers, d'unités mentionnées à
l'article L. 229-7 du code de l'environnement et d'actifs mentionnés au II de l'article L. 421-1 du présent code.
Elle apporte son concours à la régulation de ces marchés aux échelons européen et international. Elle veille
à la qualité de l'information fournie par les sociétés de gestion pour la gestion de placements collectifs sur
leur stratégie d'investissement et leur gestion des risques liés aux effets du changement climatique. »
369
La liste des établissement sur liste noire de l'AMF est disponible à l'adresse suivante :
https://www.amf-france.org/fr/espace-epargnants/proteger-son-epargne/listes-noires-et-mises-en-garde
,consulté le 11/03/2022.
370
Frequently Asked Questions », qui se traduit en français pas « questions fréquemment posées » ou
simplement « questions fréquentes »
371
Voir la page dédiée à AMF Protect Epargne sur le site officiel de l'AMF, disponible à l’adresse suivante :
https://www.amf-france.org/fr/espace-epargnants/application-protect-epargne,consulté le 11/03/2022.
372
Voir la page dédiée au Finquizz sur le site officiel de l'AMF, disponible à l’adresse suivante :
https://www.amf-france.org/fr/espace-epargnants/application-finquiz,consulté le 11/03/2022.
Page 137 sur 317

355. D’autres autorités, plus orientées vers le numérique contribuent également à renforcer
la confiance numérique des individus : la CNIL et l’ANSSI.
§ 2 - L’INFLUENCE DE LA CNIL ET DE L’ANSSI SUR LA CONFIANCE
NUMERIQUE
356. Si le fait qu’un établissement soit légalement autorisé à exercer son activité par
l’ACPR, et qu’il ne figure pas sur une quelconque liste noire de l’AMF, est certainement un
élément de réassurance important, il faut tout de même reconnaître que ces deux autorités
ne bénéficient pas d’une très grande notoriété auprès des clients profanes. Dans la plupart
des cas, la réalité de l’agrément ou de l’enregistrement de l’établissement ne sera donc pas
vérifiée par le client. De même, les décisions de l’AMF étant très peu mises en avant en
dehors de son propre site internet, leur efficacité est grandement limitée.
357. En complément de la confiance générée par l’autorisation d’exercer une activité que
peut accorder l’ACPR ou par les actions de l’AMF, l’influence des décisions, certifications
et labels de la CNIL (A) et de l’ANSSI (B) peuvent également être perçues comme des
vecteurs de confiance, ou au contraire de méfiance numérique, vis-à-vis de certains
établissements. D’autant plus en raison de la notoriété grandissante de la CNIL auprès du
grand public depuis l’entrée en application, en 2018, du RGPD et la médiatisation qui l’a
entourée.
A – LE ROLE DE LA CNIL EN MATIERE DE CONFIANCE NUMERIQUE
358. Bien que créée en 1978 par la Loi Informatique et Libertés, la CNIL est restée
relativement inconnue du grand public pendant près de 40 ans, sans doute, en partie en raison
du faible pouvoir de sanction dont elle disposait alors. L’adoption du RGPD et
l’augmentation considérable du pouvoir de sanction de la CNIL à cette occasion a ainsi fait
découvrir à beaucoup d’individus l’existence et le rôle de cette autorité373, souvent présentée
373
TRAN C., « La CNIL dans l'environnement européen de la protection des données personnelles : renouveau
d'une autorité administrative indépendante », Droit Administratif n° 1, Janvier 2022, étude 1
Page 138 sur 317

comme le « gendarme des données personnelles ». Les sanctions de 35 millions et 100
millions d’euros infligées respectivement aux entreprises Amazon374 et Google en décembre
2020375 ont par exemple été relayées par de nombreux quotidiens tels que Le Monde376 et
Le Parisien 377 . Il s’agissait alors de sanctionner ces deux GAFAM en affectant leur
réputation par la mise en avant de leur non-conformité à la réglementation relative à la
protection de la vie privée de leurs clients.
359. Si les décisions de la CNIL peuvent être source de méfiance à l’égard des
établissements sanctionnés, elle dispose également d’outils lui permettant au contraire de
générer la confiance des individus. En effet, l’article 42 du RGPD378 encourage les États à
mettre en place des mécanismes de certification. Dans ce cadre, le CNIL a mis fin à ses
pratiques de labélisation pour mettre en place un mécanisme de certification.
360. Contrairement aux labels qu’elle a pu délivrer par le passé en revanche, la CNIL ne
délivre pas directement les certifications, elle ne fait qu’agréer les organismes de
certifications, qui se chargeront à leur tour de délivrer les certifications aux établissements
ou personnes qui souhaitent être certifiés379. Par ailleurs, la liste des établissements certifiés
n’est pas disponible sur le site de la CNIL contrairement à celle des organismes labellisés,
ce qui réduit leur publicité auprès du grand public.
361. Bien que ces certifications ne soient pas obligatoires, et qu’elles soient finalement peu
visibles, en dehors du macaron que l’établissement ou la personne certifiée apposera sur son
propre site, elles connaissent un certain succès auprès des responsables de traitement qui
considèrent la détention de ces certifications comme un véritable facteur de différentiation
Délibération de la formation restreinte no SAN-2020-013 du 7 décembre 2020 concernant la société

374
AMAZON EUROPE CORE

375
Délibération de la formation restreinte no SAN-2020-012 du 7 décembre 2020 concernant les sociétés
GOOGLE LLC et GOOGLE IRELAND LIMITED
376
ANONYME, « La CNIL inflige de lourdes amendes à Google et Amazon pour non-respect de la législation
sur les cookies », Le Monde, 2020
377
ANONYME, « Cookies : la Cnil inflige des amendes de 100 et 35 millions d'euros à Google et Amazon »,
Le Parisien, 2 020
378
Article 42 du RGPD
379
Site officiel de la CNIL
Page 139 sur 317

et un signal de confiance fort pour les individus. Le même constat peut être fait vis-à-vis de
l’ANSSI.
B – LE ROLE DE L’ANSSI EN MATIERE DE CONFIANCE NUMERIQUE
362. Créé en 2009 par le Décret du 7 Juillet 2009 portant création d’un service à compétence
nationale dénommé « Agence Nationale de la Sécurité des Systèmes d’Information 380 »,
l’ANSSI se présente comme garante de la protection des systèmes d’information,
indispensable face à la recrudescence des actes de cyber-malveillance. Dans le cadre de cette
mission, l’ANSSI met à disposition des administrations et entreprises françaises des
contenus éditoriaux visant à les sensibiliser au sujet de la cybercriminalité, des guides de
bonnes pratiques ou encore des synthèses des principales réglementations applicables en la
matière.
363. À la différence de la CNIL, qui peut être amenée à interagir avec les particuliers dans
le cadre du traitement des plaintes qu’ils lui communiquent, l’ANSSI n’a en principe jamais
l’occasion d’interagir directement avec des derniers, ce qui explique sans doute qu’elle soit
bien moins connue que la CNIL. Pourtant, l’ANSSI tend, petit à petit, à se faire également
une place en tant que garant de la confiance numérique des individus en procédant, comme
la CNIL, à des actions de sensibilisation et de vulgarisation du sujet de la sécurité des
systèmes d’information et de la cybercriminalité. La meilleure illustration de cette démarche
est certainement la mise en ligne en mai 2017 de la plateforme SecNum académie381, qui
vise, au travers d’un MOOC382, à développer les connaissances des individus en la matière.
380
Décret n° 2009-834 du 7 juillet 2009 portant création d'un service à compétence nationale dénommé «
Agence nationale de la sécurité des systèmes d'information », NOR : PRMD0914748D, JORF n°0156 du 8
juillet 2009
381
Voir le site officiel secnumacademie, depuis lequel le MOOC de l’ANSSI peut être réalisé :
https://secnumacademie.gouv.fr,consulté le 11/03/2022.
382
MOOC est l’acronyme de « massive open online course » c’est-à-dire un cours en ligne ouvert à tous
Page 140 sur 317

364. Enfin, à l’image de la CNIL, l’ACPR et l’AMF, l’ANSSI se positionne également
comme acteur du développement de la confiance numérique au travers de ses activités de
qualification, certification et labélisation des produits et solutions de sécurité383.
365. Outre ces entités publiques, le développement des visas de confiance numérique est
également notable dans le domaine privé.
SECTION II – LE DEVELOPPEMENT DU COMMERCE DE LA

PREUVE DE CONFIANCE NUMERIQUE
366. Dans le contexte numérique actuel, les signes extérieurs de confiance trouvent toute
leur importance. Et si les signaux de confiance issus d’entités publiques sont importants en
la matière, ceux issus d’entités privées tendent également à prendre de l’importance.
367. Conscients du potentiel marché que représente la confiance numérique, des acteurs
privés se sont en effet emparés du sujet, parfois en tant que tiers certifiés par une autorité
publique, parfois en se proclamant eux-mêmes tiers de confiance numérique.
368. Ces acteurs privés proposent ainsi aux personnes et entreprises, contre rémunération,
de leur accorder un signe visible de confiance numérique que ces derniers pourront mettre
en avant auprès de leur clientèle. On peut ainsi dire que le commerce de la confiance est
aujourd’hui une réalité, bien que le fait qu’une rémunération intervienne puisse certainement
remettre en cause la partialité de ces visas de confiance.
369. Dans ce marché privé de la confiance numérique, les acteurs souhaitant bénéficier des
signaux de confiance sur le marché ont principalement deux options : obtenir eux-mêmes le
statut de tiers de confiance numérique (§1) ou utiliser des outils, dits, de confiance
numérique (§2)
383
Le visa de sécurités de l’ANSSI est présenté sur son site officiel, à l’adresse suivante :
https://www.ssi.gouv.fr/entreprise/visa-de-securite/,consulté le 11/03/2022.
Page 141 sur 317

§ 1 - LES TIERS DE CONFIANCE NUMERIQUE PRIVES
370. Le statut de tiers de confiance n’a pas de définition légale, il n’est en effet défini par
aucune réglementation à ce jour. Il est en revanche utilisé comme macrocatégorie regroupant
des acteurs dont certains ont, eux, un statut juridique défini par la réglementation : les
prestataires de services de confiance (A), dont les associations se font une place certaine
dans le secteur de la confiance numérique (B).
A - LE STATUT DE PRESTATAIRE DE SERVICES DE CONFIANCE
371. Dans le cadre de sa stratégie numérique pour l’Europe publiée en 2010384 et en réponse
à la problématique de confiance numérique que la Commission Européenne détectait déjà
chez les consommateurs européens, de nombreuses pistes avaient été identifiées pour
améliorer la situation, parmi lesquelles, la révision du cadre de protection des données à
caractère personnel, la poursuite du décloisonnement des marchés numériques et le
renforcement de l’interopérabilité des outils numériques, notamment ceux utilisés au sein de
l’Union Européenne.
372. Cette stratégie a effectivement donné lieu, entre autres, à l’adoption du RGPD et du
Règlement eIdas. Moins connu du grand public que le RGPD, le Règlement eIdas du 23
Juillet 2014 a pourtant apporté un grand nombre d’évolutions en matière de confiance
numérique385, mettant notamment à jour un cadre juridique vieillissant pour la signature
électronique, le cadre juridique alors en vigueur étant issu de la directive du 13 Décembre
1999 relative à un cadre Communautaire pour les signatures électroniques386, transposée en
France par la Loi du 13 Mars 2000387.
384
européen et au comité des région du 26 Aout 2010 relative à une Stratégie Numérique pour l’Europe
385
abrogeant la directive 1999/93/CE, dit Règlement eIdas, JOUE L257, du 28 aout 2014
386
Directive 1999/93/CE du Parlement européen et du Conseil, du 13 décembre 1999, sur un cadre
communautaire pour les signatures électroniques, JOUE L13, du 19 janvier 2000
387
Loi n° 2000-230 du 13 mars 2000 portant adaptation du droit de la preuve aux technologies de l'information
et relative à la signature électronique
Page 142 sur 317

373. Parmi les principaux apports du Règlement eIdas, la création du statut de Prestataire
de Services de Confiance (PSCo) semble être l’élément central donc dépendent tous les
services de confiance qualifiés prévus par le Règlement eIdas. Cet élément est d’ailleurs
clairement affirmé au considérant 28 du Règlement eIdas, qui dispose que :"Pour accroître,
en particulier, la confiance des petites et moyennes entreprises (PME) et des consommateurs
dans le marché intérieur et pour promouvoir l’utilisation des services et produits de
confiance, les notions de service de confiance qualifié et de prestataire de services de
confiance qualifié devraient être introduites en vue de définir les exigences et obligations
qui assurent un niveau élevé de sécurité de tous les services et produits de confiance qualifiés
qui sont utilisés ou fournis388 »
374. En France, l’ANSSI a la charge de qualifier les prestataires de confiance et tient à

disposition des entreprises et usagers une liste répertoriant l’ensemble des prestataires
qualifiés389. S’agissant d’un dispositif européen, la Commission Européenne tient également
une liste des prestataires de services qualifiés au sein des différents États membres de
l’UE390.
375. Bien qu’accessibles par quiconque en fait la recherche, ces listes manquent néanmoins
de visibilité et de notoriété auprès du grand public. C’est pourquoi les associations de tiers
de confiances numériques semblent être une vitrine tout adaptée à la mise en lumière des
entreprises qualifiées en tant que prestataires de services de confiance qualifiés et de ceux
qui, sans être eux-mêmes prestataires de services de confiance qualifiés, ont vocation à
bénéficier de cette bonne image par association.
388
Considérant 28 du Règlement (UE) no 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur
l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché
intérieur et abrogeant la directive 1999/93/CE, dit Règlement eIdas, JOUE L257, du 28 aout 2014
389
La liste des produits et services qualifiés par l’ANSSI est disponible en ligne à l’adresse suivante :
https://www.ssi.gouv.fr/uploads/liste-produits-et-services-qualifies.pdf,consulté le 11/03/2022.
390
La liste des produits et services qualifiés au niveau Européen est disponible sur le site de la Commission
Européenne, à l’adresse suivante : : https://esignature.ec.europa.eu/efda/tl-browser/#/screen/home,consulté le
11/03/2022.
Page 143 sur 317

B – LES ASSOCIATIONS DE TIERS DE CONFIANCE
376. En France, il existe depuis maintenant 20 ans une association regroupant un grand
nombre de tiers de confiance numérique connue sous le nom de Fédération Nationale des
Tiers de Confiance du numérique ou FNTC. Cette association regroupe différents
professionnels présentant tous une expertise les rendant susceptibles d’être présentés comme
« tiers de confiance du numérique » ainsi que, depuis 2018, des professionnels qui recourent
à des services de confiance tels que certains grands groupes bancaires français, parmi
lesquels comptent notamment les groupes bancaires BNP, BPCE et Société Générale.391
377. La FNTC compte ainsi aujourd’hui cinq collèges : Un collège regroupant les
opérateurs et prestataires de services de confiance, un collège regroupant les éditeurs et
intégrateurs de solutions de confiance, un collège regroupant les experts et représentants des
utilisateurs, un collège regroupant les institutionnels et professions réglementées et enfin un
collège regroupant les utilisateurs de services de confiance. L’appartenance à cette
association permet à ses adhérents de mettre en avant, là encore, la confiance numérique
qu’ils entendent générer au travers de leurs activités respectives. Depuis 2014, l’activité de
labellisation de la FNTC permet également aux professionnels labellisés de mettre en avant
un visa de confiance numérique privé.
378. Notons par ailleurs les travaux réalisés dans le cadre des différents groupes de travail
de la FNTC, notamment concernant les sujets dont la réglementation applicable peut être
difficile à appréhender, tels que ceux des données à caractère personnel, de la blockchain et
de la signature électronique. En effet, en réunissant des experts du sujet pour établir des
codes de bonnes pratiques et autres documents ayant vocation à aider les adhérents dans
l’application des règles qui leur sont applicables, la FNTC permet à ceux-ci de faire une
application sans doute plus juste de ces dernières en limitant les risques de mauvaise
interprétation.
La liste des adherents de la FNTC est disponible sur son site internet à l’adresse suivante: https://fntc-
391
numerique.com/fr/liste-des-adherents/nos-adherents.html,consulté le 11/03/2022.
Page 144 sur 317

§ 2 - LES OUTILS DE CONFIANCE NUMERIQUE
379. Parmi les prestataires de services de confiance, se trouvent de nombreux éditeurs et

fournisseurs d’outils, dits, de confiance numérique. Parmi ceux-ci, figurent naturellement
tous les éditeurs d’outils de confiance numérique encadrés par le Règlement eIdas tels que
la signature électronique, l’archivage électronique et les lettres recommandées électroniques.
Nous ne parlerons pas ici de manière détaillée des moyens d’identification électronique car
ils ont déjà été présentés dans le premier titre de cette partie, et leur usage est encore trop
peu rependu parmi les acteurs privés. Outre les outils prévus par le Règlement eIdas, les
banques peuvent également opter pour l’adoption de codes et chartes de bonnes pratiques
numériques pour véhiculer la confiance de leur clientèle.
380. Nous proposons d’étudier ici la pratique des banques en matière d’outils eIdas de
confiance numérique (A), ainsi que des codes et chartes de bonne pratiques (B).
A - LES OUTILS EIDAS DE CONFIANCE NUMERIQUE
381. Parmi les nombreux outils, dits, « de confiance », encadrés par le Règlement eIdas, la
signature électronique est très certainement celui dont l’usage est aujourd’hui le plus répandu
dans le secteur financier. Développement de la souscription à distance oblige, aujourd’hui,
les banques proposent presque toutes à leurs clients de signer électroniquement leurs
contrats. Il est intéressant de noter par ailleurs que la signature électronique est également
de plus en plus proposée lors de souscriptions en face-à-face afin d’offrir aux clients la
possibilité de recevoir leurs liasses contractuelles de manière entièrement dématérialisée.
382. Il semble cependant que parmi les trois niveaux de signatures électroniques prévus par
le règlement eIdas, les banques proposent rarement à leurs clients des signatures
électroniques du niveau le plus élevé. En effet, le Règlement eIdas prévoit trois niveaux de
signature, du moins fiable au plus fiable : la signature électronique simple, la signature
électronique avancée et la signature électronique qualifiée.
383. La complexité associée aux préalables à l’attribution du certificat de signature

électronique nécessaire à la signature électronique qualifiée la rend difficilement exploitable
dans une relation que les banques veulent fluide et intuitive. Ce qui est regrettable car c’est
la seule signature électronique qui bénéficie, comme la signature manuscrite, d’une
Page 145 sur 317

présomption de fiabilité, comme le précisent l’article 1367 du Code civil392 et le décret du
28 septembre 2017 relatif à la signature électronique393.
384. La signature électronique avancée se veut plus fluide, notamment grâce à l’identité
numérique La Poste, que nous évoquions plus tôt dans cette étude, mais elle reste encore
trop peu répandue pour que le recours à la signature électronique avancée soit systématique
lors des parcours de souscription. C’est donc actuellement la signature électronique simple
qui est la plus proposée dans les parcours de souscription, mais peut-être que la
généralisation des identités numériques permettra à moyen terme aux banques de proposer
aux clients de choisir le niveau de signature électronique qu’ils souhaitent utiliser.
385. Outre la signature électronique, les banques proposent également de plus en plus de
s’appuyer sur leur identité numérique fédérée dans FranceConnect pour s’authentifier lors
de la souscription. Là aussi cependant, bien que cette possibilité leur soit offerte depuis
2018, dans le cadre de l’entrée en vigueur de l’arrêté du 8 Novembre 2018 relatif à
FranceConnect394, très peu de banques proposent ce type d’authentification, la première
ayant été Boursorama, qui le propose depuis début 2019395.
386. En dépit de l’éventail d’outils eIdas disponibles à l’usage, ils ne nous semblent pas
être exploités à leur plein potentiel, de même que les codes et chartes de bonnes pratiques.
392
Article 1367 du Code Civil : « La signature nécessaire à la perfection d'un acte juridique identifie son
auteur. Elle manifeste son consentement aux obligations qui découlent de cet acte. Quand elle est apposée par
un officier public, elle confère l'authenticité à l'acte.
Décret n° 2017-1416 du 28 septembre 2017 relatif à la signature électronique, NOR : JUSC1716705D,
393
JORF n°0229 du 30 septembre 2017

394
Arrêté du 8 novembre 2018 relatif au téléservice dénommé « FranceConnect » créé par la direction
interministérielle du numérique et du système d'information et de communication de l'Etat, NOR :
PRMJ1819224A, JORF n°0264 du 15 novembre 2018
395
ANONYME, “Boursorama, première banque à proposer FranceConnect pour simplifier toujours plus
l'expérience digitale de ses clients”, site internet Boursorama, 2019
Page 146 sur 317

B - LES CODES ET CHARTES DE BONNES PRATIQUES NUMERIQUES
387. En raison de leur absence de caractère contraignant contrairement à la réglementation,

les codes et chartes de bonnes pratiques numériques ont un potentiel, en termes de confiance
numérique, très intéressant, puisqu’ils traduisent une réelle volonté de l’entreprise qui s’y
conforme plutôt qu’une résignation à le faire pour éviter les conséquences juridiques
associées à une non-conformité. Ils restent cependant relativement rares aujourd’hui, en
dépit des efforts entrepris pour inciter les professionnels à se tourner vers ces outils.
388. Parmi ces efforts, le plus notable est, ironiquement peut-être, issu justement d’une
réglementation. C’est ainsi que le RGPD, qui, lui, est contraignant, invite les responsables
de traitement à recourir à des codes de conduite, non contraignants, pour « contribuer à la
bonne application du présent Règlement, compte tenu de la spécificité des différents secteurs
de traitement et des besoins spécifiques des micro, petites et moyennes entreprises396 ».
389. La CNIL ne répertorie malheureusement qu’un seul code de conduite de la sorte à ce

jour 397 . Mais d’autres codes de bonne conduite mentionnés par la réglementation,
notamment dans le secteur financier398 ou en matière de démarchage téléphonique ont, eux,
vu le jour 399 . Aussi contradictoires qu’elles semblent être, les preuves de confiance
numérique sont vraisemblablement au centre de la stratégie du législateur dans sa quête du
renforcement de la confiance numérique.
390. La proposition de Loi pour la mise en place d’une certification de cybersécurité des
plateformes numériques destinées au grand public, en cours de seconde lecture400 au Sénat,
semble indiquer que le recours aux preuves de confiance numérique est toujours au cœur de
la stratégie du législateur dans sa quête de confiance numérique.
396
Article 40 du Règlement Général sur la Protection des Données
397
En octobre 2021, le seul Code de conduite approuvé par la CNIL est celui dédié aux fournisseurs
d’infrastructures Cloud porté par Cloud Infrastructure Service Providers Europe (CISPE). A ce sujet, voir la
Délibération de la CNIL 2021-065 du 3 juin 2021 portant approbation du code de conduite européen porté par
Cloud Infrastructure Service Providers Europe (CISPE).
398
Article L612-29-1 du Code Monétaire et Financier
399
Article L223-1 du Code de la Consommation
400
En décembre 2021, la proposition de Loi est toujours débattue au Sénat. Voir le dossier sur le site officiel
du Sénat, disponible à cette adresse : https://www.senat.fr/dossier-legislatif/ppl19-629.html,consulté le
11/03/2022.
Page 147 sur 317

391. Si la confiance numérique semble bel et bien jouer un rôle important dans la
souscription d’un contrat auprès d’une banque, ce rôle est davantage prégnant, encore, quand
il s’agit d’étudier ses rapports avec la responsabilité dans le domaine bancaire.
Page 148 sur 317

392. Comme nous venons de le voir, il semble que la confiance numérique puisse
effectivement être issue d’un tiers, lui attribuant de fait la qualité de tiers de confiance
numérique.
393. Parmi ces tiers de confiance numérique, certaines autorités, telles que l’ACPR, l’AMF,
la CNIL et l’ANSSI jouent un rôle important dans l’établissement de la confiance numérique
des clients dans leurs banques notamment en accordant aux établissements qu’elles jugent
dignes de les recevoir des signes de confiance extérieurs, tels que des autorisations, des
labels ou des certifications.
394. À l’inverse, le refus ou le retrait d’une autorisation, d’un visa, ou d’une certification
sont des signes de méfiance qui indiquent aux individus que ces établissements ne sont pas
dignes de confiance, en tout cas pas en ce qui concerne le périmètre du visa de confiance qui
leur a été refusé.
395. Ces signes de confiance extérieurs semblent également pouvoir être issus de tiers de
confiance privés, ou d’outils de confiance numérique, s’appuyant notamment sur les
dispositions du Règlement eIdas.
396. Si le recours aux preuves de confiance numérique semble être une bonne idée en ce
qu’il s’agit, pour l’individu, d’appuyer sa décision de faire confiance à une banque sur la
décision d’un expert du sujet, qu’il s‘agisse d’une autorité ou d’un tiers de confiance privé,
la confiance que peuvent générer les preuves de confiance est contestable par deux égards.
397. D’abord parce que l’authenticité de la preuve de confiance doit être vérifiée, ce qui est
rarement fait par les individus. Par exemple, bien que les individus puissent consulter le
Registre des agents financiers, le REGAFI, rares sont ceux qui le consultent pour vérifier
que l’établissement est réellement autorisé à exercer son activité.
398. Ensuite, en ce qui concerne les preuves de confiance monnayables, le fait qu’elles
soient subordonnées au versement d’un règlement peut remettre en question la légitimité de
l’établissement qui la reçoit et la neutralité de celui qui la délivre.
Page 149 sur 317

CONCLUSION DU TITRE
399. De même qu’au stade de l’entrée en relation, la confiance numérique semble ainsi
occuper également une place centrale au stade de la perfection du contrat et à juste titre
puisqu’il s’agit de l’étape finale de la conclusion du contrat entre sa banque et son client.
400. Les nombreuses informations que les banques sont contraintes de fournir à leurs clients
à ce stade représentent un sujet qui justifierai la plus grande précaution des banques. En
effet, si les informations à fournir au client ont notamment vocation à permettre à l’individu
de prendre la décision de contractualiser avec la banque en toute confiance, leur grand
nombre peut être en réalité anxiogène et devenir un vecteur de méfiance.
401. C’est pourquoi il est primordial que les banques évaluent bien le niveau de
connaissance de leurs prospects et clients pour adapter en conséquence les informations à
fournir aux individus, notamment en travaillant la forme comme le permet la pratique du
legal design.
402. Il est d’autant plus important pour les banques de veiller à ce que les individus prennent
effectivement connaissance des informations qu’elles fournissent que c’est également à
l’occasion de la prise de connaissance des informations qui lui sont destinées que le prospect
ou client peut également être informé des autorisations, labels ou certifications dont dispose
la banque.
403. À ce titre, ces preuves de confiance peuvent également rassurer les clients quant à la
légitimité de l’établissement avec lequel ils s’apprêtent à contractualiser, de même que
l’appartenance dudit établissement a une association de tiers de confiance ou son recours à
des outils de confiance.
Page 150 sur 317

CONCLUSION DE LA PREMIER PARTIE
404. En conclusion de cette partie, qui consistait à rechercher si la confiance numérique

pouvait jouer un quelconque rôle au stade de la conclusion du contrat entre une banque et
son client, il nous semble effectivement pouvoir l’affirmer.
405. En effet, tant au stade de l’entrée en relation, qu’au stade de la perfection du contrat,
il semble que plusieurs pratiques mises en place par le législateur, ou spontanément par les
banques, aient vocation à renforcer la confiance numérique de la banque dans son client et
de son client dans sa banque.
406. Au stade de l’entrée en relation d’abord, nous notons en effet que les différentes
mesures liées à la vérification de l’identité, et plus globalement à la connaissance client,
concourent effectivement à la confiance de la banque dans son client. Inversement, la rigueur
de la banque dans la vérification de l’identité du client peut être un élément rassurant pour
les clients.
407. Il existe tout de même une difficulté inhérente à cette phase d’entrée en relation. Les
mesures prises par la banque pour contrôler l’identité de son client et renforcer sa
connaissance de ce dernier peuvent être anxiogènes pour celui-ci, dont les données peuvent
être amenées à être communiquées à des tiers tels que l’administration fiscale, ou à figurer
dans des fichiers tels que le FICOBA ou le FICOVIE.
408. Par ailleurs, le recours à des techniques telles que le profilage dans un contexte
entièrement distant peut poser question quant à la confiance numérique qui s’établit alors
davantage entre la banque et le profil, potentiellement erroné de son client, qu’entre la
banque et son client.
409. Au stade de la perfection du contrat ensuite, si la transparence de la banque, qui se

traduit par la bonne information du client, est un élément essentiel à la confiance numérique
du client, qui peut ainsi choisir de contractualiser avec la banque en toute connaissance de
cause, il est essentiel que ces informations soient conditionnées spécifiquement aux
circonstances d’une relation potentiellement entièrement distante.
410. En effet, nous notons, là aussi, une difficulté inhérente à la transparence, qui peut, si
elle n’est pas optimisée en vue de simplifier la prise de connaissance des informations et
Page 151 sur 317

d’en assurer la compréhensibilité, être au contraire une source de méfiance pour les
individus.
411. L’absence d’effort en la matière peut en effet être perçu comme une pratique de la
banque visant à ne pas rechercher à ce que le client lise effectivement les informations, ou,
simplement décourager certains individus de contractualiser de peur de s’engager sans
comprendre ce à quoi ils s’engagent. Les banques ont fort heureusement des perspectives en
la matière, notamment en recourant à la pratique du legal design, qui peut par ailleurs faciliter
la mise en avant de preuves de confiance tels que les autorisations, certifications ou labels
dont dispose la banque, mais aussi les outils de confiance auxquels elle recourt.
412. En synthèse, la confiance numérique est indéniablement omniprésente tout au long du

processus de conclusion du contrat entre la banque et son client. Aussi, puisque la signature
du contrat concrétise le lien de confiance numérique entre la banque et son client, il serait
logique que cette confiance numérique ait également une incidence au stade de l’exécution
du contrat.
Page 152 sur 317

SECONDE PARTIE - LES RAPPORTS
ENTRE CONFIANCE ET
RESPONSABILITÉ DANS LE
DOMAINE BANCAIRE
Page 153 sur 317

413. Les notions de responsabilité et de confiance semblent entretenir des liens étroits, qu’il
s’agisse de responsabilité contractuelle ou de responsabilité délictuelle. En matière de
responsabilité contractuelle par exemple, dans la mesure où la responsabilité est engagée en
cas de non-respect des engagements pris par l’une ou l’autre des parties401, ne peut-on pas
alors considérer que la confiance que les parties avaient entre elles est, dans ce contexte,
compromise, et que c’est cette compromission de la confiance qui entraîne la responsabilité
de celui qui en est à l’origine ?
414. Cette observation peut également être faite en matière délictuelle, qu’il s’agisse de
traiter de la responsabilité dite du fait personnel 402 ou de la responsabilité dite du fait
d’autrui403 ou du fait d’une chose404. La responsabilité des parents du fait de leurs enfants,
ou celle des gardiens du fait des animaux et des choses sous leur garde ne pourraient-elles
pas être analysées comme trouvant leur source dans la trahison de la confiance que l’on peut
légitimement avoir dans le parent pour surveiller son enfant et dans le gardien pour contrôler
son animal ou sa chose ?
415. En suivant ce raisonnement, on pourrait considérer que dans le cadre d’une relation
entre une banque et son client, les régimes de responsabilité établis à la charge des banques,
que nous étudierons dans cette partie, sont justifiés par la confiance que lui a accordée son
client pour protéger son patrimoine.
416. Nous nous attacherons dans cette partie à étudier dans quelle mesure la perte de
confiance numérique peut être source de responsabilité (Titre I) mais aussi à explorer si, à
l’inverse, la responsabilité ne serait pas un vecteur mal exploité de confiance numérique
(Titre II).
DELEBECQUE P., « Modalités de la réparation. – Règles particulières à la responsabilité contractuelle. –

401
Conventions relatives à la responsabilité”, J. Cl Contrats – Distribution, Fasc. 115, 2018

402
JOURDAIN P.,« Droit à réparation– Responsabilité fondée sur la faute. – Responsabilité du fait personnel”,
J. Cl Civil Code, Fasc. 123, 2020
RADE C., « Droit à réparation – Principe général”, J. Cl Responsabilité civile et Assurances, Fasc., 140,
403
2020
404
CATHELINEAU A., « Droit à réparation - Responsabilité du fait des choses. – Principe général”, J. Cl
Responsabilité civile et Assurances, Fasc.150-1, 2013
Page 154 sur 317

TITRE I –LA PERTE DE CONFIANCE
NUMERIQUE COMME SOURCE DE
RESPONSABILITE DANS LE
DOMAINE BANCAIRE
Page 155 sur 317

417. Les différents vecteurs de confiance numérique que nous avons étudiés jusqu’ici,
semblent effectivement, bien que de manière variable, contribuer à l’établissement d’une
relation de confiance numérique entre la banque et son client au stade de la conclusion du
contrat.
418. Si l’incidence de la confiance peut effectivement être perçue quand il s’agit de motiver
la décision d’un individu de contractualiser avec une banque, qu’en est-il quand il s’agit de
le faire rester ? Quels sont les vecteurs de confiance numérique au stade de l’exécution du
contrat liant le client à sa banque et sont-ils efficaces ?
419. Une fois le contrat conclu, le client, toujours dans un environnement numérique, va
prendre en main les différents outils mis à sa disposition pour réaliser des actes de
consultation ou de gestion de manière autonome. On pourrait alors légitimement supposer
que l’utilisation, ou le refus d’utilisation de ces outils, traduit la confiance, ou au contraire
la méfiance, que le client a pour lesdits outils et sa banque.
420. Les différentes affaires mettant en lumière des failles de sécurité ou des actes de cyber
malveillance ont irrémédiablement pour effet de générer l’anxiété de certains clients, qui
craignent alors pour la sécurité de leurs informations et leur patrimoine. C’est pourquoi la
réglementation et la jurisprudence tentent depuis maintenant plusieurs années, d’établir un
environnement juridique censé renforcer la confiance que les clients peuvent avoir dans leurs
banques et les outils que ces dernières leur mettent à disposition405.
421. Pour répondre à la problématique de confiance numérique, le législateur et la

jurisprudence ont en effet établi des règles très protectrices de la clientèle. Nous nous
attacherons donc ici à étudier les deux attentes légitimes406 de la clientèle semblant pouvoir
405
Citons par exemple le considérant 34 de la Directive 2007/64/CE du Parlement européen et du Conseil du
13 novembre 2007 concernant les services de paiement dans le marché intérieur « Toutefois, les États membres
devraient pouvoir fixer des règles moins contraignantes que celles qui sont mentionnées ci-dessus, afin de
maintenir les niveaux existants de protection des consommateurs et de favoriser la confiance en la sureté́ de
l'utilisation des instruments de paiement électronique » ; et le considérant 7 du Règlement UE 2016/679 du
Parlement européen et du Conseil du 27 avril 2016 : « Ces évolutions requièrent un cadre de protection des
données solide et plus cohérent dans l'Union, assorti d'une application rigoureuse des règles, car il importe
de susciter la confiance qui permettra à l'économie numérique de se développer dans l'ensemble du marché
intérieur. Les personnes physiques devraient avoir le contrôle des données à caractère personnel les
concernant. La sécurité tant juridique que pratique devrait être renforcée pour les personnes physiques, les
opérateurs économiques et les autorités publiques »
406
DUDEZERT F., « De l’existence d’un principe de confiance légitime en droit privé » Thèse de doctorat,
droit privé, sous la direction du Professeur Gérard JAZOTTE, La Rochelle, Université de La Rochelle, 2016
Page 156 sur 317

remettre en cause leur confiance numérique dans leur banque : la traçabilité des actions faites
en leur nom et/ou dans leurs intérêts (Chapitre I), et la fiabilité des services et dispositifs de
sécurité associés mis à leur disposition (Chapitre II).
Page 157 sur 317

CHAPITRE I - CONFIANCE ET TRAÇABILITE EN
422. Contrairement à une idée souvent véhiculée, « internet » et « web » ne sont pas
synonymes. Le second n’est en réalité qu’une des applications du premier, Internet étant
apparu dans les années 70 et ayant d’abord été exploité au travers du courriel, qui a été sa
première application407, alors que le web n’existe que depuis les années 90.
423. Dans le domaine bancaire français, ces deux périodes ont coïncidé avec l’invention de
deux outils qui font aujourd’hui partie de notre quotidien : la carte bancaire du réseau CB à
puce, inventée dans les années 70. Puis, dans les années 90, l’invention du code secret à 4
chiffres et la mise en place d’un numéro d’assistance pour que les clients puissent faire
opposition en cas de perte ou vol de leur carte bancaire408. Les innovations bancaires et la
méfiance qui y est associée par certains semblent donc bien aller au rythme des innovations
numériques.
424. L’usage du numérique a permis aux banques de renforcer l’autonomie et les

possibilités offertes à leurs clients par de nombreuses façons et ce grâce aux outils tels que
les cartes bancaires à puce, les espaces de banques à distance (BAD), les guichets
automatiques de banques (GAB), les distributeurs automatiques de billets (DAB), les
applications mobiles et la technologie sans contact.
425. Ces évolutions ont malheureusement été accompagnées par de nouveaux types de
fraudes409. Or, la crainte des fraudes semble être la principale source de méfiance numérique
des clients des banques410. Les banques doivent donc jouer un rôle actif dans la lutte contre
407
ROBERT A, « Il y a 50 ans : l'invention du courriel, une révolution à double-tranchant », article éditorial
du site internet CNET, 2019.
408
Site officiel du réseau CB, disponible à l’adresse suivante : https://www.cartes-
bancaires.com/cb/histoire/,consulté le 11/03/2022.
409
Voir les rapports annuels de l’Observatoire de la Sécurité des Moyens de Paiements, disponibles sur le site
de la Banque de France à l’adresse suivante : https://www.banque-france.fr/stabilite-financiere/observatoire-
de-la-securite-des-moyens-de-paiement,consulté le 11/03/2022.
410
CSA, « Sondage - Les Français et les moyens de paiement », 2015
Page 158 sur 317

la fraude aux moyens de paiement. Or, le numérique complexifie l’identification des
fraudeurs, ainsi que, le cas échéant, la preuve de la malveillance du responsable, qui peut
dans certains cas être celui qui se prétend victime.
426. Lorsqu’un responsable est dûment identifié, le client peut avoir deux attentes légitimes
: son dédommagement et la sanction du responsable. Si le premier est certainement vecteur
de confiance pour le client indemnisé, l’effet sur la confiance des sanctions et de leur
publicité est relativement variable d’un établissement à l’autre. Par ailleurs, l’écosystème
bancaire a été largement perturbé par l’arrivée de nouveaux acteurs venant concurrencer les
banques traditionnelles et s’interposant souvent comme intermédiaires (Section I),
compliquant davantage la question de l’imputabilité (Section II).
Page 159 sur 317

SECTION I - TRAÇABILITE ET MULTIPLICATION DES
INTERMEDIAIRES
427. Le secteur bancaire a lui aussi été marqué par l’ubérisation411 de la société412. L’arrivée
de nouveaux acteurs disruptant cette activité a été particulièrement remarquée par la
clientèle, notamment les digital natives413 qui apprécient l’image plus « dépoussiérée » de
l’expérience bancaire que proposent ces nouveaux acteurs par rapport aux établissements
traditionnels.
428. L’arrivée de ces nouveaux acteurs, s’intercalant dans la relation entre le client et sa
banque, amène nécessairement de nouveaux défis en termes de traçabilité. La CNIL fait
d’ailleurs de la traçabilité l’un des deux enjeux sociétaux liés aux moyens de paiements dans
son livre blanc sur les données de paiement414, estimant que la multiplication des acteurs
dans cette relation élargit le champs du possible en ce qui concerne la circulation des données
de paiement et la combinaison de celles-ci avec d’autres, ce qui est susceptible de nourrir,
ce que la CNIL qualifie d’« économie de surveillance », phénomène que l’on peut observer
notamment en Chine, où les géants Alibaba et WeChat participent au système de crédit
social415 envisagé dans cet État.
411
Le dictionnaire LAROUSSE définit l’ubérisation comme la « Remise en cause du modèle économique d'une
entreprise ou d'un secteur d'activité par l'arrivée d'un nouvel acteur proposant les mêmes services à des prix
moindres, effectués par des indépendants plutôt que des salariés, le plus souvent via des plateformes de
réservation sur Internet. » ; FRERY F., « L’ubérisation de l’entreprise », Jean-François Dortier éd., La
Communication. Des relations interpersonnelles aux réseaux sociaux. Éditions Sciences Humaines, 2016, pp.
336-340.
412
LE FUR A-V., « Les nouveaux services de crédit alternatif : la pratique du peer to peer lending ou
l'ubérisation du crédit », RD bancaire et fin. n° 1, Janvier 2017, dossier 7 ; LEGEAIS D., « L'apport des
FinTechs au droit bancaire », RD bancaire et fin. n° 1, Janvier 2017, dossier 1
413
Terme anglais couramment utilisé pour parler des individus nés alors que le WEB existait déjà.
414
415
Le crédit social est un système visant à accorder plus ou moins de droits aux individus en fonction d’un
score social qui leur est attribué. Ce système conduit concrètement à attribuer un score aux individus, établi
sur la base de données obtenues par divers acteurs en relation avec un individus (banque, assurance,
employeur…). Ce score est ensuite utilisé pour accorder des droits ou au contraire en priver certains individus.
A ce sujet, lire PEDROLETTI B., « En Chine, le « crédit social » des citoyens fait passer les devoirs avant les
droits”, Le Monde”, 2020. L’article est disponible à l’adresse suivante:
https://www.lemonde.fr/idees/article/2020/01/16/le-credit-social-les-devoirs-avant-les-
droits_6026047_3232.html,consulté le 11/03/2022.
Page 160 sur 317

429. Si de nouveaux acteurs ont pu se faire une place dans le monde autrefois très fermé
des banques, c’est principalement grâce au phénomène dit d’Open Banking416, qui qualifie
la tendance à l’ouverture des données bancaires au-delà du seul établissement gestionnaire
de compte417.
430. L’Open Banking est techniquement possible aujourd’hui grâce au développement

d’une technologie permettant à deux systèmes de communiquer entre eux : les Application
Programming Interface, dites « API 418 », mais aussi de la technique dite de « Web
Scraping419 ». Le principe est assez simple, une API a pour fonction d’exposer les données
d’un service à d’autres services tiers. Pour des données bancaires, cela suppose donc qu’une
banque développe une API et la mette à disposition de services tiers, qui pourront alors
récupérer les données que la banque expose grâce à cette dernière420.
431. Les API présentent l’avantage pour les banques d’être sécurisées et sous leur contrôle
puisque ce sont ces dernières qui doivent les développer pour exposer les données qu’elles
détiennent. Or, ce dernier point a longtemps posé problème, car en exposant ces données,
les banques permettent à des sociétés de les concurrencer421. La tentation d’entraver cette
concurrence grâce à leurs API peut ainsi être assez forte pour les banques.
432. Certains prestataires de services paiements tiers ont donc longtemps privilégié une
autre technique pour accéder aux données bancaires, celle du Web Scraping, qui consiste
pour un service tiers à s’authentifier sur l’espace personnel du client d’une banque à la place
de ce dernier grâce aux identifiants qu’il lui aura communiquée. Le prestataire de services
416
Littéralement « banque ouverte » en français.
417
La DSP 2 utilise ce terme pour qualifier le “prestataire de services de paiement qui fournit et gère un compte
de paiement pour un payeur” à son article 4.
418
API est l‘abréviation d’Application Programming Interface. Ce terme désigne des programmes
informatiques permettant à deux programmes informatiques de communiquer entre eux, l’API permettant
d’exposer les données en les rendant disponibles à d’autres programmes, qui les collectent grâce à des
connecteurs.
419
Littéralement « Grattage du WEB » en français
420
Le fonctionnement des API est expliqué sur le site gouvernemental API.gouv, disponible à l’adresse
suivante : https://api.gouv.fr/guides/api-definition,consulté le 11/03/2022.
421
A ce sujet, lire MAGNIER MERRAN K., « Circulation des données bancaires - Le banquier entre partage
obligé et transfert sous contrôle », RD bancaire et fin. n° 5, Septembre 2020, dossier 30
Page 161 sur 317

de paiement tiers n’a alors qu’à « scraper », c’est-à-dire exporter les informations qui se
trouvent dans l’espace personnel du client pour les exploiter.
433. Ces deux pratiques sont au cœur du phénomène de l’Open Banking, dont les cas
d’usage se multiplient de même que les acteurs pour proposer des services innovants (§1).
Or, cette multiplication des opérateurs exacerbe les problématiques de traçabilité (§2).
§ 1 – LE PHENOMENE D’OPEN BANKING DANS LE SECTEUR BANCAIRE
434. Bien que les données bancaires ne rentrent pas nécessairement dans la définition de
« données sensibles » prévue à l’article 9 du RGPD422 , les données bancaires sont souvent
considérées comme se rapprochant de cette catégorie. En effet, en vertu du RGPD, toute
donnée révélant l’origine raciale ou ethnique, les opinions politiques, les convictions
religieuses, les données de santé… serait une donnée sensible423. Or, les opérations bancaires
peuvent révéler de telles informations.
435. On peut en effet aisément déduire du règlement de cotisations d’un syndicat ou d’une
association que la personne qui la règle la soutient et en partage les convictions, ou que le
règlement régulier d’honoraires à un spécialiste révèle l’état de santé de cette dernière ou de
ses proches. Le fait que des données bancaires puissent être exploitées par des établissements
tiers pourrait donc impliquer un risque pour la vie privée des individus en l’absence
d’encadrement.
422
L’article 9 du RGPD définit les données sensibles comme toute donnée qui « révèle l'origine raciale ou
ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale,
ainsi que le traitement des données génétiques, des données biométriques aux fins d'identifier une personne
physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou
l'orientation sexuelle d'une personne physique... », L’article L133-4 du code monétaire quant à lui définit les
données de paiement sensibles comme étant « les données, y compris les données de sécurité personnalisées,
qui sont susceptibles d'être utilisées pour commettre une fraude. En ce qui concerne les activités des
prestataires de services de paiement fournissant le service d'initiation de paiement et des prestataires de
services de paiement fournissant le service d'information sur les comptes, le nom du titulaire du compte et le
numéro de compte ne constituent pas des données de paiement sensibles »
423
Article 9 du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la
protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre
circulation de ces données, et abrogeant la directive 95/46/CE (Règlement général sur la protection des
données) (Texte présentant de l'intérêt pour l'EEE).
Page 162 sur 317

436. Dans le cadre du développement de l’open banking, de nouveaux types de services se
sont développés en France : les Services d’Initiation de Paiements, dits SIP et les Services
d’Information sur les Comptes, dits SIC ou agrégateurs de comptes. Les services
d’information sur les comptes ont pour objectif de permettre aux clients détenant des
comptes dans différentes banques d’avoir une vision unifiée de leurs comptes 424 . Cela
permet par exemple à un client de deux ou trois établissements bancaires différents de
retrouver l’ensemble de ses comptes dans une seule et même interface, à l’image de ce que
proposent les leaders du secteur Bankin, Linxo et Budget Insight.
437. Les services d’initiation de paiements quant à eux ont pour but de permettre d’initier
des paiements directement depuis une interface tierce425. Les prestataires offrant ces services
d’initiation de paiement ou d’information sur les comptes sont communément qualifiés de
Prestataires de Services de Paiement Tiers, dits PSP, par opposition aux Prestataires de
Services de Paiement Gestionnaires de Comptes, dits PSPGC, c’est-à-dire les banques.
438. Pour ne citer que les Prestataires de Services de Paiement Tiers (PSPT) les plus
populaires, citons Bankin, Linxo, et Budget Insight. La popularité de ces services a amené
le législateur à considérer que leurs services devaient être encadrés. C’est ainsi que la
Directive (UE) 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015
concernant les services de paiement dans le marché intérieur, dite DSP 2 fut adoptée.
439. Cette Directive européenne, dont les dispositions ont été transposées en France par
l’ordonnance 2017-1252 du 9 août 2017, elle-même ratifiée par la Loi 2018-700 du 3 août
2018, a fait l’objet d’une application quelque peu chaotique comme nous allons l’étudier
dans cette partie, notamment en raison du fort lobbying des banques qui se sont retrouvées
contraintes de faciliter la concurrence que représentent les activités des agrégateurs de
comptes426 et initiateurs de paiements (A) et de partager une partie de leur « patrimoine » le
plus précieux : les données bancaires de leurs clients (B).
424
Article 4 de la Directive (UE) 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015
concernant les services de paiement dans le marché intérieur, modifiant les directives 2002/65/CE,
2009/110/CE et 2013/36/UE et le règlement (UE) no 1093/2010, et abrogeant la directive 2007/64/CE (Texte
présentant de l'intérêt pour l'EEE), JOUE L337, du 23 décembre 2015
425
Ibid.
426
Autre terme utilisé pour qualifier les prestataires de services d’informations sur les comptes.
Page 163 sur 317

A – LES AGREGATEURS DE COMPTES ET INITIATEURS DE PAIEMENTS
440. Les agrégateurs de comptes et initiateurs de paiements existaient bien avant l’adoption
de la DSP 2. Le premier acteur du secteur à avoir vu le jour en France étant Bankin427, en
2011, suivi de concurrents directs tels que Linxo et Budget Insight, mais aussi des banques
elles-mêmes, qui proposent désormais presque toutes à leurs clients d’agréger des comptes
détenus dans des établissements tiers, ainsi que dans certains cas des portefeuilles de
cryptoactifs.
441. Les initiateurs de paiements et services d’information sur les comptes proposant des
services plus limités que les banques, en l’absence d’agrément en tant qu’établissement de
crédit, comment expliquer l’engouement pour ces services ? En effet, en passant par un SIC
ou SIP, le client bénéficiera dans la plupart des cas en réalité de moins de possibilités qu’en
passant directement par sa banque en termes d’actes bancaires, il gagnera en revanche
souvent une expérience plus fluide.
442. Par ailleurs, ces prestataires peuvent poser question en termes de sécurité428. En effet,
la DSP 2 ne concernant que les comptes de paiement, la plupart des prestataires de services
d’information sur les comptes et d’initiation de paiement continuent ainsi à agréger les
comptes d’épargne et comptes titres par Web Scraping en toute légalité429. Des individus
peuvent donc, à tort, penser être protégés par les dispositions de la DSP 2, alors qu’ils ne le
sont que partiellement.
443. Le Web Scraping suppose, comme nous l’indiquions précédemment, que le client
fournisse son identifiant et mot de passe au PSPT, qui s’identifiera ensuite, à la place du
client, via l’interface de sa banque pour « scraper » ses données et les restituer dans sa propre
interface. Il peut donc être difficile de distinguer un accès à l’interface de la banque par le
427
DIETSCH B, « Rencontre Avec… Joan Burkovic 31 Ans, Fondateur De Bankin'(élu meilleure app de
l’Appstore pour gérer son Argent) », Forbes, 2017, disponible à l’adresse suivante :
https://www.forbes.fr/business/rencontre-avec-joan-burkovic-31-ans-fondateur-de-bankin/, consulté le
11/03/2022.
RENARD I., « Cybersécurité et Open Banking font-ils bon ménage », RD bancaire et fin. n° 5, Septembre
428
2019, prat. 5
429
En effet, comme son nom l’indique, la DSP 2 ne concerne que les comptes de paiement, les comptes
d’épargne et comptes titres ne sont donc pas soumis à cette dernière.
Page 164 sur 317

client, d’un accès par un PSPT à la place du client, sauf bien sûr, si ledit PSPT utilise une
interface qui lui est dédiée et non pas celle du client. Par ailleurs, les risques liés à la
divulgation des mots de passe et identifiants du client ne sont pas à négliger dans une telle
situation430.
444. Il est regrettable que la DSP 2 ne réponde que partiellement au problème de traçabilité
que présente le recours aux PSPT, en étant limitée aux comptes de paiement. L’ouverture
des données bancaires a rapidement séduit d’autres acteurs, qui ont bien évidemment un
intérêt direct à pouvoir traiter les données bancaires de leurs propres clients, notamment
celui de pouvoir améliorer leurs techniques de profilage et explorer de nouveaux cas d’usage
se basant sur l’open banking.
B – LES NOUVEAUX CAS D’USAGES DE L’OPEN BANKING
445. Longtemps jalousées par les autres entreprises pour leur « patrimoine »
informationnel, les banques sont aujourd’hui contraintes de partager leur trésor avec de
nouveaux acteurs, notamment ceux qu’elles tentent elles-mêmes de concurrencer tels que
les assureurs. Sans doute est-ce donc la juste contrepartie de l’émergence des
bancassurances, ces groupes bancaires qui exercent parallèlement une activité d’assurance.
446. Dans le sens inverse, les assureurs peuvent en effet tout aussi bien exercer une activité
bancaire ou proposer des services de paiement, mais, elles bénéficient aujourd’hui d’une
grande facilité grâce à la DSP 2 : un agrément d’établissement de crédit n’est plus nécessaire
quand il suffit d’être agréé en tant qu’Établissement de paiement pour pouvoir traiter les
données bancaires des individus.
447. Bien sûr, les assureurs ne sont pas les seuls à s’être saisis de cette opportunité, de
nombreux autres acteurs se sont fait une place de choix en la matière ces dernières années.
Citons par exemple la FinTech française Lydia, qui s’est d’abord démarquée par son offre
consistant à effectuer des paiements entre particuliers par le simple envoi d’un SMS,
supprimant ainsi l’étape de renseignement du RIB du destinataire du paiement ; citons
430
LASSERRE CAPDEVILLE J., « Quels risques avec le service d'initiation de paiement ? », RD bancaire et
fin. n° 3, Mai 2019, dossier 29
Page 165 sur 317

également la FinTech Spendesk, qui simplifie le remboursement des professionnels par la
création de cartes bancaires éphémères à destination des collaborateurs, rendant inutile la
saisie de notes de frais.
448. Outre ces acteurs, pure players des services de paiement, les GAFAM Google,
Amazon, Facebook, Apple et Microsoft ont également tous lancé leurs offres de services de
paiement, simplifiant le paiement sur leurs propres plateformes et, en ce qui concerne
Google et Apple, le paiement sans contact par smartphone.
449. Ces nouveaux modèles permettent aux cas d’usage impliquant des données bancaires
de se multiplier. Citons par exemple la possibilité d’effectuer une simulation de crédit
immobilier en donnant simplement accès à ses données bancaires, plutôt qu’en renseignant
de nombreux formulaires, ou la possibilité de bénéficier de recommandations personnalisées
sur la base de ses habitudes de dépense.
450. Les banques sont ainsi mises en concurrence avec un éventail de nouveaux acteurs,
s’inscrivant, pour certains dans des segments de niche, et pour d’autres, dans le même
segment que les banques classiques en cherchant à mettre en place des offres bancaires
complètes.
451. L’Autorité de la concurrence s’est intéressée de près à cette concurrence dans le cadre
d’une enquête sectorielle dont le rapport a été publié en avril 2021 431. Dans ce rapport,
l’Autorité de la concurrence souligne le fait que si les FinTechs disposent d’avantages
concurrentiels certains sur les banques classiques, il serait erroné d’indiquer que les banques
ne disposent pas, elles non plus, de certains avantages sur leurs concurrents.
452. En effet, l’Autorité de la concurrence souligne le fait que les banques disposent d’une
expérience certaine dans la maîtrise de leur conformité et l’optimisation des coûts associés
à leur activité, quand les FinTechs, quant à elles, disposent d’un avantage qui tient à leur
agilité, qu’elles doivent notamment à l’absence de coûts d’infrastructures trop conséquents,
431
Autorité de la concurrence, « Enquête sectorielle - FinTech » : l’Autorité de la concurrence rend son avis »,
2021. Le rapport est disponible sur le site de l’Autorité de la concurrence à l’adresse suivante :
https://www.autoritedelaconcurrence.fr/fr/communiques-de-presse/enquete-sectorielle-FinTech-lautorite-de-
la-concurrence-rend-son-avis,consulté le 11/03/2022.
Page 166 sur 317

ainsi qu’à leur expertise en matière d’expérience client, qui leur permet de proposer des
services très attractifs, notamment pour les jeunes clients.
453. Il semble donc que les banques et les FinTechs possèdent chacune des avantages sur
les autres, aussi, ces dernières pourraient certainement d’ailleurs bénéficier d’un
rapprochement entre leurs activités. À ce titre, le livre blanc de la CNIL sur les données de
paiement indique très justement que dans ce nouveau contexte, « les banques
pourraient risquer d’être cantonnées à un rôle de gestionnaire à faible valeur ajoutée. Mais
en réalité, les relations entre banques et FinTechs relèvent plutôt de la symbiose. Pour rester
dans la course, les banques doivent s’adapter et tout miser sur l’expérience client et
l’accompagnement, quitte à absorber certaines FinTechs pour profiter de leur expérience
ou de leur service432 ».
454. Beaucoup de perspectives sont offertes par ce nouvel écosystème. Cependant, celles-
ci impliquant des tierces parties dans la relation autrefois exclusive aux clients et à leur
banque, de nouvelles problématiques les accompagnent, notamment en ce qui concerne la
traçabilité des actes.
§ 2 – L’ENCADREMENT TECHNIQUE ET JURIDIQUE DE L’OPEN BANKING

CONCERNANT LA TRAÇABILITE
455. Le terme d’open banking n’est que la déclinaison, dans le secteur financier, du
phénomène appelé « Open data433 » qui, comme son nom l’indique, porte sur l’ouverture et
le partage libre de données. Si les risques inhérents à l’open data, tels que l’utilisation des
données à des fins détournées, restent les mêmes en matière d’open banking, le préjudice
qui peut en ressortir, lui, est exacerbé en matière d’open banking, ce qui explique sans doute
pourquoi la réglementation en la matière est aussi rigoureuse, tant juridiquement que
techniquement.
432
433
Littéralement en français, « donnée ouverte »
Page 167 sur 317

456. Il semble à cet effet que les contraintes techniques établies aient vocation à prévenir
un risque, quand les contraintes juridiques, elles, ont plutôt vocation à réparer les
conséquences d’un risque ou à dissuader les éventuelles personnes malveillantes. La
prévention des risques numériques est une activité très coûteuse pour les établissements
bancaires. Cependant, il s’agit d’un investissement dont la valeur, en termes de confiance
générée, semble supérieure à celle générée par les mécanismes juridiques (A), qui eux
tendent davantage à réparer des risques qui se seraient réalisés (B).
A – LES MESURES TECHNIQUES DE PREVENTION DES RISQUES NUMERIQUES

DANS LE DOMAINE BANCAIRE
457. Les réglementations en lien avec le numérique comportent régulièrement des

dispositions très techniques434, et non plus seulement juridiques, ayant vocation à protéger
au maximum les données des individus. Mais, nous le savons, la technique évolue bien plus
vite que le droit. Il serait donc sans doute dangereux, pour les établissements bancaires, de
se contenter d’appliquer les dispositifs techniques expressément visés par la réglementation,
au risque de ne pas être à l’état de l’art et de ne pas offrir des mesures de protection adéquates
à leurs clients. À ce sujet, les banques ont su faire preuve d’ingéniosité. Quelques initiatives
en la matière nous semblent intéressantes à noter.
458. Les cartes bancaires dématérialisées, dites « e-cartes bancaires », par exemple, sont
des services proposés par les banques aux individus qui craignent d’utiliser leurs cartes
bancaires en ligne de peur que leurs données de paiements fassent l’objet d’une fraude.
Ainsi, lors d’un achat en ligne, l’individu pourra obtenir auprès de sa banque une carte
bancaire virtuelle lui permettant d’avoir un numéro de carte bancaire et un code qu’il
n’utilisera que pour ledit achat. Un éventuel fraudeur ne pourra donc pas utiliser les
informations qu’il aura subtilisées lors d’un achat en ligne pour un autre achat.
459. Citons également les cartes bancaires à cryptogramme dynamique. Cette fois-ci, il
s’agit bien, pour les individus, d’utiliser leurs cartes bancaires physiques y compris pour les
434
La DSP2 a par exemple été complétée par trois règlements délégués comportant des données relativement
techniques liées à l’authentification forte. Citons également le Règlement eIdas, dont les dispositions sont assez
techniques.
Page 168 sur 317

achats en ligne. Mais à la différence d’une carte bancaire classique, le code de sécurité à
trois chiffres est dynamique et non statique, il change ainsi à intervalles réguliers. Grâce à
ce dispositif, même si l’individu se fait subtiliser ses informations de paiement, les
informations acquises ne pourront être utilisées que pendant une très courte période, limitant
les risques de fraude.
460. Si les mécanismes techniques visant à prévenir un risque informatique sont

particulièrement utiles à titre préventif et contribuent à ce titre à préserver la confiance des
clients ils contribuent par ailleurs à la réparation des préjudices lorsqu’ils favorisent
l’imputabilité d’un acte, ce qui explique sans doute l’hybridation de plus en plus courante
du droit et de la technique dans la réglementation.
B – LES MECANISMES JURIDIQUES DE PROTECTION DU CLIENT
461. En encourageant la modernisation des services de paiement, la seconde Directive sur

les services de paiement, se devait de renforcer, dans un même temps, les mécanismes de
protection associés à ces derniers, au risque sinon de ne pas être en mesure d’encourager la
confiance des individus435.
462. À cet effet, la DSP 2 prévoit un certain nombre de mécanismes juridiques ayant
vocation à assurer la protection des clients utilisateurs de services de paiement tiers, parmi
lesquels, un mécanisme de responsabilité très protecteur des clients en cas de paiement
frauduleux, et la généralisation de l’authentification forte. Nous reviendrons sur ces
mécanismes dans nos développements ultérieurs, aussi, nous nous contenterons ici de les
mentionner, pour nous attarder plutôt sur les autres mécanismes de protection des clients
utilisateurs de services de paiement.
463. Citons par exemple l’obligation faite aux prestataires de services de paiement de
recourir aux interfaces dédiées mises à leur disposition par les banques et non pas les
interfaces clients pour l’accès aux comptes de paiement. Cette obligation permet de
clairement dissocier les actes directement réalisés par le client depuis sa banque, de ceux
435
BONTEMS C. et HUYSSEN J-C., "DSP2 : entre continuité et innovation", Banque et Droit Hors-série
n°2016-1, 2016
Page 169 sur 317

réalisés par le PSPT. Par ailleurs, en conformité avec le RGPD436, le consentement explicite
de l’utilisateur de services de paiement est exigé pour accéder à ses données, et les PSPT ne
sont naturellement pas autorisés à accéder à celles qui ne sont pas strictement nécessaires au
service demandé par l’utilisateur437.
464. Notons également que la DSP 2 protège la liberté des individus utilisateurs de services
de paiement, et par la même occasion la liberté d’exercice des PSPT438, en interdisant aux
prestataires de services de paiement gestionnaires de comptes, les banques, d’entraver leurs
services à partir du moment où les utilisateurs ont choisi de recourir à un PSPT439. Il est à ce
titre notamment interdit aux banques de demander un second consentement aux utilisateurs
pour l’utilisation de ces services.
465. Ces nouveaux schémas relationnels posent bien sûr quelques difficultés aux banques
gestionnaires des comptes, qui se retrouvent ici à devoir suivre la volonté de leurs clients de
recourir à un PSPT, alors qu’en cas de fraude sur leurs comptes, ces derniers vont
généralement adresser leur mécontentement à leurs banques, et non leurs PSPT.
466. Les banques seront par ailleurs contraintes d’indemniser leurs clients avant de se
retourner vers le PSPT responsable, qui devra à son tour démontrer, comme l’indique
l’article 73 de la DSP 2, que « l’opération en question a été authentifiée et dûment enregistrée
et qu’elle n’a pas été affectée par une déficience technique ou autre en relation avec le service
436
A ce sujet, lire DE RAVEL D’ESCLAPON T., « Le renforcement de la protection des informations
intéressant l'utilisateur de services de paiement », RD bancaire et fin. n° 2, Mars 2018, dossier 8
437
L’article 33 du Règlement délégué sur l’authentification forte prévoit en effet que les PSPT doivent prendre
« les mesures nécessaires pour garantir qu'ils n'accèdent pas à des données ou qu'ils ne conservent ou ne traitent
pas de données à des fins autres que la prestation du service demandé par l'utilisateur de services de paiement »
438
LEBOUCHER S., « Les FinTechs s'inquiètent des API », Revue Banque n°809, 2017
439
Article 32 du Règlement délégué sur l’authentification forte.
Page 170 sur 317

de paiement qu’il doit assurer440 ». L’imputabilité des actes est ainsi une question centrale
dans ce contexte.
SECTION II - LES RAPPORTS ENTRE IMPUTABILITE ET

CONFIANCE NUMERIQUE DANS LE DOMAINE BANCAIRE
467. Lorsqu’une faute à l’origine du préjudice d’un client est imputable à sa banque, le
client est censé obtenir dédommagement conformément à la réglementation. Or, la garantie
d’être dédommagé dans une telle situation a certainement tendance à alimenter la confiance
du client dans sa banque et les outils mis à sa disposition par cette dernière.
468. Lorsque la faute n’est pas directement imputable à sa banque, en revanche, la question
se complique car le client n’est souvent pas en mesure d’identifier lui-même le responsable.
C’est d’ailleurs dans cette optique que les moyens de paiement sont généralement proposés
avec une assurance des moyens de paiement441.
469. Par ailleurs, en France, contrairement, notamment, aux États-Unis, les dommages et
intérêts jouent un rôle indemnitaire et non punitif. Le client victime de fraude doit donc, en
principe, se contenter de son indemnisation, qui consiste à la remettre dans la situation dans
laquelle il se trouvait avant son préjudice (A). Un dépôt de plainte est néanmoins presque
440
Le second alinéa de l’article 73 de la DSP 2 dispose, en effet, ce qui suit :
« Lorsque l’opération de paiement est initiée par l’intermédiaire d’un prestataire de services d’initiation de
paiement, le prestataire de services de paiement gestionnaire du compte rembourse immédiatement, et en tout
état de cause au plus tard à la fin du premier jour ouvrable suivant, le montant de l’opération de paiement non
autorisée et, le cas échéant, rétablit le compte de paiement débité dans l’état où il se serait trouvé si l’opération
de paiement non autorisée n’avait pas eu lieu.
Si le prestataire de services d’initiation de paiement est responsable de l’opération de paiement non autorisée,
il indemnise immédiatement le prestataire de services de paiement gestionnaire du compte, à sa demande, pour
les pertes subies ou les sommes payées en raison du remboursement du payeur, y compris le montant de
l’opération de paiement non autorisée. Conformément à l’article 72, paragraphe 1, c’est au prestataire de
services d’initiation de paiement qu’incombe la charge de prouver que, pour ce qui le concerne, l’opération
en question a été authentifiée et dûment enregistrée et qu’elle n’a pas été affectée par une déficience technique
ou autre en relation avec le service de paiement qu’il doit assurer. »
441
MEINAC M., « Faut-il souscrire une assurance des moyens de paiement ? », Moneyvox, 2017, disponible
en ligne à l’adresse suivante : https://www.moneyvox.fr/banque/actualites/61770/faut-il-souscrire-une-
assurance-des-moyens-de-paiement,consulté le 11/03/2022.
Page 171 sur 317

systématiquement déposé dans une telle situation, et ce, souvent, à la demande des banques,
quand bien même l’indemnisation ne peut y être conditionnée442.
470. Au-delà des sanctions pénales, certains actes répréhensibles, lorsqu’ils sont imputables
à un prestataire de services de paiement, sont également réprimés par des sanctions d’autres
natures (amendes administratives, retraits d’agréments...). Certains clients victimes de
fraudes ou de négligence, animés d’un désir vindicatif ou d’une volonté de justice peuvent
alors choisir de dénoncer aux autorités les actes dont ils ont été victimes pour « punir »
l’établissement au niveau de sa réputation (B).
§ 1 - LA CONFIANCE DANS L’INDEMNISATION DE SON PREJUDICE
471. Dans la mesure où la confiance numérique serait, selon nous, une confiance a priori
décidée, plutôt qu’assurée, que l’on déciderait d’accorder dans une situation de risque
numérique, la diminution ou suppression du risque semble être le meilleur moyen de
renforcer la confiance numérique d’un individu dans sa banque. Or, le risque zéro en
numérique n’existe pas, en raison, notamment, de l’évolution constante des technologies. Si
l’on ne peut supprimer le risque, on ne peut alors que le limiter, idéalement en le prévenant
au maximum, sinon en en réparant les conséquences : l’éventuel préjudice issu de la
matérialisation du risque.
472. La garantie, en cas de réalisation du risque, d’être indemnisé de son préjudice, est
indéniablement un élément de réassurance très fort mais encore faut-il pouvoir imputer la
faute à l’origine du préjudice au responsable de celle-ci. En réponse à la complexité d’une
éventuelle recherche de responsabilité dans un contexte bancaire numérique, la
réglementation a instauré un système d’indemnisation simplifié pour les individus, qui
présente cependant quelques travers que nous étudierons plus tard dans cette étude.
473. À ce stade, nous proposons de nous focaliser sur les modalités d’évaluation des
préjudices numériques issus des risques numériques auxquels le client bancaire est exposé
(A) et aux modalités d’indemnisation de ces derniers (B).
442
ANONYME, « Fraude à la carte bancaire », Site de l’UFC que choisir, disponible à l’adresse suivante :
https://www.quechoisir.org/service-fraude-a-la-carte-bancaire-n61290/,consulté le 11/03/2022.
Page 172 sur 317

A - L’EVALUATION DU PREJUDICE NUMERIQUE DU CLIENT
474. Outre le fait même de percevoir une indemnisation, le client victime d’une fraude va
bien évidemment s’attendre à ce que ladite indemnisation soit juste, c’est-à-dire, dans le
cadre d’un préjudice financier, à ce que l’intégralité des sommes qui lui ont été subtilisées
lui soit remboursée. Or, si cela semble simple d’un premier abord, il peut être en réalité
relativement compliqué pour la banque d’avoir une idée certaine du montant qui fait l’objet
de la fraude lorsque celle-ci consiste en plusieurs opérations.
475. Prenons un exemple courant, celui d’un individu qui s’apercevrait que des achats en
ligne ont été effectués avec sa carte bancaire alors que cette dernière est encore en sa
possession. Si la fraude porte sur une seule et même opération dont les paramètres, tels que
le montant ou l’adresse depuis laquelle la commande a été passée sont incohérents avec les
habitudes du client, la banque peut raisonnablement admettre qu’il s’agisse
vraisemblablement d’une fraude.
476. En revanche, quand il s’agit de plusieurs achats, dont les montants, isolés, n’ont rien
de suspect, la banque peut avoir de réels doutes quant au nombre d’opérations qui sont
réellement issues d’une fraude. En ce sens, le préjudice patrimonial dans cette situation peut
être délicat à évaluer si ce n’est en se fiant uniquement à la bonne foi du client.
477. Ensuite, il ne faut pas écarter le fait qu’un préjudice puisse ne pas être exclusivement
patrimonial. Un préjudice moral pourrait également résulter d’une fraude aux moyens de
paiements. En l’occurrence, on peut tout à fait imaginer qu’un client subisse un préjudice
moral dans le cadre d’une fraude, telle qu’une atteinte à sa vie privée, qui serait matérialisée
par la diffusion d’informations sur ses revenus et dépenses à des tiers non autorisés.
478. Chaque année, l’Observatoire de la Sécurité des Moyens de Paiement443, l’OSMP, qui
a remplacé en 2012 l’Observatoire de la sécurité des cartes de paiement444, publie un rapport
443
Page dédiée à l’Observatoire de la Sécurité des Moyens de Paiement sur le site officiel de la Banque de
France, disponible à l’adresse suivante : https://www.banque-france.fr/stabilite-financiere/observatoire-de-la-
securite-des-moyens-de-paiement,consulté le 11/03/2022.
Loi n° 2016-1691 du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la
444
modernisation de la vie économique, JORF n°0287 du 10 décembre 2016
Page 173 sur 317

sur la fraude aux moyens de paiement en France. Les derniers rapports de l’OSMP445, nous
indiquent que près de la moitié des fraudes aux moyens de paiement portent sur la carte
bancaire, ce qui n’a rien d’étonnant statistiquement dans la mesure où il s’agit du moyen de
paiement le plus utilisé par les Français en nombre de transactions446. En 2020, la fraude aux
cartes bancaires s’élevait ainsi à 473 millions d’euros, mais le montant moyen par transaction
frauduleuse n’était quant à lui que de 63 euros447.
479. En ce qui concerne les paiements en ligne, l’OSMP nous apporte une précision
importante : seulement 22% des transactions par carte bancaire ont été réalisées en ligne.
Pourtant, deux tiers des fraudes aux paiements par carte bancaire interviennent en ligne448.
Cette information semble donc bien confirmer que les risques de fraudes sont exacerbés
quand il s’agit de réaliser un achat en ligne et que les mesures de sécurité mises en place par
les banques et commerçants ne suffisent pas toujours à empêcher la réalisation de ce type de
risque.
480. La généralisation de l’authentification forte, dont nous traiterons plus tard dans cette
étude, permettra peut-être, à terme, de limiter davantage, si ce n’est empêcher, les fraudes
aux moyens de paiement dans le cadre de paiements en ligne449. À défaut, le client ne pourra
que compter sur une bonne indemnisation de son préjudice pour utiliser ses moyens de
paiements en toute confiance.
445
Les rapports d’activité de l’Observatoire de la Sécurité des Moyens de Paiement sont disponibles sur le site
de la Banque de France à l’adresse suivante : https://www.banque-france.fr/liste-chronologique/rapports-
dactivite,consulté le 11/03/2022.
446
En 2020, 55% des transactions étaient réalisées par cartes bancaires comme nous l’indique la page 19 du
rapport de l’OSMP de 2020. OSMP, « Rapport annuel 2020 », 2021, 19.
447
OSMP, « Rapport annuel 2020 », 2021, Page 22
448
OSMP, « Rapport annuel 2020 », 2021, 6
449
LASSERRE CAPDEVILLE J., « Quelques enseignements résultant du rapport de l'Observatoire de la
sécurité des moyens de paiement pour l'année 2019 », JCP E n° 42, 15 Octobre 2020, act. 696
Page 174 sur 317

B - L’INDEMNISATION DU PREJUDICE DU CLIENT
481. Une fois que les questions de l’imputabilité et de l’évaluation du préjudice ont été
réglées, le client va s’attendre à percevoir rapidement son indemnisation. Plusieurs situations
doivent être considérées à ce stade.
482. D’abord, étudions la situation du client qui ne dispose pas d’une assurance de ses
moyens de paiement. Les assurances de moyens de paiement sont généralement proposées
par le prestataire de services de paiement à son client lors de la commande d’une carte
bancaire ou d’un chéquier. Ces assurances étant généralement payantes, certains clients sont
alors tentés de ne pas y souscrire, soit parce qu’ils considèrent que le régime légal
d’indemnisation est suffisamment protecteur soit parce qu’ils s’estiment peu exposés au
risque de fraude aux moyens de paiement et trouvent ce type d’assurance trop cher.
483. Ensuite, dans l’hypothèse où le client a bien souscrit une assurance pour ses moyens
de paiement, il obtient une protection complémentaire en ce que la franchise de 50 euros
prévue par la réglementation pour les montants subtilisés avant opposition 450 lui sera
remboursée. L’association de consommateurs UFC que choisir publie régulièrement des
articles au sujet de l’indemnisation des fraudes aux moyens de paiement451 pour aider les
individus victimes de fraude à obtenir une indemnisation. Dans ces articles, il est souvent
souligné le fait que les banques sont de plus en plus réticentes à indemniser les clients
victimes de fraude.
484. En effet, comme nous le verrons dans la suite de nos travaux, la notion de négligence
anime de nombreux débats en matière d’indemnisation des victimes de fraudes aux moyens
de paiement. Les prestataires de services de paiement semblent considérer que plus les
mesures de sécurité sont robustes, plus il est évident qu’un client, victime de fraude en dépit
de l’application des mesures de sécurité, a été négligent. Or, même le recours à des
dispositifs dits très fiables n’est pas infaillible. L’UFC que choisir nous indique pourtant
450
Article L133-19 du Code Monétaire et Financier
TOUSTOU E., « Fraudes à la carte bancaire - En hausse mais pas mieux remboursées », UFC que choisir,
451
2021
Page 175 sur 317

dans son étude, que 30% des victimes de fraudes aux moyens de paiement malgré
l’utilisation du dispositif 3D Secure sont accusées de négligence par leurs banques452.
485. L’indemnisation de son préjudice n’est pour autant pas toujours la seule motivation
qui anime la victime de fraude lorsqu’elle entame des démarches. La répression d’un
comportement frauduleux, ou le désir d’éviter que de tels faits se reproduisent peuvent aussi
les justifier.
§ 2 – LA CONFIANCE DANS LA PUNITION DES FRAUDES ET NEGLIGENCES
486. Outre l’indemnisation de leurs préjudices, les victimes d’une fraude bancaire ou de la
négligence de leur banque peuvent s’attendre à ce que le responsable soit par ailleurs puni
pour son action ou sa négligence. Si ce type de démarche ne présente aucun intérêt
patrimonial pour la victime, contrairement à une recherche d’indemnisation, les dispositifs
répressifs sont néanmoins relativement nombreux en la matière, qu’il s’agisse de sanctions
administratives, de sanctions disciplinaires ou de sanctions pénales. Mais alors, si le client
n’a pas d’intérêt patrimonial à agir, comment expliquer l’intérêt de ces dispositifs
répressifs ?
487. Concernant les sanctions pénales, la réponse est inhérente à la matière, il s’agit de
sanctionner un trouble à l’ordre public, et ainsi, pour la victime, d’avoir la satisfaction de
voir le responsable assumer les conséquences de ses actes. Concernant les sanctions
administratives, les clients victimes pourraient être animés d’un désir de voir l’établissement
responsable perdre son autorisation d’exercer en adressant une plainte ou un signalement à
l’autorité en question.
488. Une pratique couramment utilisée par les autorités administratives et organes de
contrôle nous intéresse particulièrement au regard de nos recherches : celle visant à rendre
publiques les sanctions rendues à l’encontre des contrevenants (A). Or, cette pratique n’a
452
ANONYME., « Fraude à la carte bancaire et crise sanitaire - Les consommateurs font toujours plus les frais
de fraudes », UFC que choisir, 2020
Page 176 sur 317

pas toujours les effets escomptés quand il s’agit de condamner un établissement jouissant
d’une certaine notoriété, creusant ainsi les inégalités entre les acteurs (B).
A - LA PRATIQUE DU « NAME AND SHAME » DANS LE SECTEUR NUMERIQUE
489. Parmi l’éventail de sanctions envisageables, la pratique du name and shame est
particulièrement intéressante au regard de l’effet que semblent rechercher ceux qui y
recourent. Comme son nom l’indique, cette pratique consiste à accuser une personne
physique ou personne morale publiquement (name) pour que celle-ci soit pointée du doigt
pour son erreur ou sa faute (shame). Cette pratique s’observe chez les individus et
entreprises, mais aussi, plus étonnamment chez les autorités administratives.
490. Bien évidemment, les autorités administratives pratiquant ce type de sanctions ne la

qualifient pas ainsi, et préfèrent simplement parler de « publication de sanction » mais quel
est l’intérêt d’une telle pratique si ce n’est de faire savoir à tous qu’une entreprise a commis
une erreur ou faute ? On peut en effet légitimement supposer que quand il s’agit de générer
la confiance des clients, il est primordial de jouir d’une réputation intacte, or, un
manquement à la réglementation devrait en principe entacher celle-ci453.
491. Ainsi, les autorités telles que l’Autorité de la Concurrence, la Direction générale de la
concurrence de la consommation et de la répression des fraudes, la CNIL et l’AMF recourent
régulièrement à ce type de pratique. Qu’il s’agisse de publier la sanction sur leur propre site
internet, ou d’ordonner à l’entreprise sanctionnée de publier, à ses frais, la sanction, y
compris dans la presse ou sur ses propres supports.
492. En effet, la formation restreinte de la CNIL est investie de ce pouvoir par l’article 22
de la loi informatique et libertés 454 , l’AMF, par l’article L621-15 du code monétaire et
453
CHUILON CROLL J. ET MELIK PARSADANIANTZ R-M., « Réputation et compliance, quels enjeux
? », Revues des Juristes de Sciences Po n° 16, 2019.
454
Extrait de l’article 22 de la Loi informatique et libertés : « La formation restreinte peut rendre publiques
les mesures qu'elle prend. Elle peut également ordonner leur insertion dans des publications, journaux et
supports qu'elle désigne, aux frais des personnes sanctionnées.”
Page 177 sur 317

financier455, l’Autorité de la concurrence par l’article L464-2 du Code de commerce456 et la
DGCCRF par l’article L470-2 du Code de commerce457.
493. L’objectif de ce type de sanctions est très clair, pour reprendre les propos de l’Autorité
de la concurrence, il s’agit « d’informer les entreprises du secteur et/ou le grand public de
la nocivité du comportement illicite ». Aussi, les autorités s’assurent que lesdites sanctions
soient publiées dans un format qui en permette la compréhension par le grand public.
494. L’intégralité des sanctions rendues par la Commission des Sanctions de l’AMF est à
ce titre disponible sur son site internet458, de même que celles de la CNIL, qui les met par
455
Extrait de l’article L621-15 du Code Monétaire et Financier : « V. – La décision de la commission des
sanctions est rendue publique dans les publications, journaux ou supports qu'elle désigne, dans un format
proportionné à la faute commise et à la sanction infligée. Les frais sont supportés par les personnes
sanctionnées. »
456
Extrait de l’article L464-2 du code de commerce : « L'Autorité de la concurrence peut ordonner la
publication, la diffusion ou l'affichage de sa décision ou d'un extrait de celle-ci selon les modalités qu'elle
précise. Elle peut également ordonner l'insertion de la décision ou de l'extrait de celle-ci dans le rapport établi
sur les opérations de l'exercice par les gérants, le conseil d'administration ou le directoire de l'entreprise. Les
frais sont supportés par la personne intéressée.
Les entreprises ou groupements d'entreprises ayant fait l'objet d'une injonction de l'Autorité de la concurrence
en raison de pratiques contraires aux mesures prises en application de l'article L. 410-3 doivent rendre
publique cette injonction en la publiant, à leurs frais, dans la presse quotidienne locale, selon des modalités
précisées par l'Autorité de la concurrence. Cette publication mentionne, le cas échéant, l'existence d'un recours
formé à l'encontre de l'injonction. »
457
Extrait de l’article L470-2 du code de commerce : « V.-La décision prononcée par l'autorité administrative
peut être publiée sur le site internet de cette autorité administrative et, aux frais de la personne sanctionnée,
sur d'autres supports.
La décision prononcée par l'autorité administrative en application de l'article L. 441-16 est publiée sur le site
internet de cette autorité administrative et, aux frais de la personne sanctionnée, sur un support habilité à
recevoir des annonces légales que cette dernière aura choisi dans le département où elle est domiciliée. La
décision peut en outre être publiée, à ses frais, sur d'autres supports.
L'autorité administrative doit préalablement avoir informé la personne sanctionnée, lors de la procédure
contradictoire fixée au IV du présent article, de la nature et des modalités de publicité de sa décision.
En cas d'inexécution par la personne sanctionnée de la mesure de publicité, l'autorité administrative peut la
mettre en demeure de publier la décision sous une astreinte journalière de 150 € à compter de la notification
de la mise en demeure jusqu'à publication effective. »
458
Les décisions de la Commission des sanctions de l’AMF sont disponibles en ligne à l’adresse suivante :
https://www.amf-france.org/fr/sanction-transaction/Decisions-de-la-commission-des-
sanctions/listing_sanction,consulté le 11/03/2022.
Page 178 sur 317

ailleurs en avant sur la page d’accueil de son site internet accompagnées d’une synthèse afin
de les rendre plus accessibles au grand public459.
495. Au-delà des sanctions publiées par les autorités, la pratique visant en la diffusion
d’informations, souvent compromettantes, surnommés « Leaks 460 » et du lancement
d’alerte461, couramment appelé « Whistle blowing462 » participent également à la pratique
du name and shame. Il s’agit, là aussi, de rendre public un manquement à la réglementation
ou une pratique immorale constatée chez une entreprise. Ces manquements étant souvent
dévoilés par le personnel de l’entreprise en question, un dispositif de protection est prévu
par la réglementation463, l’objectif étant de limiter le pouvoir de dissuasion de l’entreprise et
les répercussions que pourrait subir le collaborateur qui contribuerai au lancement d’une
alerte464.
496. Les clients ayant vécu une mauvaise expérience auprès de telle ou telle banque
n’hésitent également pas à laisser des avis publics en ligne, en vue, généralement, d’avertir
les autres clients potentiels du risque qu’ils prennent à faire affaire avec ladite banque. À ce
titre, et au regard de l’incidence que peuvent avoir les commentaires sur le comportement
des individus qui les liraient, la réglementation prévoir un certain nombre de règles. Ainsi,
459
Par exemple, voir la synthèse de la sanction du 27 juillet 2021 rendue à l'encontre du Figaro (CNIL,
Délibération SAN-2021-013 du 27 juillet 2021), disponible en ligne à l’adresse suivante :
https://www.cnil.fr/fr/cookies-sanction-de-50-000-euros-lencontre-de-la-societe-du-figaro,consulté le
11/03/2022.
460
Pratique qui consiste à rendre publique une information compromettante concernant un individu ou une
institution pour le pointer du doigt.
461
DEJEAN DE LA BATIE A., « Lanceurs d’alerte », J. Cl. Communication, Fasc18-50, 2021
462
Nom donné à la pratique du lancement d’alerte dans les pays anglophones.
463
Articles L1132-1 et suivants du code du travail ; Lire LANCRI M., « La protection du lanceur d’alerte »,
Cahiers de droit de l’entreprise n° 1, Janvier 2018, dossier 1 ; ALT E., « De nouvelles protections pour les
lanceurs d'alerte - À propos de la loi n° 2016-1691 du 9 décembre 2016 », JCP Gn° 4, 23 Janvier 2017, doctr.
90 ; FEUGERE W., « La protection des lanceurs d'alerte, un enjeu sociétal », Cahiers de droit de l’entreprise
n° 3, Mai 2019, éditorial 3 ; Le dispositif de protection des lanceurs d’alerte sera prochainement renforcé dans
le cadre de la Proposition de loi visant à améliorer la protection des lanceurs d’alerte, déposée le 21 juillet
2021.
464
Voir les dispositions de l’article L1132-3-3 du code du travail par exemple : «Aucune personne ne peut être
écartée d'une procédure de recrutement ou de l'accès à un stage ou à une période de formation professionnelle,
aucun salarié ne peut être sanctionné, licencié ou faire l'objet d'une mesure discriminatoire, directe ou
indirecte, notamment en matière de rémunération, au sens de l'article L. 3221-3, de mesures d'intéressement
ou de distribution d'actions, de formation, de reclassement, d'affectation, de qualification, de classification, de
promotion professionnelle, de mutation ou de renouvellement de contrat, pour avoir signalé une alerte dans le
respect des articles 6 à 8 de la loi n° 2016-1691 du 9 décembre 2016 relative à la transparence, à la lutte
contre la corruption et à la modernisation de la vie économique. ».
Page 179 sur 317

les personnes dont l’activité « consiste, à titre principal ou accessoire, à collecter, à modérer
ou à diffuser des avis en ligne provenant de consommateurs sont tenus de délivrer aux
utilisateurs une information loyale, claire et transparente sur les modalités de publication
et de traitement des avis mis en ligne » selon les dispositions de l’article L111-7-2 du code
de la consommation.
497. Parmi les informations à fournir, figurent notamment, s’il y en a, les modalités de
contrôle desdits avis, l’existence ou non de contrepartie au dépôt des avis et les critères de
classement des avis. Ces mesures visent bien évidemment à éviter d’influencer les
consommateurs par des avis artificiels qui pourraient être utilisés à des fins de publicité465.
498. Les banques pourraient naturellement être également tentées de recourir à la pratique
du name and shame, en mettant en avant des faits pouvant porter atteinte à l’image d’un
concurrent et ainsi détourner leur clientèle. Cependant, elles s’exposeraient alors à des
sanctions car une telle démarche pourrait être qualifiée de dénigrement 466 , c’est-à-dire,
comme l’a défini la chambre commerciale de la cour de cassation dans un arrêt du 24
décembre 2013467, « la divulgation d'une information de nature à jeter le discrédit sur un
concurrent ».
499. Précision importante, le fait que l’information divulguée par une entreprise
concernant son concurrent soit véridique n’a pas d’incidence sur la constitution d’un acte de
dénigrement comme l’avait précisé un arrêt de la Cour d’appel de Versailles du 9 septembre
1999468 en indiquant que le dénigrement consistait à « porter atteinte à l'image de marque
d'une entreprise ou d'un produit désigné ou identifiable afin de détourner la clientèle en
usant de propos ou d'arguments répréhensibles ayant ou non une base exacte, diffusés ou
émis en tout cas de manière à toucher les clients de l'entreprise visée, concurrente ou non
de celle qui en est l'auteur ».
465
ARCELIN L., « Synthèse - Publicité », J. Cl Concurrence – Consommation, 2020
466
LE GOFFIC C., « Dénigrement », J. CL Concurrence Consommation, Fasc. 210, 2021
467
Cass. Com., 24 sept. 2013, n° 12-19.790, Bull. civ. IV, n° 139 ; MOUILLARD A., Obs. sous Cass. Com.,
24 sept. 2013, RJDA 2013, n° 12, p. 911, MALAURIE-VIGNAL M., obs. sous Cass. Com., 24 sept. 2013,
Contrats, conc. consom. 2013, comm. 262; DELPECH X., Obs. sous Cass. Com., 24 sept. 2013, D. 2013,
p. 2270
CA Versailles, 9 sept. 1999 ; Voir SERRA Y., Obs. sous CA Versailles, 9 sept. 1999, D. 2000, somm. p.
468
311
Page 180 sur 317

500. Le name and shame semble ainsi être le privilège des clients et autorités de contrôle,
qui peuvent effectivement sanctionner les entreprises fautives en recourant à cette pratique
dans l’optique que cela ait une incidence sur la réputation de ces dernières. Pourtant, parmi
les nombreuses entreprises ayant fait l’objet de sanctions ou de fuites d’informations
compromettantes, nous retrouvons des entreprises qui continuent malgré tout d’attirer de
plus en plus de clients469.
501. Il y aurait donc des entreprises dont la présence est tellement ancrée dans le quotidien
des individus que le fait de mettre en avant leurs manquements n’aurait pas d’effet sur la
confiance que les individus leur accordent.
B – L’INEGALITE DES ETABLISSEMENTS FACE AUX EFFETS DES SANCTIONS
502. Si l’application d’une sanction a en principe pour objectif de réprimer un

comportement inadéquat au regard des obligations qui pèsent sur l’établissement
contrevenant, comme nous venons de l’évoquer, l’application d’une sanction a également
d’autres objectifs quand cette dernière est rendue publique 470 , notamment d’atteindre sa
réputation.
503. En effet, le fait, pour un client, de voir qu’un établissement avec lequel il fait affaire a
été condamné, devrait en principe conduire celui-ci à perdre la confiance qu’il avait dans ce
dernier. Pourtant, cela ne semble pas systématique puisque certaines sanctions rendues à
l’encontre de grandes entreprises n’ont pas eu cette conséquence.
504. Parmi les établissements publiquement sanctionnés, se trouvent d’un côté des géants,
comme les GAFAM, dont la notoriété suffit visiblement à insuffler la confiance des
individus, et de l’autre, des entreprises moins connues qui doivent s’efforcer de gagner la
confiance des individus et qui sont bien moins résilientes face aux conséquences d’une
éventuelle sanction.
469
Par exemple, en 2021, Facebook comptait plus de 300 millions d’utilisateurs en Europe d’après son rapport
annuel de 2020. Le rapport est disponible en ligne à l’adresse suivante:
https://d18rn0p25nwr6d.cloudfront.net/CIK-0001326801/4dd7fa7f-1a51-4ed9-b9df-
7f42cc3321eb.pdf,consulté le 11/03/2022.
470
BENOIS F-R., « Le name and shame », Revues des Juristes de Sciences Po n° 20, Février 2021, 21
Page 181 sur 317

505. En matière de données personnelles par exemple, Google 471 , Amazon 472 et
Carrefour473 ont tous été sanctionnés pour des manquements à la réglementation, pourtant,
peu de personnes semblent considérer cela quand il s’agit de faire affaire avec eux. Cette
situation semble inéquitable injuste dans la mesure où ces établissements ont généralement
les moyens humains et financiers de se mettre en conformité à la réglementation, ce qui n’est
pas toujours le cas des plus petites structures ne jouissant pas de la même notoriété.
506. La confiance numérique issue de l’assurance que l’établissement responsable sera

sanctionné au niveau de sa réputation en cas de manquement à ses obligations, et s’abstiendra
donc de le faire pour éviter une sanction, nous semble peu efficace au regard de ce constat.
471
Délibération de la CNIL n° 2011-035 du 17 mars 2011 concernant la société GOOGLE ; DEBET A.,
« Affaire Google Street View : une sanction exemplaire..., mais quelles suites ? », Comm. com. électr. n° 1,
Janvier 2012, étude 1 ; Délibération de la formation restreinte de la CNIL n° SAN-2019-001 du 21 janvier
2019 concernant la société GOOGLE
Délibération de la formation restreinte n° SAN-2020-012 du 7 décembre 2020 concernant les sociétés
GOOGLE LLC et GOOGLE IRELAND LIMITED ; SCEMAMA D., « Décryptage des sanctions de la CNIL
à l'encontre de Google et d'Amazon en matière de traçage publicitaire », Revue Internationale de la Compliance
et de l'Éthique des Affaires n° 1, Février 2021, comm. 54
472
Délibération de la formation restreinte n° SAN-2020-013 du 7 décembre 2020 concernant la société
AMAZON EUROPE CORE ; BOURGEOIS M., et THIBIERGE L., « Chronique de droit de la donnée », JCP
E n° 26, 1er Juillet 2021, 1331
473
La CNIL a estimé que « l’information fournie aux personnes concernées était trompeuse et déloyale dès
lors que la société avait expressément indiqué, dans cette même mention d’information, qu’elle s’engage[ait]
à ne transmettre aucune autre information à Carrefour Fidélité que les noms, prénoms et adresse électronique
des souscripteurs à la carte Pass alors même que tel n’était précisément pas le cas » ; Délibération de la
formation restreinte n° SAN-2020-008 du 18 novembre 2020 concernant la société CARREFOUR France ;
Délibération de la formation restreinte n° SAN-2020-009 du 18 novembre 2020 concernant la société
CARREFOUR BANQUE
Page 182 sur 317

507. La traçabilité en environnement numérique est indéniablement un enjeu majeur pour

les banques dans un contexte où le monopole bancaire faiblit et où les intermédiaires se
multiplient grâce, ou à cause, du phénomène de l’open banking.
508. Les techniques mises en place par les banques pour garantir la traçabilité des actes
réalisés par leurs clients sont, en effet, primordiales quand il s’agit notamment de pouvoir
les dissocier d’un tiers agissant à leur place. Que ce tiers agisse légitimement, dans le cadre
d’un contrat qu’il aurait lui-même passé avec le client, ou qu’il s’agisse d’un fraudeur.
509. La traçabilité va en effet conditionner l’imputabilité des actes, sujet primordial si le

client se prétend victime d’un préjudice dont il demande le dédommagement, ou s’il souhaite
punir le responsable.
510. En effet, à défaut de pouvoir empêcher la réalisation d’un risque, le fait, pour un
individu, de savoir qu’il sera justement indemnisé, et que le responsable de son préjudice
sera, de quelque manière, puni, peut être perçu par certains comme un élément de
réassurance, et par extension, de confiance.
511. À ce titre, certains individus choisissent de souscrire des assurances pour leurs moyens
de paiements et d’autres estiment être suffisamment protégés par le régime d’indemnisation
légal, qui est extrêmement protecteur des clients.
512. En ce qui concerne la punition du responsable du préjudice du client en revanche, les

clients victimes n’obtiennent pas toujours satisfaction. En effet, même si le recours, courant,
à la pratique du name and shame, tant de la part des autorités au travers de décisions non
anonymes, que de la part des clients mécontents, au travers d’avis qu’ils pourraient publier
en ligne, n’aboutit pas toujours au résultat escompté quand il s’agit d’accuser des
établissements jouissant d’une certaine notoriété.
Page 183 sur 317

CHAPITRE II - CONFIANCE ET FIABILITE DES OUTILS
NUMERIQUES
513. Outre la question de la traçabilité, qui a toute son importance quand il s’agit d’obtenir
réparation d’un préjudice, le sujet de la fiabilité des outils numériques mis à disposition des
clients par leurs banques et autres prestataires de services de paiement semble lui aussi
entretenir un lien étroit avec celui de la confiance numérique.
514. En effet, la crainte des actes de cyber malveillance impliquant les outils numériques
mis à disposition des individus par leurs banques est un argument souvent avancé par les
réfractaires à l’utilisation de ces outils. Les cas de fraude liés au paiement sans contact par
exemple, conduisent certains clients à demander la désactivation de la fonctionnalité de peur
que la perte ou le vol de leur carte bancaire mène à la réalisation de paiements frauduleux,
quand bien même les taux de fraude en la matière sont relativement faibles474.
515. Il est important que le client puisse avoir confiance dans la capacité de sa banque à
protéger les nombreux éléments que ce dernier lui confie, tels que son argent, la gestion de
son patrimoine, ses données, ses projets. Pour protéger les biens et intérêts de son client dans
un contexte numérique, la banque est ainsi contrainte de sélectionner des outils et techniques
de sécurité suffisamment fiables et robustes pour limiter au maximum les risques numériques
tels que les fuites de données, les actes de cyber malveillance, ou encore l’altération voire la
destruction accidentelle de données.
516. La banque, en tant que tiers de confiance, se doit donc d’être extrêmement vigilante
quant aux services et outils auxquels elle accorde elle-même sa confiance pour protéger les
intérêts de ses clients, en particulier quand il s’agit de déterminer les mesures de sécurité des
interfaces permettant l’accès aux données bancaires (Section I) et le choix des moyens de
paiement mis à disposition (Section II).
474
LASSERRE CAPDEVILLE J., « Quelques enseignements résultant du rapport de l'Observatoire de la
sécurité des moyens de paiement pour l'année 2019 », JCP E n° 42, 15 Octobre 2020, act. 696
Page 184 sur 317

SECTION I – LA FIABILITE DES ESPACES PERSONNELS MIS A
DISPOSITION PAR LES BANQUES
517. Lorsqu’un individu choisi de confier son patrimoine à une banque, il fait naturellement
confiance à celle-ci pour mettre en place des mesures adéquates pour en garantir l’intégrité,
la sécurité et la confidentialité. Or, la grande majorité des interfaces bancaires et autres
outils mis à disposition des clients font en réalité intervenir des prestataires de la banque,
tels que des hébergeurs de données par exemple.
518. En principe, le client ne va pas se soucier de cette réalité technique, l’identité des sous-
traitants étant par ailleurs généralement à la discrétion de la banque, mais surtout sous sa
responsabilité. La confiance que le client accorde à sa banque peut donc, de fait, être mise à
mal par une défaillance des sous-traitants de cette dernière, ce qui implique de sélectionner
des prestataires de qualité.
519. À ce titre, de nombreux sous-traitants de banques ont la qualité, dans le cadre de leur
relation contractuelle avec ladite banque, de Prestataires de Services Essentiels Externalisés,
dits PSEE ou encore Sous-Traitants Importants ou Critiques, dits STIC475. Les statuts de
PSEE et STIC concernent, comme leur nom l’indique, les prestations essentielles à l’activité
de la banque, dont la défaillance pourrait avoir des conséquences critiques, ce qui inclut
généralement a minima les prestations d’hébergement, de maintenance et tout ce qui a trait
à la sécurité des systèmes d’information.
520. Au regard de l’importance des activités sous-traitées, les banques sont légalement
tenues d’assurer un contrôle rigoureux de ces prestataires, ce qui se manifeste
contractuellement par des clauses d’audit renforcées, ainsi que des conventions de services
particulièrement exigeantes en termes, notamment, de disponibilité de la solution et de délai
de résolution des incidents. Or, si ce dispositif permet effectivement de limiter la probabilité
de réalisation d’un risque numérique qui trouverait sa cause dans un manquement du
prestataire à ses obligations contractuelles, elles ne permettent en aucun cas de les supprimer
complètement, certains d’entre eux pouvant tout simplement être accidentels ou provenir
475
Arrêté du 3 novembre 2014 relatif au contrôle interne des entreprises du secteur de la banque, des services
de paiement et des services d'investissement soumises au contrôle de l'Autorité de contrôle prudentiel et de
résolution, NOR : FCPT1423259A, JORF n°0256 du 5 novembre 2014
Page 185 sur 317

d’une source extérieure au prestataire, quand bien même celui-ci aurait pris des mesures
préventives à l’état de l’art476.
521. Le cas de l’incendie du Datacenter de Toulouse appartenant à l’hébergeur français

OVH en mars 2021 est une bonne illustration. Bien que les établissements clients de ce
dernier avaient pris des mesures adéquates visant à assurer la continuité des services,
l’incendie qui s’est produit ne pouvait être évité par ces derniers477.
522. De manière générale, la résilience des systèmes d’information des établissements

financiers est un sujet central dans le cadre de la lutte contre la cybercriminalité et la
protection contre les cyber-risques. La proposition de Règlement sur la résilience
opérationnelle numérique du secteur financier et modifiant les Règlements (CE) 1060/2009,
(UE) 648/2012, (UE) 600/2014 et (UE) 909/2014, dit Règlement DORA, du 24 septembre
2020, entend à ce titre harmoniser les règles de gestion des technologies de l’information et
de la communication, dits TIC au niveau de l’UE en établissant notamment des normes
unifiées en ce qui concerne les tests de résilience des SI des banques478 et le contrôle des
prestataires de services informatiques critiques pour des établissements financiers479.
523. Dans cette section, nous proposons d’étudier les principaux risques numériques
auxquels les outils des banques semblent être exposés : les atteintes aux STADS (§1) et
l’usurpation d’identité de leurs clients (§2).
476
STORRER P, « Le risque informatique fait son entrée dans l’arrêté du 3 novembre 2014 relatif au contrôle
interne », Revue Banque n°855, 2021
477
ANONYME, L’incendie chez OVH évapore une partie du cloud français, Revue Banque n°855, 2021
478
Articles 21 à 24 de la proposition de Règlement sur la résilience opérationnelle numérique du secteur
financier et modifiant les règlements (CE) no 1060/2009, (UE) no 648/2012, (UE) no 600/2014 et (UE) no
909/2014, dit Règlement DORA, du 24 septembre 2020, 2020/0266 (COD)
479
Articles 25 à 39 de la Proposition de Règlement sur la résilience opérationnelle numérique du secteur
financier et modifiant les règlements (CE) no 1060/2009, (UE) no 648/2012, (UE) no 600/2014 et (UE) no
909/2014, dit Règlement DORA, du 24 septembre 2020, 2020/0266 (COD)
Page 186 sur 317

§ 1 - LES ATTEINTES AUX SYSTEMES DE TRAITEMENTS DE DONNEES
AUTOMATISES (STAD) DANS LE SECTEUR BANCAIRE
524. Introduites dans le Code pénal par la Loi n°88-19 du 5 janvier 1988, dite Loi
Godfrain 480 , les dispositions concernant les atteintes aux Systèmes de Traitements de
Données Automatisés, dits STAD, désignent différents types de comportements
répréhensibles visant des systèmes d’information481. Ainsi, sont constitutifs d’une atteinte
aux STAD, le fait « d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d'un
système de traitement automatisé de données » 482 , le fait « d'entraver ou de fausser le
fonctionnement d'un système de traitement automatisé de données »483, le fait « d'introduire
frauduleusement des données dans un système de traitement automatisé, d'extraire, de
détenir, de reproduire, de transmettre, de supprimer ou de modifier frauduleusement les
données qu'il contient »484, et le fait, « sans motif légitime, notamment de recherche ou de
480
Loi n° 88-19 du 5 janvier 1988 relative à la fraude informatique
481
DAURY FAUVEAU M., « Atteintes aux systèmes de traitement automatisé de données. – Code pénal,
articles 323-1 à 323-8 », J. Cl Pénal, Fasc. 20, 2021 ; CAPRIOLI E., « Entente ayant pour but d'entraver le
fonctionnement d'un STAD », Comm. com. électr. n° 4, Avril 2018, comm. 31 ; CAPRIOLI E., « Relaxe pour
accès au STAD non protégé mais condamnation pour maintien dans le STAD et vol de fichiers informatiques »,
Comm. com. électr. n° 4, Avril 2014, comm. 40 ; CAPRIOLI E., « Accès frauduleux à un STAD », Comm.
com. électr. n° 7-8, Juillet 2018, comm. 59 ; CAPRIOLI E., « Les atteintes frauduleuses à un STAD restent
d'interprétation stricte », Comm. com. électr. n° 5, Mai 2020, comm. 45
482
Article 323-1 du code pénal : « Le fait d'accéder ou de se maintenir, frauduleusement, dans tout ou partie
d'un système de traitement automatisé de données est puni de deux ans d'emprisonnement et de 60 000 €
d'amende.
Lorsqu'il en est résulté soit la suppression ou la modification de données contenues dans le système, soit une
altération du fonctionnement de ce système, la peine est de trois ans d'emprisonnement et de 100 000 €
d'amende.
Lorsque les infractions prévues aux deux premiers alinéas ont été commises à l'encontre d'un système de
traitement automatisé de données à caractère personnel mis en œuvre par l'Etat, la peine est portée à cinq ans
d'emprisonnement et à 150 000 € d'amende. »
483
Article 323-2 du code pénal : « Le fait d'entraver ou de fausser le fonctionnement d'un système de traitement
automatisé de données est puni de cinq ans d'emprisonnement et de 150 000 € d'amende.
Lorsque cette infraction a été commise à l'encontre d'un système de traitement automatisé de données à
caractère personnel mis en œuvre par l'Etat, la peine est portée à sept ans d'emprisonnement et à 300 000 €
d'amende. »
484
Article 323-3 du code pénal : « Le fait d'introduire frauduleusement des données dans un système de
traitement automatisé, d'extraire, de détenir, de reproduire, de transmettre, de supprimer ou de modifier
frauduleusement les données qu'il contient est puni de cinq ans d'emprisonnement et de 150 000 € d'amende.
Lorsque cette infraction a été commise à l'encontre d'un système de traitement automatisé de données à
caractère personnel mis en œuvre par l'Etat, la peine est portée à sept ans d'emprisonnement et à 300 000 €
d'amende. »
Page 187 sur 317

sécurité informatique, d'importer, de détenir, d'offrir, de céder ou de mettre à disposition un
équipement, un instrument, un programme informatique ou toute donnée conçus ou
spécialement adaptés » pour commettre une ou plusieurs des infractions précédentes485.
525. Au regard de la sensibilité des données contenues dans les systèmes d’information des
banques, ces dernières sont particulièrement vigilantes face aux risques d’atteintes aux
STAD et mettent en place des mesures de sécurité rigoureuses visant à les prévenir (A), les
sanctions prévues par le Code pénal ne suffisant pas toujours à dissuader ces comportements
(B).
A – LES ATTEINTES AUX STAD BANCAIRES
526. Si toutes les entreprises ont intérêt à mettre en place des mesures de sécurité
rigoureuses quand il s’agit de sécuriser l’accès à leurs systèmes d’information, les banques
font partie de celles pour lesquelles une telle intrusion serait des plus dommageable pour
leur clientèle. C’est pourquoi les exigences réglementaires en la matière sont aussi
rigoureuses486, de même que les mesures de sécurité spontanément mises en place par les
banques.
527. Comme toute entreprise mettant à disposition de leurs clients une interface d’accès à
un espace personnel, les banques ont généralement au moins deux interfaces susceptibles
d’être ciblées lors d’une atteinte aux STAD : l’interface de la clientèle et celle des
collaborateurs. Or, si les collaborateurs sont très largement sensibilisés aux risques en la
matière et aux procédures à appliquer en cas de suspicion d’atteinte aux STAD de la banque,
il ne peut pas toujours en être dit autant des clients.
485
Article 323-3-1 du code pénal : « Le fait, sans motif légitime, notamment de recherche ou de sécurité
informatique, d'importer, de détenir, d'offrir, de céder ou de mettre à disposition un équipement, un instrument,
un programme informatique ou toute donnée conçus ou spécialement adaptés pour commettre une ou plusieurs
des infractions prévues par les articles 323-1 à 323-3 est puni des peines prévues respectivement pour
l'infraction elle-même ou pour l'infraction la plus sévèrement réprimée. »
486
Cela s’explique également en raison de la qualification de certaines banques d’Opérateurs de Services
Essentiels au sens de la directive (UE) 2016/1148 du Parlement européen et du Conseil du 6 juillet 2016
concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes
d'information dans l'Union. A ce sujet, lire DOUVILLE T, « Cybersécurité : transposition de la directive NIS,
ses limites et ses conséquences », JCP E n° 15-16, 12 Avril 2018, act. 284
Page 188 sur 317

528. En effet, pour en revenir à nos propos précédents, la plupart des informations mises à
disposition de la clientèle sont écrites et supposent donc une action du client : celle
d’effectivement prendre connaissance des dispositions relatives à la sécurité des interfaces
client. Par ailleurs, lorsque l’interface n’est sécurisée que par un mot de passe, ce dernier est
généralement personnalisable par le client, qui sera souvent tenté d’en choisir un qu’il
retiendra facilement au détriment de sa robustesse.
529. À ce titre, il semble que l’une des plus grandes faiblesses des STAD se situe au niveau
des interfaces clients, la robustesse de ces dernières étant très dépendantes du comportement
des clients et des précautions qu’ils prennent ou non. Les banques sont donc contraintes de
principalement se reposer sur les mesures techniques de sécurité et le caractère dissuasif des
peines applicables en cas d’atteinte à un STAD pour protéger leurs systèmes d’information
contre une intrusion au travers des interfaces clients.
B - LA REPRESSION DES ATTEINTES AUX STAD BANCAIRES
530. Bien que l’accès à un STAD bancaire soit potentiellement plus dommageable que
l’atteinte aux STAD de certaines autres entreprises, il n’existe pas, à ce jour487, d’infraction
qui leur soit spécifique. Ainsi, un individu qui s’infiltrerait illégalement dans le système
d’information d’un commerce s’exposerait aux mêmes sanctions s’il s’infiltrait dans le
système d’information d’une banque quand bien même le préjudice potentiel peut être bien
plus élevé dans ce dernier cas.
531. Les articles 323-1 et suivants du Code pénal 488 prévoient pourtant bien des peines
aggravées en cas d’atteinte à certains STAD, mais cela ne concerne que les STAD mis en
œuvre par l’État489. En effet, les atteintes aux STAD constituent des délits punis d’une peine
pouvant aller jusqu’à 10 ans d’emprisonnement et 300 000 euros d’amende lorsqu’elles sont
réalisées en bande organisée et visent des STAD mis en œuvre par l’État, alors que la peine
487
En décembre 2021
488
Articles 323-1 et suivants du code pénal
489
L’alinéa 3 de l’article 323-1 du code pénal dispose par exemple que « Lorsque les infractions prévues aux
deux premiers alinéas ont été commises à l'encontre d'un système de traitement automatisé de données à
caractère personnel mis en œuvre par l'État, la peine est portée à cinq ans d'emprisonnement et à 150 000 €
d'amende. »
Page 189 sur 317

maximale en cas d’atteinte à un STAD qui ne serait pas mis en place par l’État est deux fois
moins importante490.
532. Cette situation peut sembler étonnante, dans la mesure, où les banques et autres
prestataires de services de paiement disposent d’informations autant, sinon plus sensibles,
que celles détenues par certaines administrations, mais ce n’est pas une spécificité de cette
infraction puisque les circonstances impliquant l’État ou ses agents sont presque toujours
des circonstances aggravantes, qu’elles soient victimes ou coupables d’une infraction.
533. Le fait pour une banque d’admettre qu’elle a été victime d’une atteinte à un STAD
peut effrayer sa clientèle, qui peut perdre confiance dans la capacité de celle-ci à protéger
ses données et son patrimoine. Les banques pourraient donc être tentées de ne pas révéler ce
type d’évènement. Pour éviter ce type de pratique, le RGPD et la Loi informatiques et
libertés prévoient, dans l’hypothèse où l’atteinte à un STAD a concerné des données à
caractère personnel et qu’il en ressort un risque pour la vie privée des personnes concernées,
l’obligation pour les responsables de traitement d’avertir la CNIL sous 72 heures. En cas de
risque élevé pour la vie privée des individus dont les données à caractère personnel ont été
atteintes, ces derniers doivent par ailleurs également être avertis491.
534. Le fait, pour un individu de savoir qu’un tiers malveillant a potentiellement accédé à
ses données à caractère personnel peut être particulièrement dérangeant au regard des autres
comportements frauduleux qui peuvent en découler, tels que les usurpations d’identité.
490
En effet, les articles 322-3 et 323-3 du Code Pénal prévoient des peines maximales de 5 ans
d’emprisonnement et 150 000 euros d’amende en cas d’atteinte à un STAD qui n’est pas mis en œuvre par
l’État.
491
Article 33 alinéa 1 du RGPD : « En cas de violation de données à caractère personnel, le responsable du
traitement en notifie la violation en question à l'autorité de contrôle compétente conformément à l'article 55,
dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance, à moins que
la violation en question ne soit pas susceptible d'engendrer un risque pour les droits et libertés des personnes
physiques. Lorsque la notification à l'autorité de contrôle n'a pas lieu dans les 72 heures, elle est accompagnée
des motifs du retard. »
Page 190 sur 317

§ 2 - L’USURPATION DE L’IDENTITE DU CLIENT
535. Si les clients craignent naturellement le fait qu’un individu non autorisé puisse accéder
à leur espace de banque à distance, cette crainte peut être justifiée autrement que par le seul
risque qu’il fait porter sur leur vie privée.
536. En effet, il existe par ailleurs le risque que les données bancaires ne soient que la porte
d’entrée à d’autres infractions, telles qu’une usurpation d’identité. Or, il peut être compliqué
pour un individu d’apporter la preuve qu’il n’est pas à l’origine des actes frauduleusement
réalisés, surtout si ses identifiants ont été utilisés à cette fin.
537. À ce sujet, il semble important de rappeler que le risque humain est particulièrement
présent et difficilement contrôlable par les banques (A), de même que les risques engendrés
par certaines technologies, que les individus utilisent parfois sans prendre les précautions
nécessaires (B).
A - LES RISQUES HUMAINS
538. Si depuis le début de cette étude, nous parlons principalement du risque informatique,
qui semble occuper une place importante dans la question de la confiance numérique, il
semble important de préciser un élément : de nombreux risques informatiques ont en réalité
à leur origine un risque humain. L’Agence Nationale de la Sécurité des Systèmes
d’Information, l’ANSSI a d’ailleurs publié un guide sur la gestion du risque numérique dans
lequel elle présente plusieurs recommandations liées au risque humain492.
539. En effet, si une intrusion par la force brute dans un STAD est tout à fait possible, elle
reste extrêmement compliquée en raison des nombreuses mesures de sécurité existantes
telles que le chiffrement des données et les dispositifs d’authentification à multiples facteurs.
C’est pourquoi certains pirates informatiques vont plutôt cibler le maillon faible dans la
chaîne de sécurité des banques : leurs collaborateurs ou clients.
492
ANSSI, “Maîtrise du risque numérique, l’atout confiance”, 2019. Le guide est disponible en ligne à l’adresse
suivante :
https://www.ssi.gouv.fr/uploads/2019/11/anssi_amrae-guide-maîtrise_risque_numerique-
atout_confiance.pdf,consulté le 11/03/2022.
Page 191 sur 317

540. Le risque humain peut par exemple se matérialiser par la perte, par un collaborateur,
de son ordinateur professionnel, ou de l’ouverture d’un courriel comprenant un virus sur son
ordinateur professionnel. Coté clientèle, ce risque peut par exemple se matérialiser par un
choix de mot de passe peu robuste, ou par l’utilisation des mêmes mots de passe auprès de
plusieurs services493.
541. Outre ces négligences ou erreurs, il faut également noter que les pirates informatiques
ont recours à des pratiques visant à capitaliser sur la négligence ou le caractère peu averti de
certains individus, notamment au travers des attaques dites de « phishing » , aussi appelées
« hameçonnages », qui consistent à se faire passer pour un autre au travers d’un e-mail ou
autre interface et d’inviter un individu à renseigner ses identifiants ou autres informations
confidentielles sur un site qu’il croit fiable494.
542. Notons également l’usage des keyloggers, qui consistent en l’installation d’un logiciel
espion sur l’appareil du client qui enregistrera toutes les données saisies à l’aide du clavier,
parmi lesquels ses mots de passes et identifiants.
543. Pour se prémunir de ces risques, les entreprises, parmi lesquelles, les banques, se
doivent de multiplier les rappels en ce qui concerne les bonnes pratiques en la matière. Mais
si l’accompagnement des collaborateurs est plus aisé, en raison, notamment, de la capacité
des banques à rendre des formations obligatoires, et de celle de sanctionner le non-respect
des règles édictées dans sa charte informatique, l’accompagnement des clients est bien plus
délicat et se limite souvent à quelques consignes indiquées dans les CGU de l’espace client
de la banque au sujet de l’authentification.
544. L’authentification est à cet effet une étape de parcours client extrêmement sensible
pour les banques, qui ont tout intérêt à mettre en place des mesures visant à s’assurer que la
personne qui s’authentifie est bien celle qu’elle prétend être.
493
DEMPURE F., « Comment gérer les mots de passe ? », JCP G n° 18, 6 Mai 2019, 499
494
MATHIOS F., « Le phishing bientôt saisi par la loi ?», Comm. com. électr. n° 9, Septembre 2009, alerte
111
Page 192 sur 317

B – LES RISQUES LIES A CERTAINES INNOVATIONS
545. Il semble important de reconnaître, sans toutefois encourager une quelconque

méfiance dans l’usage des outils numériques, que certaines innovations sont bel et bien
susceptibles d’augmenter les probabilités de réalisation d’un risque numérique. Tel est par
exemple le cas des technologies vocales.
546. Depuis quelques années, les entreprises, et notamment les GAFAM, ont presque toutes
mis sur le marché un ou plusieurs assistants vocaux. Citons par exemple, Siri d’Apple, Alexa
d’Amazon ou encore Cortana de Microsoft. En 2019, une étude du Conseil Supérieur de
l’Audiovisuel et d’HADOPI495 révélait que 46% des Français avaient déjà utilisé un assistant
vocal alors que 63% des personnes interrogées estimaient qu’elles présentaient un risque
pour leur vie privée.
547. Cette contradiction a été confirmée par une étude de l’IFOP menée la même année496,
précisant à ce sujet que les Français semblaient préférer accorder leur confiance à l’entreprise
qui présente la plus grande expertise technologique, au détriment des autres considérations.
548. Dans le secteur bancaire, les possibilités offertes par les assistants vocaux sont
nombreuses, qu’il s’agisse de permettre la consultation du solde de ses comptes ou
l’initiation d’un virement en le demandant simplement à son mobile. Pourtant, ce type de
technologie peut potentiellement exposer l’utilisateur à certains risques, notamment lorsqu’il
n’est pas associé à un système de reconnaissance vocale ou tout autre système
d’authentification suffisamment fiable. En l’absence de tels mécanismes, si une autre
personne non autorisée accède aux informations de l’individu ou effectue une opération en
son nom, il peut être extrêmement compliqué de le prouver.
549. A ce jour, le paiement vocal reste encore assez rare, notons par exemple le service de
la Banque Postale qui permet à ses clients d’initier des paiements par la voix, grâce à la
495
HADOPI et CSA, « Étude sur les assistants vocaux et enceintes connectée », 2019, disponible à l’adresse
suivante:https://www.csa.fr/Informer/Collections-du-CSA/Thema-Toutes-les-etudes-realisees-ou-co-
realisees-par-le-CSA-sur-des-themes-specifiques/Les-etudes-corealisees-avec-le-CSA/Etude-HADOPI-CSA-
2019-Assistants-vocaux-et-enceintes-connectees,consulté le 11/03/2022.
496
IFOP, « Etude - Comment les enceintes intelligentes peuvent être un « game changer » pour les marques
? », 2019, disponible à l’adresse suivante : https://www.ifop.com/publication/comment-les-enceintes-
intelligentes-peuvent-etre-un-game-changer-pour-les-marques/,consulté le 11/03/2022.
Page 193 sur 317

fonctionnalité « Talk to Pay »497. La plupart des autres banques se contentent de permettre
des actes tels que la consultation du solde des comptes, la simulation de crédit ou l’édition
d’un RIB, comme c’est le cas par exemple de Boursorama Banque498.
550. La fiabilité des espaces personnels mis à disposition par les banques ainsi que les
modalités selon lesquelles il est possible d’y accéder sont visiblement des éléments essentiels
à la confiance numérique des individus. La sécurisation des moyens de paiements est
également un élément auquel les clients sont très attachés.
497
Le communiqué de presse de la Banque Postale du 6 juin 2017 annonçant le lancement du service est
https://www.labanquepostale.fr/content/dam/groupe/journalistes/communiques/2017/20170606_lancement-
talktopay_CP.pdf,consulté le 11/03/2022.
498
AUTEUR ANONYME, « Enceintes connectées : Boursorama Banque donne de la voix ! », Boursorama,
2019. L’article est disponible à l’adresse suivante :
https://www.boursorama.com/patrimoine/actualites/enceintes-connectees-boursorama-banque-donne-de-la-
voix-08f886ffd6f2e4dc97075a6f06d50448,consulté le 11/03/2022.
Page 194 sur 317

SECTION II – LA SECURITE DES MOYENS DE PAIEMENT
551. Les innovations autour du paiement attirent de plus en plus d’entreprises non
bancaires, notamment celles proposant elles-mêmes un autre service et cherchant à optimiser
au possible l’expérience d’achat ou de souscription. Dans le cadre d’une relation à distance,
si les chèques ont pendant un temps su répondre au besoin, ils disparaissent peu à peu des
options de paiement proposées lorsqu’il s’agit de régler un achat ou une souscription à
distance499.
552. Les paiements en espèce étant également incompatibles avec une relation distante
sécurisée, les seules options viables restantes sont le virement, le prélèvement, et le paiement
par carte bancaire. Or, chacun présente ses propres limites.
553. En ce qui concerne le virement classique500 et le prélèvement, les formalités de mise

en place et le délai de traitement constituent des freins à l’instantanéité et la fluidité des
parcours. Si le virement instantané a largement amélioré la situation, les formalités de
renseignement du bénéficiaire restent néanmoins contraignantes. Quant au paiement par
carte bancaire, le plafond de paiement fixé par la banque peut être bloquant lorsqu’il s’agit
de régler un montant très élevé.
554. On observe, ces dernières années, l’émergence de nombreuses innovations relatives

au paiement en ligne visant à trouver un compromis entre sécurité et fiabilité (§1).
Cependant, l’implication de plus en plus prononcée des appareils personnels des individus,
comme les montres connectées et les smartphones, dans le processus de paiement, est à
l’origine de nouvelles problématiques (§2).
499
Le rapport annuel de l’OSMP de 2020 indique en effet que les paiements par chèque sont en déclin constant
depuis le début des années 2000. Par ailleurs, ils font l’objet d’un fort taux de fraude, ce qui explique le fait
qu’ils soient de moins en moins acceptés par les établissements (page 20 du rapport annuel de l’OSMP de
2020) ; LASSERRE CAPDEVILLE J., « L'encadrement juridique du risque de fraude en matière de chèque »,
RD bancaire et fin. n° 1, Janvier 2021, dossier 3
500
Par opposition au virement instantané ; LASSERRE CAPDEVILLE J., « L'encadrement juridique du
virement instantané », RD bancaire et fin. n° 1, Janvier 2020, étude 1
Page 195 sur 317

§ 1 - LA RECHERCHE D’UN EQUILIBRE ENTRE SECURITE ET SIMPLICITE
D’UTILISATION DES OUTILS MIS A DISPOSITION
555. S’il est tout à fait naturel que les clients de banques et autres établissements de
paiements aient de fortes attentes en ce qui concerne la sécurité des outils que leur mettent
ces établissements à disposition, ces attentes sont souvent difficiles à concilier avec leur
attente, souvent très forte également, de simplicité d’utilisation de ces mêmes outils.
556. Mais alors, faut-il privilégier la qualité de l’interface et la fluidité des parcours au
détriment de la sécurité ou le contraire ? L’émergence des Super Apps est un phénomène
intéressant à étudier en la matière (A) de même que l’incidence de l’authentification forte au
regard de cet enjeu de fluidité et simplicité des parcours (B).
A - LE PHENOMENE DES SUPERAPPS
557. Les SuperApps, pour Super Applications, sont des applications mobiles qui regroupent
plusieurs services au sein d’une seule et même application avec, presque toujours, un service
de paiement au cœur de ces services.
558. Si le phénomène des SuperApp gagne de plus en plus en popularité en Europe, il n’est
en aucun cas nouveau. Ce type d’application existe en effet depuis une dizaine d’années en
Asie. Les plus connues d’entre elles, WeChat et Alipay sont toutes deux chinoises, mais ce
type d’application est également bien établi dans de nombreux autres pays d’Asie et
d’Europe de l’Est501.
559. L’intérêt premier de ces applications pour les utilisateurs se trouve dans la possibilité
de bénéficier d’une multitude de services en s’authentifiant une seule et unique fois. Ainsi,
il est inutile de multiplier les mots de passe et les phases d’authentification. Pour les
entreprises, cela représente également un avantage majeur puisque les mesures relatives à la
501
DUROYON A, « La banque en ligne russe Tinkoff lance une “super-app” », Mind Fintech, 2019. L’article
est disponible en ligne à l’adresse suivante : https://www.mindfintech.fr/services-bancaires/la-banque-en-
ligne-russe-tinkoff-lance-une-super-app/,consulté le 11/03/2022. ; ROUSSEAU Y., « Comment Grab, la «
super app » d'Asie du Sud-Est, a conquis Wall Street », Les Echos 2021. L’article est disponible en ligne à
l’adresse suivante : https://www.lesechos.fr/finance-marches/marches-financiers/comment-grab-la-super-app-
dasie-du-sud-est-a-conquis-wall-street-1369043,consulté le 11/03/2022.
Page 196 sur 317

connaissance client sont mises en commun entre les différents fournisseurs de service, de
même que, généralement, les données à caractère personnel issues des traitements réalisés
dans le cadre des différents services, sous réserve du consentement des utilisateurs à la
mutualisation des données502.
560. Par exemple, l’utilisateur d’une SuperApp peut, grâce à un service d’informations sur
les comptes, agréger ses comptes, puis se voir proposer d’acheter des biens en lien avec ses
habitudes d’achat constatées dans ses mouvements bancaires. Et, si l’achat dudit bien
nécessite un financement, il pourrait lui être proposé de souscrire un crédit dans cette même
application.
561. Bien qu’encore relativement inconnues en France, ces applications nous semblent
intéressantes dans leur approche de la confiance. En effet, aucune des SuperApp existantes
n’a été créée en tant que telle, elles ont toutes commencé par un service correspondant au
cœur de métier de l’entreprise éditrice de cette dernière. Pour prendre l’exemple de WeChat,
cette SuperApp n’était à ses prémices qu’une application de chat, permettant à ses
utilisateurs de communiquer les uns avec les autres. Grab, la SuperApp singapourienne
quant à elle n’offrait à la base qu’un service de livraison503.
562. Ces applications ont intégré progressivement d’autres services, dont des services
financiers, tel qu’un service de paiement permettant aux utilisateurs de payer leurs achats en
magasin directement avec l’application, et de faire des transferts d’argent entre utilisateurs.
Aujourd’hui, des milliers de services sont disponibles au sein de l’application WeChat,
502
Ce qui semble cohérent avec les dispositions de la Proposition d’article 5 de la proposition de Règlement
du Parlement européen et du conseil relatif aux marchés contestables et équitables dans le secteur numérique
du 15 décembre 2020, dit règlement DMA : « Pour chacun de ses services de plateforme essentiels recensés
conformément à l’article 3, paragraphe 7, le contrôleur d’accès :
(a) s’abstient de combiner les données à caractère personnel provenant de ces services de plateforme essentiels
avec les données à caractère personnel provenant de tout autre service proposé par le contrôleur d’accès, ou
avec les données à caractère personnel provenant de services tiers, et d’inscrire les utilisateurs finaux à
d’autres services du contrôleur d’accès dans le but de combiner des données à caractère personnel, à moins
que ce choix précis n’ait été laissé à l’utilisateur final et que ce dernier ait donné son consentement au sens
du règlement (UE) 2016/679…)
503
FREDOUELLE A., « Comment Grab veut devenir un géant des services financiers sud-asiatique », Mind
Fintech, 2021. L’article est disponible à l’adresse suivante : https://www.mindfintech.fr/services-
bancaires/comment-grab-veut-devenir-un-geant-des-services-financiers-sud-asiatique/,consulté le
11/03/2022.
Page 197 sur 317

parmi lesquels des services tiers que les milliards d’utilisateurs mensuels de WeChat sont
libres d’utiliser ou non.
563. WeChat apporte un enseignement intéressant en ce qui concerne la confiance

numérique des individus. Bien qu’accusée à plusieurs reprises de collaborer avec l’État
chinois dans la surveillance des utilisateurs de l’application, cette dernière est utilisée
quotidiennement par des utilisateurs du monde entier, et pas seulement des Chinois504.
564. Ainsi, l’utilité et la praticité du service semblent souvent primer sur sa sécurité, ce qui
explique sans doute les difficultés rencontrées dans le cadre de la généralisation de
l’authentification forte.
B – LES DIFFICULTES LIEES A L’AUTHENTIFICATION FORTE
565. Le terme « authentification forte » désigne le fait de prouver son identité grâce à des
facteurs d’authentification relevant d’au moins deux des trois catégories suivantes : la
connaissance (telle que la saisie d’un mot de passe), la possession, (telle que la détention
d’un appareil ou document), et l’inhérence (biométrie)505.
566. Ce type d’authentification est particulièrement connu dans le secteur bancaire, dans
lequel il est courant de compléter la fourniture d’un facteur de connaissance, comme un mot
de passe, par un facteur de possession, qui consiste à renseigner un mot de passe à usage
unique, dit « OTP SMS » pour « One Time Password SMS », que le payeur reçoit au numéro
de téléphone préalablement enregistré auprès de sa banque, attestant de la possession de la
carte SIM associée au numéro de téléphone en question.
504
JAO N., « WeChat now has over 1 billion active monthly users worldwide », site internet Technode, 2018,
disponible à cette adresse : https://technode.com/2018/03/05/wechat-1-billion-users/, consulté le 11/02/2022.
505
Extrait de l’article L133-4 du Code Monétaire et Financier : « f) Une authentification forte du client s'entend
d'une authentification reposant sur l'utilisation de deux éléments ou plus appartenant aux catégories "
connaissance " (quelque chose que seul l'utilisateur connaît), " possession " (quelque chose que seul
l'utilisateur possède) et " inhérence " (quelque chose que l'utilisateur est) et indépendants en ce sens que la
compromission de l'un ne remet pas en question la fiabilité des autres, et qui est conçue de manière à protéger
la confidentialité des données d'authentification » ; » LASSERRE CAPDEVILLE J., « Où en sommes-nous
de l'entrée en vigueur des dispositions nouvelles relatives à l'authentification forte ? », JCP E n° 36, 3
Septembre 2020, 567
Page 198 sur 317

567. L’adoption de la DSP 2 et de son Règlement délégué sur l’authentification forte, qui a
systématisé l’obligation d’authentification 506 à quelques exceptions près 507 , contraint les
prestataires de services de paiement à revoir leurs pratiques.
568. En effet, si la validité de l’OTP SMS comme facteur de possession a été confirmée par
l’ABE508, le recours à l’OTP SMS tend néanmoins à disparaître dans le domaine bancaire
car celui-ci est considéré comme peu sécurisé, notamment au regard du développement de
la pratique du « SIM swapping », qui consiste à obtenir une copie de la carte SIM d’un
individu pour en intercepter les correspondances, parmi lesquels les éventuels OTP SMS.
569. Dans sa stratégie pour l’UE en matière de paiements de détail, la Commission

Européenne rappelle en effet que les solutions d’authentification devraient s’éloigner « dans
la mesure du possible, des éléments transmissibles (par exemple, les mots de passe statiques)
506
Article L133-44 du Code Monétaire et Financier : « I. – Le prestataire de services de paiement applique
l'authentification forte du client définie au f de l'article L. 133-4 lorsque le payeur :
1° Accède à son compte de paiement en ligne ;
2° Initie une opération de paiement électronique ;
3° Exécute une opération par le biais d'un moyen de communication à distance, susceptible de comporter un
risque de fraude en matière de paiement ou de toute autre utilisation frauduleuse.
II. – Pour les opérations de paiement électronique à distance, l'authentification forte du client définie au f de
l'article L. 133-4 comporte des éléments qui établissent un lien dynamique entre l'opération, le montant et le
bénéficiaire donnés.
III. – En ce qui concerne l'obligation du I, les prestataires de services de paiement mettent en place des mesures
de sécurité adéquates afin de protéger la confidentialité et l'intégrité des données de sécurité personnalisées
des utilisateurs de services de paiement.
IV. – Le prestataire de services de paiement gestionnaire du compte autorise le prestataire de services de
paiement fournissant un service d'initiation de paiement et le prestataire de services de paiement fournissant
le service d'information sur les comptes à se fonder sur ses procédures d'authentification lorsqu'ils agissent
pour l'un de leurs utilisateurs conformément aux I et III et, lorsque le prestataire de services de paiement
fournissant le service d'initiation de paiement intervient, conformément aux I, II et III. »
507
LASSERRE CAPDEVILLE J., « Les exceptions à la future obligation d'authentification forte », JCP E n°
36, 5 Septembre 2019, 1410
508
Voir la réponse apportée par l’ABE à la questions n°2018_4039 dans son outil de question réponse
concernant la DSP 2 et son Règlement délégué relatif à l’authentification forte. La réponse est disponible en
ligne à l’adresse suivante: https://www.eba.europa.eu/single-rule-book-qa/-
/qna/view/publicId/2018_4039,consulté le 11/03/2022. ; GRIGUER M et SCEMAMA D., « Les règles de
sécurité prévues par la directive sur les services de paiement dans le marché intérieur (DSP2) », Cahiers de
droit de l’entreprise n° 5, Septembre 2020, prat. 25
Page 199 sur 317

et des technologies et canaux de communication plus anciens qui sont sujets aux attaques
(par exemple, les SMS).509 »
570. Par ailleurs, le Règlement délégué relatif à l’authentification forte exige, outre une
authentification reposant sur deux facteurs de nature différente, l’établissement d’un lien
dynamique entre l’authentification et l’opération qui fait l’objet d’une authentification forte.
À ce titre, l’article 5 du Règlement délégué sur l’authentification forte du 27 novembre 2017
exige, entre autres, que le prestataire de services de paiement prenne, pendant toutes les
phases de l’authentification, « des mesures de sécurité garantissant la confidentialité,
l'authenticité et l'intégrité » du montant de l’opération et du bénéficiaire, des informations
qui s’affichent, y compris « la génération, la transmission et l'utilisation du code
d'authentification »510. Or, les SMS ne répondent pas à cette exigence comme l’a rappelé
l’ABE511.
571. Les évolutions qu’implique cette nouvelle consigne ayant cependant engendré une
grande complexité pour les banques et leurs clients, le calendrier initial a dû être ajusté512.
Pour permettre une transition progressive, l’Autorité Bancaire Européenne a donc invité les
États à adopter des plans de migration progressive 513 pour notamment s’assurer que les
commerçants et clients des prestataires de services de paiement soient préparés à cette
évolution514.
572. En effet, la mise en œuvre d’une authentification forte conforme aux exigences de la
DSP 2 suppose que les clients soient équipés de manière adéquate, ce qui n’est pas toujours
509
Stratégie de l’UE en matière de paiement de détail du 24 septembre 2020 page 18 : « À l’avenir,
l’authentification forte du client devra devenir la norme pour les paiements en ligne, par exemple dans le cadre
du commerce électronique ou des réservations de voyages en ligne. Les solutions d’authentification de
prestataires de services de paiement qui intègrent l’authentification forte du client doivent offrir aux
utilisateurs une expérience transparente et conviviale pour que ceux-ci puissent accéder à leurs comptes de
paiement en ligne et pour faciliter les opérations. Ces solutions devraient reposer sur les facteurs
d’authentification les plus sûrs, en s’éloignant, dans la mesure du possible, des éléments transmissibles (par
exemple, les mots de passe statiques) et des technologies et canaux de communication plus anciens qui sont
sujets aux attaques (par exemple, les SMS). »
510
Article 5 du Règlement délégué relatif à l’authentification forte du 27 novembre 2017.
511
Voir la réponse de l’ABE à la question n°2018_4414, disponible en ligne à l’adresse suivante :
https://www.eba.europa.eu/single-rule-book-qa/-/qna/view/publicId/2018_4414,consulté le 11/03/2022.
512
LASSERRE CAPDEVILLE J., « Opérations de paiement à distance : le report de l'authentification forte »,
JCP E n° 42, 17 Octobre 2019, act. 666
513
ABE, Avis sur les éléments d’authentification forte selon la DSP 2, 21 juin 2019
514
Auteur anonyme, « L’Autorité bancaire temporise », Revue Banque, 2019
Page 200 sur 317

le cas, notamment en ce qui concerne les éventuels dispositifs d’authentification biométrique
qui nécessitent des smartphones récents515. En France, le plan de migration approuvé par
l’Observatoire de la sécurité des moyens de paiement prévoyait une phase de migration
progressive516 jusqu’à décembre 2020, augmentée de 18 mois afin de couvrir les situations
particulières, notamment celles des Français vivant à l’étranger ou des personnes qui ne
seraient pas correctement équipées517.
573. Parmi les solutions d’authentification fortes aujourd’hui proposées, la plus courante
consiste à ne plus envoyer un SMS à l’utilisateur, mais à l’inviter à se connecter à son espace
personnel pour s’y authentifier et valider l’acte en cours de réalisation. Cette technique est
effectivement plus robuste dans la mesure où, dans le cadre d’un paiement par exemple, il
est nécessaire de renseigner le numéro et le code de sécurité de sa carte bancaire, mais aussi
de connaître l’identifiant et mot de passe de son application bancaire. Par ailleurs, les
banques sont ainsi en mesure d’identifier les connexions suspectes aux espaces personnels,
telles que celles ayant une adresse IP inhabituelle, une localisation surprenante compte tenu
du domicile de l’individu, ou un nombre de tentatives de connexion infructueuses élevé.
574. L’authentification forte impose cependant une étape supplémentaire dans un parcours
que les commerçants et autres fournisseurs de services tentent de fluidifier518. Par ailleurs,
la fréquence à laquelle une demande d’authentification forte est demandée peut varier d’un
établissement à l’autre, ce qui est source de confusion pour les individus.
575. En effet, parmi les exceptions à l’authentification forte prévues, figure celle concernant
l’accès à ses comptes bancaires depuis un fournisseur de services d’informations sur les
comptes. L’article 10 du Règlement délégué prévoit que dans de telles circonstances, une
authentification forte peut n’être demandée qu’au premier accès puis une fois tous les 90
jours. Or, s’agissant d’une simple faculté et non d’une obligation, certaines banques
515
LASSERRE CAPDEVILLE J, « Opérations de paiement à distance : le report de l'authentification forte »,
JCP E, n° 42, 17 Octobre 2019, act. 666
516
Voir le Plan de migration vers une solution d’authentification forte, approuvé par l’OSMP en 2019.
517
DAUVERGNE G, "Le plan de la France pour mettre fin au paiement par SMS", Revue Banque n°836, 2019
DE BONY C-E., “Authentification forte, un outil puissant mais difficile à mettre en œuvre ? », Revue
518
Banque, n°842, 2020
Page 201 sur 317

gestionnaires de comptes n’appliquent pas cette dispense et demandent ainsi un
renouvellement d’authentification forte plus fréquemment.
576. À cet effet, le 8 octobre 2021, l’Autorité Bancaire Européenne a ouvert une
consultation publique concernant sa proposition de modification du Règlement délégué à la
DSP sur l’authentification forte519. Parmi les modifications proposées, figure notamment
l’obligation, sous conditions520, de dispense d’authentification forte pour la consultation de
comptes depuis un prestataire de services d’information sur les comptes, qui ne serait ainsi
plus une simple faculté. Il est également proposé d’allonger le délai entre deux
authentifications fortes de 90 jours à 180 jours quand l’individu accède à ses comptes depuis
un prestataire de services d’informations sur les comptes521. La consultation ouverte par
l’ABE a pris fin le 25 novembre 2021 et la proposition devrait être soumise prochainement
à la commission Européenne.
577. Dans sa stratégie en matière de paiement de détail du 24 septembre 2020, la

Commission européenne rappelait par ailleurs qu’elle croit fermement à l’open banking et
519
Consultation paper on draft regulatory technical standards amending the commission delegated regulation
(eu) 2018/389 supplementing directive (eu) 2015/2366 of the european parliament and of the council with
regard to regulatory technical standards for strong customer authentication and common and secure open
standards of communication.
520
Extrait de la consultation: « In particular, the proposed exemption would only apply where the access is
limited to the account balance and/or the most recent 90-day transaction history, without disclosure of sensitive
payment data, similarly to the existing exemption in Article 10 RTS. This means that the access to sensitive
payment data or to transaction history going back more than 90 days is out of the scope of the exemption, and
therefore always requires SCA.
Moreover, the exemption would only apply where SCA was applied for the first access to the account
information through the AISP, and is renewed periodically, every 180 days. The rationale for choosing the 180
days timeline is explained in more detail in the next sub-section.
Furthermore, in order to ensure the safety of the PSU’s data, the proposal allows PSPs to revert to SCA at any
time if they have objectively justified and duly evidenced reasons relating to unauthorised or fraudulent access.
This may be for example the case where the ASPSP’s transaction monitoring mechanisms detect an elevated
risk of unauthorised or fraudulent access. In order to ensure a consistent application of the exemption, in cases
where ASPSPs revert to SCA on such grounds they should substantiate to their national competent authority,
upon request, the reasons for applying SCA.”
521
Extrait de la consultation: « By contrast, for the other, separate case where customers access the data
directly, the EBA is proposing to retain the exemption in Article 10 RTS to be voluntary as is currently the
case, as no specific issues have been identified in such cases. However, in order to ensure a level playing field
amongst all PSPs, the EBA is also proposing to extend the 90-days timeline for the renewal of SCA to the same
180 days period for the renewal of SCA when the account data is accessed through an AISP, as explained in
further detail in paragraph 45 below. »
Page 202 sur 317

poursuivra sa collaboration avec l’ABE pour réduire les obstacles entravant illégalement les
services des PSP tiers522.
578. Nous suivrons de près les travaux européens en la matière et notamment la future
proposition législative qu’annonce la Commission Européenne pour mi-2022 concernant un
nouveau cadre pour la « finance ouverte »523. L’authentification forte est un élément clé de
la sécurisation des opérations bancaires et des données bancaires des individus. Aussi, il est
important que les banques et prestataires de services de paiements continuent à optimiser les
modalités d’authentification forte pour qu’elles ne nuisent pas de manière excessive à
l’expérience utilisateur.
579. Le recours aux systèmes d’authentification biométriques 524

, notamment la
reconnaissance faciale ou digitale, qui permettent aux individus de s’authentifier rapidement
semble tout indiqué à cet effet. Mais l’implication des appareils personnels des clients à cet
effet pose également quelques problèmes.
§ 2 - L’IMPLICATION DES APPAREILS PERSONNELS DES CLIENTS
580. Qu’il s’agisse de s’authentifier par reconnaissance faciale ou lecture d’empreinte

digitale, ou d’effectuer un paiement mobile sans contact, les appareils personnels des
individus tels que leurs smartphones ou montres connectées sont de plus en plus impliquées
dans les innovations en matière bancaire, privilégiant souvent, à cet effet, la fluidité de
l’inexpérience à la sécurité.
522
Stratégie de l’UE en matière de paiement de détail du 24 septembre 2020 page 18 : « La Commission
réaffirme qu’elle croit fermement au potentiel de la banque ouverte et qu’elle est résolue à faire en sorte que
la DSP2 soit une réussite. Elle poursuivra sa collaboration avec l’ABE pour veiller à faire tomber les obstacles
illégaux qui entravent les services des PSP tiers et pour promouvoir un dialogue constructif entre toutes les
parties prenantes. Elle soutiendra notamment la finalisation des travaux sur un « schéma d’accès aux
interfaces de programmation d’application SEPA » qui a été lancé en 2019 sous les auspices du Comité des
paiements de détail en euros. »
523
Stratégie de l’UE en matière de paiement de détail du 24 septembre 2020 page 18 : « En s’appuyant sur
l’expérience tirée de la DSP2, et comme annoncé dans la stratégie en matière de finance numérique, elle
prévoit de présenter une proposition législative pour un nouveau cadre de « finance ouverte » d’ici mi-2022 ».
524
DE RAVEL D’ESCLAPON, « Analyse prospective du paiement par reconnaissance faciale », RD bancaire
et fin. n° 4, Juillet 2021, étude 10
Page 203 sur 317

581. Dans la stratégie nationale des moyens de paiements scripturaux 2019-2024 publiée
en février 2019, le Comité National des Paiements Scripturaux, le CNPS, rappelait d’ailleurs
que « le recours à des technologies innovantes, parfois non matures » peut entraîner de
nouveaux risques en matière de sécurité525.
582. En effet, la plupart des innovations récentes en matière bancaire recourent à des
éléments de sécurité ou de communication inhérents aux appareils personnels des individus
(A), exposant de ce fait les individus a de nouveaux types de risques numériques(B).
A – L’USAGE DES TECHNOLOGIES MOBILES EN MATIERE BANCAIRE
583. Dans le cadre d’une relation distante, à défaut d’envoyer à son client un dispositif
spécifique afin qu’il puisse s’authentifier pour accéder à son espace personnel, la banque n’a
pas d’autre choix que de se reposer sur les appareils déjà détenus par son client. C’est
pourquoi certaines banques proposent de tels dispositifs, comme le Crédit Mutuel, qui
propose ce que la banque appelle une « carte de clés personnelles », qui est tout simplement
une carte plastifiée comportant plusieurs mots de passe dans une grille semblable à un
échiquier. Lors de son authentification à son espace personnel, le client est invité à saisir le
mot de passe correspondant à la position que lui indique la fenêtre de connexion grâce à des
coordonnées, attestant de la possession de ladite carte526.
584. D’autres banques, comme Boursorama, proposent à leurs clients d’utiliser des clés de
sécurité FIDO 527 , consistant, soit à insérer une clé externe dans son appareil pour
s’authentifier, soit à utiliser une clé de sécurité dématérialisée, c’est-à-dire une clé générée
spécifiquement pour tel ou tel appareil de l’individu lors d’une phase d’enrôlement,
525
CNP, « Stratégie nationale des moyens de paiements scripturaux 2019-2024 », 2019.
Site internet du Crédit Mutuel, disponible à l’adresse suivante : https://www.creditmutuel.fr/cmne/fr/le-
526
mag/smartpaiement-carte-cles-personnelle.html,consulté le 11/03/2022.
527
L’alliance FIDO est une alliance créée en 2013 qui regroupe plusieurs acteurs du secteur des paiements et
qui a pour objectif d’établir des standards d’authentification autres que ceux s’appuyant sur un simple facteur
de connaissance tel qu’un mot de passe (Site internet de l’alliance FIDO, disponible en ligne à l’adresse
suivante : https://fidoalliance.org/what-is-fido/,consulté le 11/03/2022.).
Page 204 sur 317

permettant de vérifier, à chaque connexion, la possession de ladite clé de sécurité par
l’individu qui tente de se connecter528.
585. La majorité des individus n’utilisent cependant pas ces dispositifs, que ce soit parce
que leur banque ne le propose pas, parce qu’ils en ignorent l’existence, ou par soucis de
simplicité, notamment au regard des solutions d’authentification biométriques déjà présents
dans la plupart des smartphones et autres objets connectés récents. Les innovations en
matière bancaire reposent d’ailleurs de plus en plus sur l’usage d’un appareil mobile de
l’utilisateur, tel qu’un assistant vocal, son smartphone ou une montre connectée, encrant le
recours à ces appareils dans les usages des individus, au détriment, parfois, de systèmes de
sécurité sous l’entier contrôle de la banque.
586. Concernant, par exemple, l’authentification des utilisateurs pour valider un paiement
ou accéder à leur espace personnel, la plupart des banques proposent à leurs clients d’utiliser
le système d’authentification intégré au système d’exploitation de leur smartphone pour
contourner les difficultés liées à la mise en place d’un traitement de données biométriques529.
En pratique, ce n’est ainsi pas la banque qui récolte l’empreinte de l’individu et la compare
lors de chaque authentification biométrique, mais l’appareil de l’individu, qui ne transmet à
la banque que l’information selon laquelle l’authentification est conforme ou non conforme.
En procédant ainsi, le traitement de données qui en résulte est régi par ce que la CNIL appelle
528
Site internet de Boursorama Banque, disponible à l’adresse suivante : https://www.boursorama.com/aide-
en-ligne/mon-espace-client/identifiant-et-mot-de-passe/question/en-quoi-consiste-la-connexion-par-cle-de-
securite-sur-internet-5165516,consulté le 11/03/2022.
529
En première partie de cette étude, nous évoquions le fait que la mise en place d’un traitement de données
biométriques était particulièrement contraignant au regard des démarches que cela implique auprès de la CNIL.
Page 205 sur 317

l’exception domestique530, qui implique que la banque ne soit alors pas considérée comme
responsable du traitement de données biométriques531.
587. Cette pratique présente ainsi des inconvénients en matière de sécurité, en particulier,
celui, pour la banque, de ne plus contrôler directement l’identité de la personne qui
s’authentifie. Ainsi, si un individu a enregistré les données biométriques d’un autre individu
que les siennes dans son smartphone, ce dernier pourra s’authentifier à sa place sans que la
banque n’en soit consciente.
588. Outre les systèmes biométriques, les nouveaux cas d’usage en matière de paiement
s’appuient de plus en plus régulièrement sur les technologies sans contact des smartphones.
Ces systèmes permettent notamment, comme ceux des cartes bancaires, de régler une
transaction en approchant simplement son smartphone d’un terminal de paiement
électronique.
589. Le paiement sans contact par smartphone a deux avantages indéniables pour les
individus par rapport au paiement sans contact par carte bancaire. En effet, le plafond du
paiement sans contact par smartphone peut être bien plus élevé que celui prévu pour le
530
Article 2 du RGPD : « Le présent règlement s'applique au traitement de données à caractère personnel,
automatisé en tout ou en partie, ainsi qu'au traitement non automatisé de données à caractère personnel
contenues ou appelées à figurer dans un fichier.
Le présent règlement ne s'applique pas au traitement de données à caractère personnel effectué :
a) dans le cadre d'une activité qui ne relève pas du champ d'application du droit de l'Union;
b) par les États membres dans le cadre d'activités qui relèvent du champ d'application du chapitre 2 du titre
V du traité sur l'Union européenne;
c) par une personne physique dans le cadre d'une activité strictement personnelle ou domestique;
d) par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et
de poursuites en la matière ou d'exécution de sanctions pénales, y compris la protection contre des menaces
pour la sécurité publique et la prévention de telles menaces.
Le règlement (CE) no 45/2001 s'applique au traitement des données à caractère personnel par les institutions,
organes et organismes de l'Union. Le règlement (CE) no 45/2001 et les autres actes juridiques de l'Union
applicables audit traitement des données à caractère personnel sont adaptés aux principes et aux règles du
présent règlement conformément à l'article 98.
Le présent règlement s'applique sans préjudice de la directive 2000/31/CE, et notamment de ses articles 12 à
15 relatifs à la responsabilité des prestataires de services intermédiaires. »
531
Site internet de la CNIL, “Biométrie dans les smartphones des particuliers : application du cadre de
protection des données”, 2018, disponible à l’adresse suivante : https://www.cnil.fr/fr/biometrie-dans-les-
smartphones-des-particuliers-application-du-cadre-de-protection-des-donnees,consulté le 11/03/2022.
Page 206 sur 317

paiement sans contact par carte bancaire dans la mesure où une authentification par mot de
passe ou biométrie est exigée pour valider la transaction.
590. En effet, le paiement sans contact par carte bancaire est soumis à la limite de 50 euros
par transaction que prévoit le Règlement délégué sur l’authentification forte 532 dans la
mesure où il ne requiert aucune authentification, alors que le paiement par smartphone peut,
grâce à une authentification généralement très fluide, aller bien au-delà de cette limite.
591. L’autre avantage indéniable du paiement sans contact par smartphone consiste en sa
capacité de centralisation des différents types de cartes et autres titres. Ainsi, les individus
peuvent centraliser tous leurs titres de transport, leurs billets, qu’il s’agisse de billets de
cinéma, ou autre, mais aussi toutes leurs cartes bancaires, dans un seul appareil.
592. Si ces nouvelles pratiques impliquent ainsi un risque important en cas, notamment, de
perte ou vol de l’appareil de l’individu, ou d’un mauvais paramétrage de l’authentification
biométrique de ceux-ci, le risque numérique semble être occulté par les utilisateurs de ce
service, qui priorisent visiblement sa praticité.
B – LES NOUVEAUX RISQUES NUMERIQUES LIES A L’IMPLICATION DES

APPAREILS PERSONNELS DES INDIVIDUS
593. L’implication des appareils mobiles des individus dans les parcours de paiement, les
parcours d’authentification lors de l’accès à un espace personnel, ou la validation
d’opérations, étant de plus en plus courant, certains individus malveillants ont identifié
532
Article 11 du Règlement délégué UE 2018/389 de la Commission du 27 novembre 2017 complétant la
directive (UE) 2015/2366 du Parlement européen et du Conseil par des normes techniques de réglementation
relatives à l'authentification forte du client et à des normes ouvertes communes et sécurisées de
communication : « Les prestataires de services de paiement sont autorisés à ne pas appliquer l'authentification
forte du client, sous réserve du respect des exigences définies à l'article 2, lorsque le payeur initie une
opération de paiement électronique sans contact, pour autant que les conditions suivantes soient remplies:
a) le montant individuel de l'opération de paiement électronique sans contact ne dépasse pas 50 EUR ; et
b) le montant cumulé des précédentes opérations de paiement électronique sans contact initiées par
l'intermédiaire d'un instrument de paiement disposant d'une fonctionnalité sans contact, depuis la date de la
dernière authentification forte du client, ne dépasse pas 150 EUR ; ou
c)le nombre d'opérations de paiement électronique sans contact consécutives initiées par l'intermédiaire de
l'instrument de paiement disposant d'une fonctionnalité sans contact, depuis la dernière authentification forte
du client, ne dépasse pas cinq. »
Page 207 sur 317

plusieurs manières de profiter de ces circonstances pour mettre en place de nouvelles
pratiques frauduleuses.
594. En ce qui concerne les cas d’usage impliquant la messagerie de l’individu, tel que le
fait d’envoyer un OTP SMS pour valider une transaction, nous avons déjà mentionné dans
cette étude la pratique du SIM Swapping, qui consiste à intercepter les messages, et donc les
OTP SMS adressés à un individu, pour ensuite valider des paiements frauduleux.
595. En pratique, il suffit, qu’un individu malveillant demande à l’opérateur du client de

transférer son numéro vers une nouvelle carte SIM en se faisant passer pour ce dernier et en
prétextant un dysfonctionnement ou une perte de la carte SIM. Ainsi, l’individu malveillant
se retrouve en possession d’une carte SIM associée au numéro de téléphone de la victime,
recevant ainsi tous les messages qui lui sont adressés, y compris les codes à usage unique.
Le fondateur du réseau social twitter avait notamment été victime d‘une telle fraude en 2019,
ce qui avait permis de mettre davantage en lumière ce type de risque533.
596. Citons également la pratique consistant à copier des applications mobiles populaires
pour que les individus les installent sans se douter qu’ils installent en réalité un logiciel
espion capable de lire toutes les informations affichées sur l’appareil de l’individu, y compris
ses identifiants bancaires et ses messages534.
597. Ironiquement, certains fraudeurs utilisent précisément la méfiance de certains

individus vis-à-vis de ces nouveaux usages mobiles pour les avoir. En juillet 2021 certains
clients de la banque ING Direct en avaient fait la mauvaise expérience. Pour procéder, une
personne malveillante appelait le client en se faisant passer pour un conseiller ING Direct
lui indiquant qu’un individu malveillant avait ajouté sa carte bancaire dans Apple Pay, le
système de paiement sans contact des smartphones de la marque Apple. Pour bloquer cet
ajout, il était alors demandé au client de cliquer sur un lien transmis par SMS et de renseigner
533
Le site internet du quotidien Le Monde avait notamment consacré un article à cette affaire en 2019 :
ANONYME, Qu’est-ce que le « SIM swapping », qui a permis de pirater le compte du patron de Twitter ?, Le
Monde, 2019. Cet article est disponible à l’adresse suivante:
https://www.lemonde.fr/pixels/article/2019/09/04/qu-est-ce-que-le-sim-swapping-qui-a-permis-de-pirater-le-
compte-du-patron-de-twitter_5506360_4408996.html,consulté le 11/03/2022.
534
FRENAY M-E., « Fraude bancaire : gare à cette application mobile qui détourne votre argent », Moneyvox,
2019
Page 208 sur 317

certaines informations. Le client avait ensuite la mauvaise surprise de s’apercevoir que des
paiements frauduleux avaient été réalisés avec son compte535.
598. La cybercriminalité s’adapte ainsi visiblement très vite aux innovations en la matière,
aussi, les mesures prises par le législateur pour limiter ces risques, en exigeant notamment
des mesures de sécurité complémentaires telles que le chiffrement des données, le
renoncement à l’OTP SMS ou la généralisation de l’authentification forte, montrent que ce
dernier est tout à fait conscient de la situation et entend bien permettre aux innovations de
se développer sans compromettre la sécurité des données bancaires des individus.
599. Si l’authentification forte devient, ainsi, peu à peu la norme en la matière, cela ne
change rien au fait que les clients ont besoin d’avoir confiance dans la fiabilité des outils mis
à disposition par leurs établissements. La position des banques et autres prestataires de
services de paiements est donc extrêmement délicate en la matière, car en cas de faille de
sécurité, il y a fort à parier que cela aura une incidence sur la confiance numérique des
clients, quand bien même ces derniers étaient réticents à appliquer lesdites mesures de
sécurité.
600. La plupart des mesures prises par le législateur semblent consister à renforcer les
mesures de sécurité et à établir des régimes d’indemnisation en faveur des individus, pour
qu’à défaut de pouvoir empêcher la réalisation de risques numériques, ces derniers n’aient
pas à en supporter de trop grosses conséquences. Or, ne serait-il pas plus efficace d’inciter
davantage les clients à être acteurs de la confiance numérique qui les lie à leurs prestataires
de services de paiement ?
535
TOUSTOU E., « Arnaque bancaire : Des clients d’ING visés par une redoutable escroquerie », UFC que
choisir, 2021
Page 209 sur 317

601. La confiance des individus dans les outils que leur mettent à disposition leurs banques
semble, bel et bien, dépendre, en partie, de la fiabilité desdits outils. À ce titre, les clients
s’attendent naturellement à ce que ces outils soient sélectionnés avec soin par leurs banques
pour que ces derniers soient robustes et résilients face aux risques de cybercriminalité,
notamment les atteintes aux STAD et les usurpations d’identité.
602. Pourtant, à l’image du sujet du partage des données personnelles à des fins de
personnalisation, il existe, là aussi, un paradoxe qui présente un enjeu de taille pour les
banques : trouver l’équilibre entre des outils fiables et sécurisés et des outils pratiques et
simples à utiliser.
603. Le développement d’un nouveau modèle d’applications mobiles, les Super Apps, et la
place de plus en plus importante des appareils personnels des individus, et notamment du
smartphone, dans les parcours, est une bonne illustration de l’attention portée à l’expérience
utilisateur en la matière.
604. Malheureusement, ces outils disposent de leurs propres failles, complexifiant

davantage encore la question de la fiabilité des outils mis à disposition des individus par
leurs banques. Par ailleurs, les mesures de sécurité, telles que l’authentification forte, ont
inévitablement une incidence sur la fluidité des parcours.
605. À ce titre, la généralisation de l’authentification forte constitue un défi de taille pour

les banques, qui se doivent d’optimiser l’expérience utilisateur en conservant, voir
renforçant, la sécurité des interfaces. Les mesures de sécurité reposant sur la biométrie
offrent à ce titre de nombreuses perspectives aux banques, mais encore faut-il que les clients
soient adéquatement équipés.
Page 210 sur 317

CONCLUSION DU TITRE
606. Au regard de nos développements, il nous semble pouvoir affirmer que la perte de
confiance numérique peut bel et bien être considérée comme étant la source de la
responsabilité de la banque envers son client.
607. En effet, en choisissant sa banque, le client commet un acte de foi, celui de confier son
patrimoine et par extension ses projets à un établissement sur lequel il compte pour les
protéger. La banque se doit à cet égard de prendre toutes les mesures adaptées pour préserver
la confiance que lui accorde le client, au risque d’engager sa responsabilité.
608. Pour ce faire, il est particulièrement important pour la banque d’être en mesure de
tracer les actes réalisés, qu’il s’agisse d’accès à l’espace personnel du client, de paiement,
ou tout autre acte pouvant potentiellement être préjudiciable pour le client s’ils sont réalisés
par un tiers non autorisé. La multiplication des intermédiaires, notamment dans le cadre de
l’open banking, représente à cet égard un véritable défi pour les banques.
609. Outre le fait de pouvoir éviter la réalisation d’un risque en identifiant, par exemple,
des tentatives de connexion ou de paiement suspectes, ces mesures permettront également,
en cas de réalisation d’un risque, d’identifier le responsable. À ce titre, il semble que le fait,
pour un individu, de pouvoir compter sur l’indemnisation de son préjudice et la punition du
responsable peut être un élément de confiance numérique.
610. La confiance numérique que peut avoir le client dans la faculté de sa banque à protéger
son patrimoine est cependant davantage complexifiée par l’implication de plus en plus
fréquente de ses appareils personnels, en réponse aux attentes forte en matière de fluidité de
l’expérience utilisateur. La conciliation des objectifs de sécurité et de fluidité des parcours
peut à ce titre s’avérer extrêmement complexe, davantage encore, en raison de la situation
du client, qui n’est pas incité à s’impliquer dans sa propre sécurité.
611. Dans ce contexte, la responsabilisation des clients nous semble être un vecteur
intéressant de confiance numérique, aussi il est étonnant qu’il soit si peu exploité.
Page 211 sur 317

TITRE II - LA RESPONSABILISATION,
VECTEUR DE CONFIANCE
NUMERIQUE INEXPLOITE
Page 212 sur 317

613. Le concept d’autodétermination est issu d’une théorie philosophique des professeurs
Deci et Ryan536, traitant de la tendance naturelle des êtres humains à s’améliorer537. Ainsi,
selon eux, chacun serait guidé par une motivation intrinsèque à l’amélioration de soi, mais
l’environnement dans lequel on évolue pourrait exercer une influence sur cette démarche.
614. En effet, il est considéré que chaque individu à trois besoins psychologiques
fondamentaux, dont le niveau de satisfaction serait largement influencé par l’environnement
et impacterait de fait son niveau d’autodétermination : l’autonomie, la compétence et
l’appartenance sociale538.
615. Si l’on applique ces théories à cette étude, il semble en effet que la plupart des
individus aspirent à l’autodétermination numérique mais ne sont pas incités à le faire par
l’environnement juridique dans lequel ils évoluent, ou n’ont pas la capacité de le faire, en
raison, pour certains, de leur milieu social.
616. En un peu plus de vingt ans, le législateur est parvenu à établir un cadre juridique
relativement sécurisant pour les individus en ce qui concerne le droit bancaire du numérique.
Mais il est également évident que les technologies et les pratiques, tant bancaires que
numériques, évoluent très vite.
617. À ce jour, cela se traduit, pour les banques, par de très nombreuses obligations,
certaines principalement bancaires, telles que les différentes réglementations relatives à la
LCBFT, au crédit ou aux services de paiement, d’autres, principalement numériques, telles
que les réglementations liées aux données à caractère personnel ou à la dématérialisation des
relations contractuelles…
618. Aussi peut-on se demander si cette stratégie, visant à multiplier les obligations à la
charge des banques, sera soutenable sur le long terme. Ne serait-il pas opportun de réajuster
le niveau de protection des clients pour les inciter, eux aussi, à participer à l’effort de
536
DECI E. L et RYAN R. M, “Handbook of Self-Determination Research”, University of Rochester Press,
1985; CSILLIK A. ET FENOUILLET F., « Chapitre 13. Edward Deci, Richard Ryan et la théorie de
l’autodétermination », Philippe Carré éd., Psychologies pour la formation. Dunod, 2019, pp. 223-240.
537
LAFRENIERE M-A, VALLERAND R, CARBONNEAU N, « La théorie de l’autodétermination et le
modèle hiérarchique de la motivation intrinsèque et extrinsèque : perspectives intégratives [1] », Philippe Carré
éd., Traité de psychologie de la motivation. Théories et pratiques. Paris, Dunod, « Psycho Sup », 2009, p. 47-
66.
538
DECI E. L, “Intrinsic motivation”, New York, Plenum Press, 1975
Page 213 sur 317

sécurisation de leur relation numérique avec leurs banques en se responsabilisant (Chapitre
I) et si la quête de confiance numérique du législateur ne devrait pas être accompagnée de
mesures plus soutenues concernant l’inclusion numérique de chacun (Chapitre II).
Page 214 sur 317

CHAPITRE I – LE NECESSAIRE AJUSTEMENT DE LA
PROTECTION DES CLIENTS EN ENVIRONNEMENT NUMERIQUE
619. Nous l’avons vu, dans le cadre de sa relation avec sa banque, le client a naturellement
de très fortes attentes vis-à-vis de cette dernière en ce qui concerne la traçabilité des
opérations le concernant et la fiabilité des outils mis à sa disposition. Il fait à ce titre
confiance à sa banque pour sécuriser son patrimoine, et un manquement en la matière
entraînerait naturellement la perte de confiance de celui-ci, ainsi que, dans la plupart des cas,
la responsabilité de sa banque.
620. Pourtant, les innovations bancaires ayant tendance à impliquer de plus en plus souvent
des acteurs tiers, et/ou les appareils personnels des individus, ne serait-il pas justifié que
l’individu qui choisit de recourir à ces innovations, contribue un minimum à l’entretien de
cette situation de confiance numérique que le législateur tente d’établir en multipliant les
obligations à la charge des banques et en établissant des régimes de responsabilité très
protecteurs ? Un réajustement de la protection juridique accordée aux clients des banques ne
serait-il pas bénéfique à l’établissement d’une confiance numérique moins artificielle entre
ces derniers.
621. En effet, les attentes très fortes, des clients envers leurs banques, en ce qui concerne la
sécurité de leur patrimoine et la fluidité de l’expérience, ne saurait trouver une réponse
équilibrée si le client n’est pas lui-même incité à s’impliquer dans sa propre sécurité. Or, le
fait que le client ne supporte que rarement les conséquences de la réalisation de risques peut
l’amener à se désintéresser du sujet, alors qu’il faudrait sans doute, au contraire, l’inciter à
s’y intéresser.
622. Pour prendre l’exemple de la fraude aux moyens de paiement, nous ne pouvons que
nous demander si le régime actuel 539 , très protecteur des clients, ne conduit pas à les
déresponsabiliser540, établissant alors une confiance numérique aveugle entre le client et sa
banque (Section I). Mais la question n’est pas si simple, car à l’inverse, un régime trop strict
539
BOUTEILLER P., « Cartes de paiement. Cartes de crédit”, J. Cl. Banque - Crédit - Bourse, Fasc. 930, 2019
540
Par « déresponsabilisation » nous entendons le fait, pour un individu, de faire preuve d’insouciance au motif
qu’il ne supporterait pas les conséquences éventuelles de son comportement.
Page 215 sur 317

à l’égard des clients pénaliserait les plus fragiles, la recherche d’un juste équilibre nous
semble donc primordiale (Section II).
Page 216 sur 317

SECTION I –LA NOTION DE « FAUTE LOURDE » DU CLIENT
623. C’est en 2001, dans le cadre de l’adoption de la Loi du 15 novembre 2001 relative à la
sécurité quotidienne541, dite LSQ ou Loi Vaillant, du nom du ministre de l’Intérieur alors en
poste, que les premières dispositions visant à protéger les individus en cas de paiement non
autorisé ont été introduites dans le Code Monétaire et Financier aux articles L132-2 et
suivants.
624. L’article L132-3 du code Monétaire et Financier dispose alors que le titulaire du
moyen de paiement qui se prétend victime d’une fraude, supporte, avant mise en opposition,
la perte subie dans la limite de 400 euros, sauf si le titulaire a fait preuve de négligence
constituant une faute lourde542 ou s’il n’a pas fait opposition sur sa carte dans les meilleurs
délais après la perte ou le vol de sa carte543. Il précise toutefois que ce plafond sera abaissé
à 275 euros à compter du 1er janvier 2002 puis 150 euros à compter du 1er janvier 2003544.
625. Cet article est par la suite abrogé et remplacé par l’article L133-19 du CMF issu de
l’Ordonnance du 15 juillet 2009 relative aux conditions régissant la fourniture de services
de paiement et portant création des établissements de paiement 545 dans le cadre de la
transposition de la Directive du 13 Novembre 2007 concernant les services de paiement dans
541
Loi n° 2001-1062 du 15 novembre 2001 relative à la sécurité quotidienne
542
Cass. 1re civ., 28 mars 2008, n° 07-10.186 ; BAZIN E., « L'émetteur de la carte de paiement ou de crédit
doit rapporter la preuve que le titulaire a commis une faute lourde facilitant son utilisation frauduleuse », JCP
Gn° 23, 4 Juin 2008, II 10109
543
Article L132-3 du Code Monétaire et Financer dans sa rédaction initiale : « Le titulaire d'une carte
mentionnée à l'article L. 132-1 supporte la perte subie, en cas de perte ou de vol, avant la mise en opposition
prévue à l'article L. 132-2, dans la limite d'un plafond qui ne peut dépasser 400 euros. Toutefois, s'il a agi
avec une négligence constituant une faute lourde ou si, après la perte ou le vol de ladite carte, il n'a pas
effectué la mise en opposition dans les meilleurs délais, compte tenu de ses habitudes d'utilisation de la carte,
le plafond prévu à la phrase précédente n'est pas applicable. Le contrat entre le titulaire de la carte et
l'émetteur peut cependant prévoir le délai de mise en opposition au-delà duquel le titulaire de la carte est privé
du bénéfice du plafond prévu au présent alinéa. Ce délai ne peut être inférieur à deux jours francs après la
perte ou le vol de la carte.
Le plafond visé à l'alinéa précédent est porté à 275 euros au 1er janvier 2002 et à 150 euros à compter du 1er
janvier 2003. »
544
Ibid.
545
Ordonnance n° 2009-866 du 15 juillet 2009 relative aux conditions régissant la fourniture de services de
paiement et portant création des établissements de paiement
Page 217 sur 317

le marché intérieur, dite DSP 1546. L’article L133-19 du CMF, dans sa rédaction issue de
cette ordonnance maintiendra alors le plafond de 150 euros547 et ce jusqu’en 2017, lorsqu’il
sera modifié par l’Ordonnance n° 2017-1252 du 9 août 2017548 portant transposition de la
directive 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015 concernant
les services de paiement dans le marché intérieur, dite DSP 2549.
626. C’est ainsi que depuis l’adoption de ces nouvelles dispositions, en janvier 2018, la
franchise applicable au client, avant opposition en cas d'opération de paiement non autorisée
consécutive à la perte ou au vol de son instrument de paiement est limitée à 50 euros, soit
huit fois moins que le plafond initial de 400 euros établit en 2001.
627. Le considérant 32 de la DSP 1 précise pourtant que ce dispositif a vocation à « inciter

l'utilisateur de services de paiement à signaler sans tarder à son prestataire le vol ou la perte
d'un instrument de paiement et limiter ainsi le risque d'opérations de paiement non
autorisées »550. Pourquoi, alors, ne pas avoir cessé de réduire ce plafond ?
628. Ces dispositions, qui semblent en relative contradiction avec l’objectif affiché par le
législateur européen d’inciter le payeur à être vigilant et réactif en cas de perte ou vol de ses
moyens de paiement, sont par ailleurs accompagnées d’une liste de situations permettant au
client d’échapper à cette franchise et d’être ainsi intégralement indemnisé par sa banque. Tel
546
décembre 2007
547
Article L133-19 du Code Monétaire et Financier dans sa rédaction issue de l’ordonnance du 15 juillet 2009
548
Ordonnance n° 2017-1252 du 9 août 2017 portant transposition de la directive 2015/2366 du Parlement
européen et du Conseil du 25 novembre 2015 concernant les services de paiement dans le marché intérieur ;
LASSERRE-CAPDEVILLE J., « Nouvelle réforme des services de paiement : la « DSP 2 » est transposée. À
propos de l'ordonnance n° 2017-1252 du 9 août 2017 », JCP Gn° 37, 11 Septembre 2017, 923
549
Directive (UE) 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015 concernant les
2013/36/UE et le règlement (UE) no 1093/2010, et abrogeant la directive 2007/64/CE (Texte présentant de
l'intérêt pour l'EEE), JOUE L337, du 23 décembre 2015
550
décembre 2007 ; MATHEY N. ET VANDEN BOSCH M., « La directive sur les services de paiement », RD
bancaire et fin. n° 4, Juillet 2007, dossier 19
Page 218 sur 317

est le cas, notamment, si le paiement frauduleux a été réalisé sans utiliser les mesures de
sécurité personnalisées du client.
629. Le législateur a néanmoins prévu deux circonstances dans lesquelles le payeur est
responsable en cas de paiements frauduleux dont il se prétend victime : s’il a agi
frauduleusement (§1) ou s’il a été négligent (§2), ce qui serait constitutif de ce que l’article
L132-3 du Code monétaire et financier qualifiait autrefois de « faute lourde551 ».
§ 1 – LES CONSEQUENCES COMMERCIALES DE LA MAUVAISE FOI DU CLIENT

SUR LA CONFIANCE
630. Il semblerait justifié que la mauvaise foi du client, qui doit provoquer la perte de
confiance du prestataire de services de paiement dans celui-ci, entraîne par ailleurs la perte
du bénéfice du client de certains dispositifs de confiance numérique dont il pouvait
bénéficier jusqu’ici, tels que la prise en charge de son éventuel préjudice dans le cadre d’une
fraude.
631. En effet, à l’image du secteur des assurances, qui est confronté à de nombreuses
déclarations mensongères visant à obtenir l’indemnisation d’un préjudice auquel un assuré
aurait en réalité sciemment concouru pour obtenir un remboursement, certains individus
peuvent être tentés de feindre d’être victimes d’une fraude aux moyens de paiement à
laquelle ils auraient en réalité eux-mêmes concouru pour obtenir de leur banque une
indemnisation qui leur serait indue.
551
Ancien article L132-3 du Code monétaire et financier, abrogé par l’Ordonnance du 15 juillet 2009 relative
aux conditions régissant la fourniture de services de paiement et portant création des établissements de
paiement :
“Le titulaire d'une carte mentionnée à l'article L. 132-1 supporte la perte subie, en cas de perte ou de vol,
avant la mise en opposition prévue à l'article L. 132-2, dans la limite d'un plafond qui ne peut dépasser 400
euros. Toutefois, s'il a agi avec une négligence constituant une faute lourde ou si, après la perte ou le vol de
ladite carte, il n'a pas effectué la mise en opposition dans les meilleurs délais, compte tenu de ses habitudes
d'utilisation de la carte, le plafond prévu à la phrase précédente n'est pas applicable. Le contrat entre le
titulaire de la carte et l'émetteur peut cependant prévoir le délai de mise en opposition au-delà duquel le
titulaire de la carte est privé du bénéfice du plafond prévu au présent alinéa. Ce délai ne peut être inférieur à
deux jours francs après la perte ou le vol de la carte.
Le plafond visé à l'alinéa précédent est porté à 275 euros au 1er janvier 2002 et à 150 euros à compter du 1er
janvier 2003.”
Page 219 sur 317

632. Lorsque la banque a de bonnes raisons de croire à la mauvaise foi de son client, elle
doit alors prendre une décision aux conséquences lourdes pour la relation établie : faut-il
prendre le risque d’accuser un client qui reste potentiellement innocent ou accepter
d’indemniser son client ? Les banques ont bien évidemment un intérêt financier à rechercher
à établir la mauvaise foi de leur client, pour autant, la recherche de celle-ci peut avoir un
impact négatif sur la relation entre le client et la banque en cas de suspicion d’un client qui
s’avérerait finalement de bonne foi.
633. Grâce aux nombreuses techniques de traçabilité, permettant l’imputation des actes, le
risque d’erreur technique est limité, la situation est en revanche bien plus délicate lorsqu’il
s’agit d’accuser son client de négligence.
§ 2 - LA NEGLIGENCE DU PAYEUR
634. Conformément aux dispositions du quatrième alinéa de l’article L133-19 du code

monétaire et financier552, pour pouvoir refuser de prendre en charge les sommes ayant fait
l’objet de la fraude dont son client se prétend victime, la banque doit apporter la preuve que
son client a été négligent ou qu’il a sciemment choisi de ne pas appliquer les dispositions de
l’article L133-16 du code monétaire et financier553.
635. Par ailleurs, l’article L133-23 du code monétaire et financier554 précise qu’en cas de
contestation, par le client, de l’opération, la banque doit prouver que l'opération en question
a été « authentifiée, dûment enregistrée et comptabilisée et qu'elle n'a pas été affectée par
552
Article L133-19 du Code Monétaire et Financier ; LOISEAU G., « Fraude à la carte bancaire sur internet :
une synthèse », Comm. com. électr. n° 5, Mai 2018, comm. 34 ;
553
Article L133-16 du Code Monétaire et Financier
554
Article L123-23 du Code Monétaire et Financier : « Lorsqu'un utilisateur de services de paiement nie avoir
autorisé une opération de paiement qui a été exécutée, ou affirme que l'opération de paiement n'a pas été
exécutée correctement, il incombe à son prestataire de services de paiement de prouver que l'opération en
question a été authentifiée, dûment enregistrée et comptabilisée et qu'elle n'a pas été affectée par une déficience
technique ou autre.
L'utilisation de l'instrument de paiement telle qu'enregistrée par le prestataire de services de paiement ne suffit
pas nécessairement en tant que telle à prouver que l'opération a été autorisée par le payeur ou que celui-ci n'a
pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière. Le
prestataire de services de paiement, y compris, le cas échéant, le prestataire de services de paiement
fournissant un service d'initiation de paiement, fournit des éléments afin de prouver la fraude ou la négligence
grave commise par l'utilisateur de services de paiement. »
Page 220 sur 317

une déficience technique ou autre » et que la simple utilisation du moyen de paiement du
client ne suffit pas à déduire une quelconque autorisation ou manquement à ses obligations,
y compris par négligence.
636. En pratique, cela peut donc être extrêmement difficile pour la banque de rapporter la
preuve de la négligence de son client. Aussi, la doctrine a longtemps considéré qu’il
s’agissait d’une preuve diabolique 555 » car presque impossible à apporter. La Cour de
cassation a par ailleurs rappelé à plusieurs reprises que le simple fait que la fraude ait été
effectuée en utilisant les données confidentielles normalement seulement connues par le
client, tel qu’un OTP SMS, ne suffisait pas556. Elle a néanmoins reconnu la négligence du
client qui avait admis avoir laissé sa carte bancaire dans sa boîte à gant accompagné de son
code confidentiel557.
637. Dans le cadre d’une fraude par « phishing », appelé aussi « hameçonnage », qui
consiste, pour un individu à répondre à un message qu’il croit émaner d’un de ses contacts,
souvent son opérateur internet ou sa banque, se pose également la question de la conscience
de l’individu qui répond au courrier malveillant. En effet, les techniques d’hameçonnage
étant plus ou moins sophistiquées, il semble légitime de rechercher si, au regard du message,
le client pouvait avoir conscience ou non de son caractère frauduleux. Il semble par ailleurs
juste de prendre également en compte le niveau de connaissances du client, qui pourrait être
dyslexique, ou manquer d’expérience en informatique.
638. Dans un arrêt du 25 octobre 2017558, la chambre commerciale de la Cour de cassation

avait ainsi rappelé qu’il était nécessaire de rechercher si la cliente « n'avait pas pu avoir
conscience que le courriel qu'elle avait reçu était frauduleux ». En l’espèce, le message
555
KILGUS N., « Responsabilité du porteur d'une carte bancaire en cas de phishing », JCP Gn° 16, 16 Avril
2018, 458 ; CAPRIOLI E., « Responsabilité du particulier en cas d'hameçonnage », Comm. com. électr. n° 9,
Septembre 2018, comm. 68
556
Cass. Com., 18 janv. 2017, n° 15-18.102 ; Cass. Com., 18 janv. 2017, n° 15-18.224 ; Cass. Com., 18 janv.
2017, n° 15-18.466 ; Cass. Com., 18 janv. 2017, n° 15-22.783 ; Cass. Com., 18 janv. 2017, n° 15-26.058 ;
LASSERRE CAPDEVILLE J., « Précisions sur la question de la preuve en cas de fraude au paiement sur
internet », JCP G n° 10, 6 Mars 2017, 241 ; LOISEAU G., « Fraude à la carte bancaire sur Internet : qui paye
? », Comm. com. électr. n° 4, Avril 2017, comm. 33 ; RODRIGUEZ K., « Contestation des opérations de
paiement sur Internet : le fardeau de la preuve pour le banquier », JCP E n° 9, 2 Mars 2017, 1122
557
Cass. Com., 16 octobre 2012, n°11-19.981
558
Cass. Com., 25 oct. 2017, n° 16-11.644 ; LEGEAIS D., “Appréciation du manquement par négligence grave
d'une victime d'un acte de phishing”, JCP E n° 50, 14 Décembre 2017, 1685 ; BERNHEIM-DESVAUX S.,
« Hameçonnage », Contrats Concurrence Consommation n° 1, Janvier 2018, comm. 20
Page 221 sur 317

frauduleux présentait de nombreuses anomalies puisqu’il ne comportait notamment aucun
nom de destinataire ni d'expéditeur et que le numéro de facture qui y figurait était erroné.
639. Dans un arrêt du 28 Mars 2018559, la chambre commerciale de la Cour de cassation est
cependant venue préciser que la recherche de la conscience de l’individu qui a répondu à un
message frauduleux doit se faire in abstracto, sans prendre en compte la situation de la
victime ni sa bonne foi. En l’espèce, un individu avait reçu plusieurs mails imitant
parfaitement le logo de sa banque, auxquels il avait donc répondu pensant avoir réellement
affaire à sa banque. La banque reconnaissait d’ailleurs elle-même que « seul un examen
vigilant des adresses internet changeantes du correspondant ou certains indices comme les
fautes d’orthographe du message » auraient pu interpeller le client, qui n’était, en
l’occurrence, pas avisé puisqu’il n’accédait jamais au site internet de sa banque et ignorait
donc les alertes de sa banque concernant les tentatives d’hameçonnage.
640. Étrangement donc, alors que la Cour de cassation peut sembler excessivement
protectrice des clients quand il s’agit de rapporter la preuve de leur négligence, elle semble
au contraire relativement sévère560 quand il s’agit d’évaluer la conscience de la victime du
caractère frauduleux du message.
641. En effet, les personnes les plus visées par les fraudes aux moyens de paiement sont
généralement celles maîtrisant le moins bien les outils numériques. Or, la notion de
négligence est subjective puisqu’elle dépend du niveau de connaissance et des compétences
de l’individu qui en fait preuve.
642. Ainsi, ce dispositif, appliqué strictement, pénalise une partie de la population qui a un
réel besoin d’accompagnement pour évoluer sereinement dans un environnement
numérique, là où il ne leur est offert qu’une sanction pure et simple de leur manque de
compétences numériques quand les juges l’appliquent selon une approche in abstracto.
559
Cass. Com., 28 mars 2018, n° 16-20.018, KILGUS N., « Responsabilité du porteur d'une carte bancaire en
cas de phishing », JCP G n° 16, 16 Avril 2018, 458 ; CAPRIOLI E., « Responsabilité du particulier en cas
d'hameçonnage », Comm. com. électr. n° 9, Septembre 2018, comm. 68
560
STORRER P, « La négligence grave de l’utilisateur de services de paiement ne se partage pas !”, Revue
Banque n°848, 2021, Note sous Cass. Com., 1er juill. 2020, n° 18-21.487, JCP E n° 42, 15 Octobre 2020,
1399 ; RODRIGUEZ K., « Indifférence de la bonne foi dans l'appréciation de la négligence grave du client qui
conteste une opération non autorisé », JCP E n° 42, 15 Octobre 2020, 1399 ; BONNEAU T, « La bonne foi du
client peut-elle avoir une incidence sur l’appréciation de la négligence grave reprochée à la victime
d’opérations de paiement non autorisées ? », Banque et Droit, n°194, 2020
Page 222 sur 317

643. À la lumière de ces éléments, il semble que la responsabilisation des individus par la
réduction de leur protection est une bonne piste à la seule condition de s’assurer qu’elle ne
crée pas de situation creusant les inégalités, comme cela semble être le cas lors de
l’évaluation abstraite de la négligence d’un individu, dont la responsabilité serait retenue
sans prendre en compte sa bonne foi, et en l’absence de mesures visant à accompagner les
individus les plus fragiles dans leur montée en compétences numérique.
Page 223 sur 317

SECTION II – POUR L’EDUCATION DES CLIENTS BANCAIRES A
DES FINS DE RESPONSABILISATION
644. Au regard de nos développements précédents, nous ne pouvons que nous demander si
le régime de responsabilité applicable au domaine bancaire concourt bien au renforcement
de la confiance numérique.
645. En effet, si par certains aspects, les dispositions juridiques et la jurisprudence en la

matière semblent trop protectrices des clients en ce qu’elles placent ces derniers dans une
situation où ils peuvent faire aveuglément confiance à leur banque et les outils qu’elles leur
mettent à disposition, par d’autres elles sont trop sévères quand les principales personnes
exposées auxdits risques ne sont pas en mesure de s’en prémunir.
646. De même, le recours à l’information précontractuelle comme vecteur de confiance

numérique par la fourniture d’un très grand nombre d’informations nous apparaît, au regard
de nos développements, peu efficace puisque peu de personnes semblent en prendre
réellement connaissance.
647. Ainsi, les vecteurs de confiance issus de la réglementation semblent relativement

artificiels en ce qu’ils ne permettent pas de placer réellement les individus dans une situation
dans laquelle ils sont acteurs de cette confiance numérique.
648. Si la réglementation n’offre pas à elle seule une réponse satisfaisante à notre
problématique de confiance numérique, il semble néanmoins que la notion de responsabilité,
au cœur de ces réglementations dites de confiance, soit tout de même un levier qui semble
approprié, si ce n’est qu’il devrait sans doute être employé différemment.
649. Et si, plutôt que de renforcer la protection des clients, celle-ci était, au contraire,
réajustée (§1) en vue d’inciter ceux-ci à s’impliquer davantage dans leur protection contre
les risques numériques (§2) ?
§ 1 - LA RESPONSABILISATION DES CLIENTS PAR UNE REDUCTION DE LEUR
PROTECTION
650. À ses débuts, dans les années 90, le WEB était source de méfiance pour un certain
nombre d’individus, qui découvraient alors un écosystème avec lequel ils étaient peu
Page 224 sur 317

familiers, les rendant vulnérables face aux risques de cybercriminalité 561 . Plus de trente
années se sont écoulées depuis, aussi, la plupart des individus ont pu, à force de pratique, se
familiariser avec le WEB et l’adopter dans leur quotidien.
651. Il existe d’ailleurs désormais plusieurs générations d’individus qui n’ont pas connu de
monde sans le WEB, leur valant le surnom de digital natives562. Aussi peut-on s’étonner que
la protection juridique des individus utilisant des services numériques n’ait cessé de se
renforcer avec le temps, quand il aurait semblé, au contraire, logique de la diminuer au regard
de l’expérience, en principe, grandissante de ces derniers en la matière.
652. Mais la situation n’est en réalité par aussi simple puisqu’il existe en réalité des millions
d’individus qui ne maîtrisent pas bien les outils numériques, indépendamment de leur
génération. La question d’un réajustement de la protection des individus semble cependant
tout de même intéressante à étudier.
653. En effet, on peut se demander si une protection trop forte n’a pas pour effet de
déresponsabiliser les individus concernés, qui ne sont alors que peu inquiétés par les
conséquences des risques qu’ils prennent. En matière de fraudes aux moyens de paiement,
si la franchise applicable a vocation à inciter les individus à être réactifs dans la déclaration
des fraudes dont ils sont victimes, il semble illogique de continuer à la réduire.
654. Il nous semble en effet assez naturel qu’un individu prenne moins de précautions dans
le cadre de ses usages numériques s’il n’en supporte presque aucune conséquence. Pour
reprendre les termes de l’article L121-1 du Code des assurances, il pourrait sans doute être
vertueux, à des fins de responsabilisation, que les individus soient parfois leurs propres
assureurs563.
655. Certes, le système en place est vecteur de réassurance puisque les individus peuvent
alors évoluer sereinement dans un environnement numérique, mais ne vaudrait-il pas mieux
que ces derniers soient acteurs de leur confiance, en s’impliquant davantage dans leur propre
protection ?
561
P LE TOURNEAU., Contrats du numérique, Dalloz Référence, Chapitre 11, édition 2021
562
A ce jour, les digital natives représentent plus de 30% de la population française d’après les chiffres de
l’INSEE classant la population française par sexe et groupe d’âge.
563
Article L121-1 du Code des Assurances
Page 225 sur 317

§ 2 - LA RESPONSABILISATION DU CLIENT PAR UNE PLUS GRANDE
IMPLICATION
656. Inciter les clients à s’impliquer davantage dans leur propre protection pourrait être une
piste, certes, intéressante, mais difficile à mettre en place. En effet, contrairement aux
diverses dispositions réglementaires évoquées précédemment dans cette étude, l’implication
du client ne peut pas faire l’objet d’une simple consigne à destination des professionnels
puisqu’elle suppose la pleine coopération des clients.
657. Par ailleurs, dans le domaine numérique, le sujet de l’implication des clients suppose
que ces derniers disposent d’un équipement adéquat et d’un minimum de connaissances en
informatique. Il serait en effet difficile de demander à des personnes qui ne savent pas
identifier une éventuelle situation de risque numérique, ni même parfois ne serait-ce que
s’informer en utilisant le WEB, de se responsabiliser sans leur en donner les moyens564.
658. Ce qui semble certain, c’est donc qu’une plus grande implication du client suppose,
non seulement de trouver comment les inciter à le faire, mais avant, et surtout, de les mettre
en capacité de le faire. Or, si le rééquilibrage du régime de responsabilité permettait de
répondre à la question de l’incitation en ce que les individus supporteraient, dans cette
hypothèse, une plus grande part de responsabilité, la question de la capacité nécessiterait
quant à elle un travail d’une tout autre ampleur puisqu’il s’agirait d’éduquer, et non plus de
simplement informer les individus565.
659. Ces solutions supposent, cependant, que les individus soient en mesure d’acquérir un
premier niveau de compétences numériques avant même d’envisager une entrée en relation
numérique avec une banque, ce qui nous amène à rechercher la réponse à notre
problématique de confiance numérique au-delà du simple domaine bancaire.
564
AUTIER E, « Numérique - Statistiques - Combattre l'illectronisme ! », JA 2019, n°609, p.10
565
A l’image de ce que propose la Directive 2008/48/ce du Parlement européen et du Conseil du 23 avril 2008
concernant les contrats de crédit aux consommateurs et abrogeant la directive 87/102/CEE du Conseil : « Les
États membres devraient prendre les mesures appropriées afin de promouvoir les pratiques responsables lors
de toutes les phases de la relation de prêt, en tenant compte des caractéristiques particulières de leur marché
du crédit. Ces mesures peuvent inclure, par exemple, l'information et l'éducation des consommateurs, y
compris des mises en garde sur les risques du défaut de paiement ou du surendettement. »
Page 226 sur 317

660. La garantie d’être indemnisé est un vecteur logique de confiance numérique, nous
comprenons donc que le législateur ait souhaité renforcer la confiance numérique des
individus en établissant un régime de responsabilité très protecteur de ces derniers.
661. Cependant, au regard de nos développements, il semble que ce régime mériterait d’être
rééquilibré, en vue d’inciter les individus à s’impliquer davantage, au risque, sinon, de les
infantiliser en leur donnant l’illusion d’évoluer dans une bulle étanche dans laquelle ils ne
subissent pas les conséquences de leurs actions.
662. En effet, le fait, pour un individu d’être indemnisé, à moins que l’établissement ne
prouve que ce dernier a commis une faute lourde, qui se matérialise par la mauvaise foi du
client ou une négligence grave, créé une situation dans laquelle le client est finalement peu
incité à s’impliquer dans sa propre sécurité.
663. Par ailleurs, il est étonnant que la franchise applicable en cas de paiement frauduleux
n’ait cessé d’être réduite depuis sa création, alors que les mesures de sécurité liées aux
moyens de paiement n’ont cessé de se renforcer, et que les paiements en ligne ne présentent
plus ce caractère de nouveauté qui pouvait justifier une protection renforcée des individus
en vue de les inciter à recourir à la pratique, alors nouvelle, du paiement en ligne.
664. À des fins de rééquilibrage de cette relation, une réduction de la protection des
individus et l’incitation de ces derniers à s’impliquer davantage sembleraient, a priori,
constituer des pistes intéressantes, et l’application dernièrement faite par les juges des
dispositions de l’article L133-19 du code monétaire et financier semblent aller dans ce sens.
665. En effet, comme nous le relevions plus tôt dans cette étude, alors qu’il a pendant un
temps été très difficile pour une banque d’établir la négligence grave du client, les juges
faisant preuve d’une grande sévérité à l’égard des banques en admettant très difficilement la
négligence grave du client566, depuis 2018, une application plus souple à l’égard des banques
et donc plus sévère à l’égard des clients est observée567.
566
Voir Cass com 2 octobre 2007 n° 05-19.89 ; Cass civ. 1re 28 mars 2008 n°07-10.186
567
Cass. Com., 6 juin 2018, no 16-29065
Page 227 sur 317

666. Cette application, plus sévère, à l’égard des clients pourrait concourir à notre objectif
de responsabilisation des individus, mais à la condition, essentielle, que lesdits individus
disposent de compétences numériques élémentaires, sans quoi, une application abstraite de
la réglementation, ne prenant pas en compte les compétences numériques des individus
concernés, reviendrait à pénaliser une partie de la population, notamment ceux soufrant
d’illectronisme.
Page 228 sur 317

CHAPITRE II –L’INCLUSION NUMERIQUE, UN PREREQUIS A LA
CONFIANCE NUMERIQUE
667. Le numérique étant désormais un incontournable dans le quotidien de nombre

d’individus, certains d’entre eux ne se doutent pas qu’il existe pourtant une part relativement
importante d’individus qui ne possèdent pas les compétences numériques les plus
élémentaires ou les équipements nécessaires pour évoluer dans un environnement
numérique.
668. Un rapport de l’INSEE sur ce phénomène 568 , qu’elle qualifie de « fracture

numérique », établissait en 2019 qu’un sixième de la population française n’utilisait pas
internet et qu’un tiers de ceux qui l’utilisaient ne possédaient pas les compétences
numériques de base, ce qui représente plus de 10 millions d’individus dans le premier cas et
environ 18 millions dans le second. Par analogie avec l’illettrisme, ce phénomène est
aujourd’hui couramment qualifié d’« illectronisme569 ».
669. Contrairement à ce que l’on pourrait penser, ce phénomène ne frappe pas seulement
les individus les plus âgés. Beaucoup de personnes peu diplômées, isolées ou ayant de faibles
revenus sont également concernées. Or, cette situation est extrêmement préoccupante au
regard du caractère de plus en plus vital du numérique, comme l’a mis en exergue la
pandémie de la Covid 19, lors de laquelle de nombreux actes du quotidien ne pouvaient
s’effectuer qu’en ligne.
670. La reconnaissance du handicap que représente l’illectronisme, et, de manière plus

large, le manque de maîtrise des outils numériques (Section I) ainsi que la formation dès le
plus jeune âge au numérique (Section II) sont, indéniablement, des prérequis à
la responsabilisation numérique des individus, qui conditionne à son tour le développement
d’une réelle confiance numérique.
568
INSEE, « Une personne sur six n’utilise pas Internet, plus d’un usager sur trois manque de compétences
numériques de base - Insee Première - 1780 », Site internet de l’INSEE, 2019, disponible à l’adresse suivante :
https://www.insee.fr/fr/statistiques/4241397,consulté le 11/03/2022.
569
PONTIER J-M., « Lutte contre l’illectronisme ? AJDA 2020, 2020
Page 229 sur 317

SECTION I – LA PROBLEMATIQUE DE « L’ILLECTRONISME »
POUR LE SECTEUR BANCAIRE
671. Si la gravité de l’illectronisme n’est pas uniquement due à ses conséquences sur la
capacité à maîtriser les outils numériques mis à disposition de sa banque et à évoluer de
manière responsable dans un environnement numérique, il s’agit néanmoins d’une
circonstance suffisamment grave pour justifier, à elle seule, que l’État prenne soin de
remédier à cette situation.
672. Pour en revenir à notre sujet premier, celui de la confiance numérique dans le domaine
bancaire, il semble malheureusement que le législateur ait oublié de nombreux individus en
priorisant la question de la confiance numérique, quand beaucoup d’individus ne sont même
pas en mesure de rencontrer cette problématique.
673. Il semble par ailleurs quelque peu ironique que la France n’ait choisi de faire de ce
sujet une de ses priorités que peu de temps avant que la pandémie de la Covid 19 ne mette
en exergue la gravité de la situation, qui aurait dû être corrigée bien plus tôt. En effet, depuis
maintenant quelque temps, la France affiche enfin une stratégie concrète de lutte contre
l’illectronisme, proposant des mesures visant à permettre à chacun d’évoluer en
responsabilité dans un environnement numérique.
674. Ces mesures sont plus que nécessaires car la capacité d’un individu à maîtriser les
outils numériques (§1) et à évaluer la fiabilité du contenu qu’il peut rencontrer dans un
environnement numérique (§2) est indéniablement une compétence aujourd’hui essentielle
à chacun.
§ 1 - L’INCAPACITE A MAITRISER LES OUTILS NUMERIQUES
675. Dans la mesure où l’on considère que plus de 80% des salariés doivent mobiliser des
compétences numérisées570, le fait de ne pas posséder les compétences nécessaires à son
570
Rapport du programme société numérique, « Marché du travail et cartographie des compétences : une
demande croissante de compétences numériques », 2021, disponible en ligne à l’adresse suivante :
https://labo.societenumerique.gouv.fr/2021/05/31/marche-du-travail-et-cartographie-des-competences-une-
demande-croissante-de-competences-numeriques/,consulté le 11/03/2022.
Page 230 sur 317

utilisation creuse inévitablement les inégalités professionnelles. Par ailleurs, les services du
quotidien, notamment ceux non disponibles à proximité, placent les personnes souffrant
d’illectronisme dans une situation d’isolement potentiel qui semble inacceptable, situation
exacerbée dans le secteur bancaire par la disparition progressive des agences571.
676. Cette situation doit nous amener à considérer qu’il existe deux prérequis essentiels en
termes d’équipement : la détention d’un équipement informatique adéquat (A) et d’une
adresse électronique (B).
A – L’ABSENCE D’EQUIPEMENT INFORMATIQUE ADEQUAT
677. L’acquisition de compétences numériques, puis l’usage du numérique, suppose

l’acquisition d’un équipement souvent onéreux, qu’il s’agisse d’un ordinateur, d’une tablette
ou d’un smartphone. Si la majorité des individus possèdent au moins l’un de ces appareils,
certains n’ont pas les moyens d’en acquérir un seul.
678. En 2020, les Français achetaient leurs smartphones à un prix moyen de 420 euros572,
soit plus que le montant d’un loyer mensuel pour certains logements. Le prix moyen d’un
ordinateur ou d’une tablette milieu de gamme se situe également dans ces environs. Il est
ainsi difficile d’acquérir l’un de ces trois appareils, même bas de gamme, pour moins de 200
euros, somme relativement conséquente pour certains foyers.
679. À ces prix élevés, s’ajoute le fait que ces appareils ont une durée de vie limitée et
supposeront des frais d’entretien qui peuvent s’avérer considérables. Par ailleurs, à ces
équipements matériels doivent aussi être associés des abonnements auprès de fournisseurs
d’accès internet ou d’opérateurs téléphoniques qui représentent un coût récurrent conséquent
pour les revenus modestes et n’offrent pas toujours un niveau de service suffisant pour
utiliser internet de manière appropriée. En 2021, on estimait que 9% des individus ne
571
BERGALA L., «15 % d’agences en moins en 2022 », Revue Banque, N°842, 2020
572
AZZEMOU S., « Les Français achètent leur smartphone à un prix moyen de 420 euros », Phonandroid,
2020. L’article est disponible en ligne à l’adresse suivante : https://www.phonandroid.com/les-francais-
achetent-leur-smartphone-a-un-prix-moyen-de-420-euros.html,consulté le 11/03/2022.
Page 231 sur 317

disposaient d’aucun appareil ne permettant d’accéder à internet, alors que 73% des individus
en ont au moins deux573.
680. Au même titre qu’il existe des aides à l’acquisition d’un logement ou d’un véhicule, il
semble étonnant qu’il n’existe pas de dispositif national 574 d’aide à l’acquisition d’un
ordinateur, si ce n’est le dispositif de crédit à taux zéro que propose la CAF pour l’achat
d’un premier ordinateur575. À ce titre, la proposition figurant dans le rapport d’information
sur l’illectronisme consistant en la mise en place d’un chèque équipement destiné à l’achat
ou la location d’équipement informatique pour les ménages à bas revenu576 semblait louable,
il est donc regrettable qu’elle ait été rejetée par le Sénat en première lecture, craignant que
ce dispositif ne soit une coquille vide577...
681. Si l’absence de détention d’un équipement numérique adéquat est un handicap en soi,
le fait, pour un individu, de ne par ailleurs pas disposer d’un courriel, est souvent bloquant
lorsqu’il s’agit de souscrire, y compris en face-à-face.
573
Page 46 de l’édition 2021 du Baromêtre du numérique, réalisé pour le Conseil Général de l’Economie
(CGE), l’Autorité de régulation des communications électroniques, des postes et de la distribution de la presse
(ARCEP) et l’Agence Nationale de la Cohésion des Territoires (ANCT) en 2021. Le document est disponible
à l’adresse suivante : https://www.arcep.fr/uploads/tx_gspublication/rapport-barometre-numerique-edition-
2021.pdf,consulté le 11/03/2022.
574
S’il n’existe pas de dispositif national, il existe bien des dispositifs régionaux dans certaines régions.
575
Site officiel de la Caisse d'Allocations Familiales (CAF)
576
Proposition n°34 issue du rapport d’information « L'illectronisme ne disparaîtra pas d'un coup de tablette
magique !” de Raymond VALL fait au nom de la mission d’information contre l’illectronisme et pour
l’inclusion numérique.
577
Proposition de Loi contre l’illectronisme et pour l’inclusion numérique, version adoptée par le Sénat en
première lecture le 14 avril 2021 ; Amendement présenté par SOILIHI M. le 12 avril 2021 à l’article 8 de la
proposition de loi : « Le présent amendement tend à supprimer l’article 8 qui vise à créer un « chèque-
équipement numérique » afin d’équiper les ménages démunis en terminaux numériques et un Fonds de lutte
contre l’exclusion numérique, qui serait géré par l’Agence nationale de la cohésion des territoires (ANCT).
Le Gouvernement prend d’ores et déjà en compte la problématique de l’exclusion numérique dans le cadre de
sa stratégie de dématérialisation des services publics et de son plan de relance à travers lequel il lui consacre
250 millions d’euros. Les deux aides que tend à créer l’article 8 risquent de n’être que des « coquilles vides »
en l’absence de garanties de financement et d’articulation avec les dispositifs existants.
Par ailleurs, la centralisation des fonds relevant de la lutte contre l’exclusion numérique dans un fonds géré
uniquement par l’Agence nationale de la cohésion des territoires pourrait nuire aux nombreuses initiatives
locales et nationales, qu’il s’agisse d’aides financières ou d’infrastructures, qui prennent déjà en compte les
spécificités territoriales… ».
Page 232 sur 317

B - LA NECESSITE D’UNE MESSAGERIE ELECTRONIQUE DANS LES RELATIONS
NUMERIQUES
682. Parmi les circonstances pouvant placer un individu en difficulté quand il s’agit
d’utiliser des services du quotidien, y compris des services bancaires, l’absence de
messagerie électronique, ou le fait de ne pas savoir s’en servir est particulièrement grave. En
effet, une adresse de messagerie électronique est aujourd’hui systématiquement demandée
lors de l’entrée en relation avec une entreprise ou administration, car la grande majorité des
correspondances s’effectuent de manière dématérialisée. Le site gouvernemental
impots.gouv met d’ailleurs à disposition des usagers un guide expliquant comment se créer
une adresse mail578, nécessaire quand on sait que plus de 11% des Françaises et 7% des
Français ne disposent ni de courriel personnel, ni de courriel professionnel579.
683. Bien sûr, ces individus ont la possibilité de recevoir leurs documents financiers
contractuels par courrier conformément à l’ordonnance sur la dématérialisation des relations
contractuelles dans le secteur financier 580 , mais cela les place tout de même dans une
situation de désavantage certain par rapport à ceux qui peuvent utiliser une messagerie
électronique, notamment quand ces personnes vivent par ailleurs dans des zones isolées.
684. Sans messagerie électronique, un individu sera par exemple souvent contraint de payer
pour recevoir un duplicata de relevé de compte si celui-ci est perdu, quand ils sont souvent
mis à disposition ou renvoyés gratuitement sous format électronique. Pour contacter un
conseiller, le délai de traitement sera, de fait, prolongé en raison des délais postaux ou des
délais de disponibilité et d’attente téléphonique, quand un contact par messagerie
578
Fiche tutoriel « je n’ai pas encore d’adresse électronique » mise à disposition sur le site internet impots.gouv
à l’adresse suivante :
https://www.impots.gouv.fr/sites/default/files/media/srp/plsu/fiches/03_impots_gouv_fr_creer_adresse_electr
onique.pdf,consulté le 11/03/2022.
579
Edition 2021 du Baromêtre du numérique, réalisé pour le Conseil Général de l’Economie (CGE), l’Autorité
de régulation des communications électroniques, des postes et de la distribution de la presse (ARCEP) et
l’Agence Nationale de la Cohésion des Territoires (ANCT) en 2021. Le document est disponible à l’adresse
suivante : https://www.arcep.fr/uploads/tx_gspublication/rapport-barometre-numerique-edition-
2021.pdf,consulté le 11/03/2022.
580
Ordonnance n° 2017-1433 du 4 octobre 2017 relative à la dématérialisation des relations contractuelles dans
le secteur financier, JORF n°0233 du 5 octobre 2017
Page 233 sur 317

électronique peut généralement faire espérer une réponse rapide, et peut être envoyé à tout
moment.
685. Enfin, l’absence de messagerie électronique est généralement bloquante quand il s’agit
d’utiliser un espace personnel en ligne, aussi, ces individus sont privés de la possibilité de
réaliser tous les actes en self care auxquels les autres clients ont accès.
686. La détention d’un équipement adéquat et d’une adresse électronique ne suffit

cependant pas toujours à évoluer sereinement dans un environnement numérique, parfois
même sans que les individus eux-mêmes n’en soient conscients.
§ 2 - L’INCAPACITE A EVALUER LE CONTENU NUMERIQUE
687. Si la prise de conscience autour de l’illectronisme constitue une première étape

nécessaire à la mise en place de mesures visant à responsabiliser les individus en matière
d’usages numériques, il semble nécessaire de rappeler que certains individus ne se
considèrent pas comme étant dans une situation d’illectronisme et requièrent, pourtant,
d’être davantage éduqués et accompagnés dans l’usage du numérique pour éviter qu’ils ne
s’explosent aux nombreux risques numériques existants.
688. En effet, l’illectronisme, tel que définie dans le rapport de l’INSEE de 2020581, ne
qualifie que les individus ne possédant aucune des quatre compétences que sont la recherche
d'information en ligne, la communication électronique, la résolution de problématiques, tel
qu’accéder à un compte bancaire ou copier un fichier, et l’usage de logiciels582. Les individus
ne possédant que certaines de ces compétences ne sont ainsi par comptabilisés comme
souffrant d’illectronisme. Dans le rapport d’information du 17 septembre 2020 de M.
Raymond VALL, intitulé « L’illectronisme ne disparaîtra pas d’un coup de baguette
581
INSEE, « 800 000 habitants en situation d’illectronisme en hauts de France », 8 décembre 2020, Site de
l’INSEE, disponible en ligne à l’adresse suivante : https://www.insee.fr/fr/statistiques/4986976,consulté le
11/03/2022.
582
INSEE, « 800 000 habitants en situation d’illectronisme en hauts de France », 8 décembre 2020, Page 2 du
rapport,Site de l’INSEE, disponible en ligne à l’adresse suivante:
Page 234 sur 317

magique », il est ainsi estimé que près de la moitié des Français de plus de 15 ans ne dispose
pas de l’une de ces quatre compétences583.
689. Par leur manque de maîtrise du numérique, ces personnes sont ainsi relativement
exposées face aux risques de désinformation au travers des « infox » (A) et de manière
générale, à la cybercriminalité (B).
A - L’EXPOSITION AUX « INFOX »
690. Le développement d’internet et du WEB a contribué à la mise en place de la plus

grande source d’information disponible, mais malheureusement, cela a permis à certains de
détourner ce service à des fins de désinformation.
691. Si la désinformation est une pratique ancienne, elle a été véritablement mise en lumière
ces dernières années au travers de son utilisation dans la sphère politique. En effet, la
publication de faux articles et leur relais à grande échelle grâce aux réseaux sociaux peuvent
conduire certains individus, à ne pas comprendre qu’il s’agit de fausses informations et les
mener à prendre une décision différente de celle qu’ils auraient normalement prise.
692. Lors des élections américaines de 2016, un faux communiqué de presse annonçant le
soutient du Vatican en la personne du Pape François au candidat républicain Donald Trump
avait largement été relayé sur les réseaux sociaux584. Plus récemment, encore, de nombreuses
fausses informations ont circulé concernant l’invasion de l’Ukraine par l’armée russe en
février 2022585. Lors de la pandémie de la COVID 19 également, une fausse information
583
VALL R., “Rapport d’information fait au nom de la mission d'information sur la lutte contre l'illectronisme
et pour inclusion numérique, intitulé - L'illectronisme ne disparaîtra pas d'un coup de tablette magique !”, 2020,
page 31. Le rapport est disponible en ligne à l’adresse suivante: https://www.senat.fr/rap/r19-711/r19-
711.html,consulté le 11/03/2022.
584
PANFILI R., « Le pape soutient Trump: l'article le plus viral de la fin de campagne américaine était un
faux », Site internet Slate.fr, 2016. L’article est disponible en ligne à l’adresse suivante :
https://www.slate.fr/story/128945/article-viral-trump-pape,consulté le 11/03/2022.
585
AUDUREAU W., « Crise ukrainienne : en ligne, la guerre de la désinformation bat son plein », Le Monde,
2022. L’article est disponible en ligne à l’adresse suivante : https://www.lemonde.fr/les-
decodeurs/article/2022/02/22/crise-ukrainienne-en-ligne-la-guerre-de-la-desinformation-bat-son-
plein_6114789_4355770.html,consulté le 11/03/2022.
Page 235 sur 317

selon laquelle les personnes non vaccinées contre la COVID 19 s’exposaient à la caducité
de leurs contrats immobiliers circulait sur les réseaux sociaux586.
693. Le développement de la pratique de la désinformation en ligne est d’autant plus

inquiétant qu’il est bien plus difficile de réfuter une fausse information que de la faire
circuler comme le soutient la loi de Brandolini, du nom de son créateur Alberto
Brandolini587.
694. Les risques associés à la circulation de fausses informations sont tels que les géants du
WEB comme Facebook 588 et Google 589 investissent massivement pour en stopper la
circulation590. Certains pays, comme la France, y ont également consacré des lois visant à
contraindre les plateformes à ne pas laisser ce type d’information circuler591. Au niveau
européen également, la Proposition de Règlement relatif à un marché intérieur des services
numériques du 15 décembre 2020, dit règlement DSA, entend également renforcer le
dispositif de lutte contre la désinformation592.
695. Dans le domaine bancaire, cette incapacité à dissocier une fausse information d’une
vraie peut être problématique et conduire certains individus à se mettre en danger en réalisant
par exemple des investissements hasardeux au motif qu’un article leur en aura venté les
avantages. Ou encore, à refuser d’utiliser des outils mis à disposition par leurs banques parce
que des articles sans fondements réels en auront présenté des risques non avérés.
586
LASSERRE CAPDEVILLE J., « Vaccin, crédit immobilier et « fake news » : le mélange inquiétant”, RD
bancaire et fin. n° 5, Septembre 2021, alerte 123
587
VERCUEIL L, « La Loi de Brandolini ou le principe d'asymétrie du baratin : un défi pour les scientifiques »,
site interne Écho science Grenoble, 2016
588
BELENIERI R., « Facebook se dote d'un système d'alerte rétroactif sur les « fake news », Les Echos, 2020
589
TUAL M., « Que font les géants du Web contre les fausses informations ? », Le Monde, 2018
590
THORBECKE C., « Google pledges nearly $30 million to fight online misinformation, fake news », Abc
News, 2021. L’article est disponible en ligne à l’adresse suivante : https://abcnews.go.com/Business/google-
pledges-30-million-fund-fighting-online-misinformation/story?id=76788419,consulté le 11/03/2022.
Loi n° 2018-1202 du 22 décembre 2018 relative à la lutte contre la manipulation de l'information ; TUAL
591
M., « L’Allemagne vote une loi obligeant les réseaux sociaux à supprimer les contenus haineux », Le Monde,
2017
592
Proposition de Règlement du Parlement européen et du Conseil relatif à un marché intérieur des services
numériques (Législation sur les services numériques) et modifiant la directive 2000/31/C, COM/2020/825
final,
Page 236 sur 317

696. L’incapacité à dissocier une fausse information d’une vraie peut par ailleurs conduire
des individus à entrer en relation avec un établissement usurpant l’identité d’un autre.
L’AMF occupe un rôle primordial en la matière en sensibilisant les individus et en
sanctionnant la pratique de la désinformation 593 , mais encore faut-il que les individus
maîtrisent suffisamment le numérique pour aller s’informer sur le site de l’AMF.
697. En 2019, l’INSEE indiquait dans son étude sur l’illectronisme qu’une personne sur
quatre ne savait pas s’informer correctement en utilisant internet594, or, cette faiblesse est
très souvent exploitée par les cybercriminels.
B - L’EXPOSITION A LA CYBERCRIMINALITE
698. L’illectronisme ou le manque d’expérience dans l’usage des outils numériques sont
des circonstances que les cybercriminels ciblent particulièrement. En effet, les individus
dans cette situation peuvent plus facilement se faire avoir par des pratiques frauduleuses
telles que le phishing, puisqu’ils n’auront pas suffisamment de recul dans la pratique des
outils numériques pour se méfier de ce type de manœuvre.
699. C’est pour cette raison, notamment, que les personnes âgées sont particulièrement
ciblées595 par des fraudes dites au « faux support informatique » consistant à proposer des
services d’assistance informatique et à en profiter pour subtiliser des données et/ou de
l’argent à ces personnes ; ou des tentatives de phishing prenant la forme d’un courriel dans
lesquelles des personnes se faisant passer pour de vieilles connaissances en difficulté leur
demandent une aide financière….
700. Le rapport d’information « Cybercriminalité : un défi à relever aux niveaux national

et européen », présenté au Sénat en 2020, soulignait ainsi que la majorité des victimes de
cybercriminalité sont des particuliers (90%), souvent très jeunes ou âgés, ces derniers étant
593
ROGEY E, « Les « fake news » à l'ère de MAR : l'AMF sanctionne une agence de presse pour diffusion de
fausses informations », RD bancaire et fin. n° 3, Mai 2020, étude 9
594
INSEE, « 800 000 habitants en situation d’illectronisme en hauts de France », 8 décembre 2020, Site de
l’INSEE, disponible en ligne à l’adresse suivante : https://www.insee.fr/fr/statistiques/4986976,consulté le
11/03/2022.
595
TROGNEE F., « Les seniors, cible privilégiée des cybercriminels », JDN, 2020
Page 237 sur 317

considérés comme des proies faciles en raison de leur manque d’expérience numérique596.
Ce constat nous amène à conclure qu’au même titre que la lecture et l’écriture, il est
absolument nécessaire que chacun soit formé à l’usage du numérique dès l’enfance, et que
des dispositifs soient également mis en place pour accompagner les adultes qui en ont besoin.
701. En effet, ce n’est qu’en bénéficiant d’un apprentissage numérique adéquat que les
individus pourront apprendre à utiliser les outils numériques et à en faire un usage prudent,
en étant, par exemple, en mesure d’identifier si un site internet est fiable et d’entrer
sereinement en relation avec un établissement à distance. Les vecteurs de confiance
numérique évoqués en première partie de cette étude requièrent en effet tous des
compétences numériques au moins élémentaires. À ce titre, il semble nécessaire d’apprendre
aux individus à faire confiance dans un environnement numérique.
596
BIGOT J et JOISSAINS S., « Rapport d'information n° 613 (2019-2020)- Cybercriminalité : un défi à
relever aux niveaux national et européen », 2020
Page 238 sur 317

SECTION II – L’APPRENTISSAGE DE LA CONFIANCE
NUMERIQUE
702. Accorder sa confiance à un tiers ou un outil dans un environnement numérique revient,

quand il existe un choix entre plusieurs tiers ou outils, à exprimer une préférence sur la base
de critères propres à chacun, en considérant, par exemple, la notoriété et réputation du tiers
ou des outils, les garanties qu’ils offrent, leurs performances ou leurs coûts.
703. Pour exprimer un choix, encore faut-il, donc, savoir identifier les critères à prioriser,
se renseigner sur le tiers ou outil envisagé et le comparer avec les autres. Or, si cette
démarche peut paraître naturelle pour certains individus, elle peut sembler inutile, ou
impossible à réaliser pour d’autres, qui n’ont jamais pris le réflexe de réellement se
renseigner pour évoluer en sécurité dans un environnement numérique, ou qui n’en ont tout
simplement pas les compétences.
704. Aussi, par l’apprentissage de la confiance numérique, nous entendons ici

l’apprentissage nécessaire à l’acquisition de l’autonomie numérique qui conditionne la
faculté de déterminer si un individu, une entreprise ou un outil numérique est digne de
confiance numérique ou non.
705. La prise de conscience progressive autour de l’illectronisme et la mise en place de

mesures de remédiation se doivent, pour être efficaces, de faire l’objet de mesures nationales
(§1). Pourtant, l’État a des moyens limités qui l’empêchent parfois d’être présent partout où
c’est nécessaire, c’est pourquoi il nous semble important de souligner l’importance des
initiatives privées en la matière (§2).
§ 1 - LES INITIATIVES PUBLIQUES CONTRE L’ILLECTRONISME
706. Les réflexions des institutions autour de la nécessité de former les individus au
numérique sont loin d’être nouvelles. Pourtant, la France, et l’UE ont beaucoup tardé à
prendre des mesures concrètes visant à corriger la situation dont l’importance est pourtant
identifiée de longue date. L’UE considère d’ailleurs que le numérique est l’une des huit
compétences clés, c’est-à-dire une des compétences « nécessaires à tout individu pour
Page 239 sur 317

l'épanouissement et le développement personnels, la citoyenneté active, l'intégration sociale
et l'emploi597 ».
707. En 2010, la question de l’inclusion numérique apparaissait par exemple dans la

stratégie numérique pour l’UE de 2010, la Commission Européenne faisait alors état d’une
« fracture numérique » et soulignait que 150 millions d’Européens, soit 30% de la population
européenne, n’avaient jamais utilisé internet, principalement par manque de compétences
numériques598.
708. En 2015, le sujet de l’inclusion numérique apparaît également dans la communication

de la Commission Européenne du 6 mai 2015 concernant une stratégie pour un marché
597
Extrait de la Recommandation du Parlement Européen et du conseil du 18 décembre 2006 sur les
compétences clés pour l'éducation et la formation tout au long de la vie (2006/962/CE) : « Les compétences
sont définies en l'occurrence comme un ensemble de connaissances, d'aptitudes et d'attitudes appropriées au
contexte. Les compétences clés sont celles nécessaires à tout individu pour l'épanouissement et le
développement personnels, la citoyenneté active, l'intégration sociale et l'emploi.
Le cadre de référence décrit huit compétences clés :
1. Communication dans la langue maternelle ;
2. Communication en langues étrangères ;
3. Compétence mathématique et compétences de base en sciences et technologies ;
4. Compétence numérique ;
5. Apprendre à apprendre ;
6. Compétences sociales et civiques ;
7. Esprit d'initiative et d’entreprise ; et
8. Sensibilité et expression culturelles. » ;
En 2010 encore, dans le cadre de la présentation de sa stratégie numérique pour l’Europe du 19 mai 2010, la
Commission Européenne indiquait pourtant qu’« Il est essentiel de former tous les Européens à l'utilisation
des TIC et des médias numériques et, en particulier, de rendre les formations dans le domaine des TIC
attrayantes aux yeux des jeunes. Il faut accroitre sur les plans qualitatif et quantitatif les compétences en
matière de TIC et de commerce en ligne, c'est-à-dire les compétences numériques nécessaires à l'innovation
et à la croissance. »
598
Extrait de la stratégie numérique pour l’Europe du 19 mai 2010, page 29 : « Dans de nombreux cas, cette
exclusion est due à un manque de compétences, notamment en matière d'outils et de médias numériques, qui a
une incidence sur la capacité d'apprendre, de créer et de participer mais aussi de faire preuve de confiance et
de discernement dans l'utilisation des médias numériques. L'accessibilité et la fonctionnalité peuvent aussi
constituer des difficultés pour les personnes handicapées. La réduction de la fracture numérique peut
permettre d'intégrer les membres des catégories sociales défavorisées dans la société numérique au même titre
que les autres citoyens (et notamment leur donner accès aux services qui les intéressent directement, tels que
l'apprentissage, l'administration et la santé en ligne) et les aider à augmenter leurs chances d'accéder à
l'emploi pour sortir de leur condition défavorisée. La compétence numérique fait donc partie des huit
compétences clés qui sont considérées comme fondamentales pour un individu vivant dans la société de la
connaissance40. Il est également essentiel que les mesures garantissant la sécurité lors de l'utilisation de
l'internet soient connues de tous. »
Page 240 sur 317

unique numérique en Europe599. Il y est alors rappelé que la remédiation de la situation est
de la seule compétence des États membres, qui se doivent d’agir « de toute urgence 600».
709. Plus récemment, dans le cadre de la Communication de la Commission au Parlement

européen, au conseil, au Comité́ économique et social européen et au Comité des régions,
relative à un plan d’action en matière d’éducation numérique 2021-2027601, le sujet de
l’illectronisme a encore été évoqué, la pandémie de la COVID 19 ayant aggravé la situation
et mis en lumière de grandes disparités en termes de connaissance et d’équipement.
710. En France, le sujet a également été relevé à de nombreuses reprises, et ce depuis de

nombreuses années. En 2014, le rapport sur la cybercriminalité du Procureur Général près
la Cour d’appel de Reims, Marc ROBERT, et les ministres Bernard CAZENEUVE,
Christiane TAUBIRA et Axelle LEMAIRE, proposaient 55 solutions pour combattre la
cybercriminalité, parmi lesquelles figuraient l’amélioration de la connaissance de la
cybercriminalité et les actions de prévention auprès de « l’internaute qui doit être acteur de
sa sécurité et de la lutte contre la cybercriminalité602 ».
711. En 2019, un autre rapport, cette fois-ci consacré à la dématérialisation et aux inégalités
d'accès aux services publics 603 , mettait en exergue l’inquiétude du Défenseur des
droits concernant les laissés-pour-compte de la dématérialisation604.
599
Communication de la Commission au Parlement européen, au Conseil, au Comité économique et social
européen et au Comité des régions concernant une stratégie pour un marché unique numérique en Europe du 6
mai 2015
600
Extrait de la Communication de la Commission au Parlement européen, au Conseil, au Comité économique
et social européen et au Comité des régions concernant une stratégie pour un marché unique numérique en
Europe du 6 mai 2015 : « La responsabilité des programmes d'enseignement incombe aux États membres qui
doivent remédier de toute urgence au manque de compétences numériques essentielles. La Commission
soutiendra leurs efforts et jouera son rôle dans le renforcement de la reconnaissance des qualifications et
compétences numériques et dans le relèvement du niveau de professionnalisme dans les TIC en Europe.
La Commission fera des compétences et de l'expertise numériques un élément essentiel de ses futures initiatives
en matière de compétences et de formation. »
601
Communication de la Commission au Parlement européen, au conseil, au Comité́ économique et social
européen et au Comité des régions relative à un plan d’action en matière d’éducation numérique 2021-2027 du
30 septembre 2020.
602 Rapportd’information sur la cybercriminalité « Protéger les internautes » remis en 2014 aux ministres
Christiane TAUBIRA, Arnaud MONTEBOURG et Bernard CAZENEUVE et à la secrétaire d'État au
Numérique Axelle LEMAIRE.
603
Défenseur des droits, « Rapport concernant la dématérialisation et les inégalités d’accès aux services
publics », 2019
604
Ibid.
Page 241 sur 317

712. En dépit de la prise de conscience que traduisent ces différents textes, il n’y a eu que
peu de mesures concrètes pour remédier à la situation, si ce n’est la Loi du 7 octobre 2016
pour une République numérique, à laquelle nous reprochions, plus tôt dans cette étude, le
peu d’actions entreprises en la matière et quelques actions régionales. En effet, bien qu’un
titre entier de la loi pour une République numérique soit consacré au sujet de l’accès au
numérique605, celui-ci s’intéresse davantage à l’équipement et l'accès technique à internet
qu’à la formation au numérique.
713. Le Conseil National du Numérique, une commission consultative créée en 2011 par
un décret du 29 avril 2011 et ayant pour but « d'éclairer le Gouvernement et de participer
au débat public dans le domaine du numérique »606 n’avait étonnamment pas relevé cette
circonstance dans son avis du 30 novembre 2015607 alors même qu’il rappelait dans ses
considérants que « si l’appropriation des outils numériques par le plus grand nombre est un
enjeu majeur, l’appropriation des compétences liées est un enjeu vital608. »
714. Visiblement consciente du peu de mesures prises par les Etats membres, la
Commission Européenne a annoncé, en septembre 2020, qu’elle prendrait un certain nombre
605
Titre 3 de la Loi pour une république numérique « L’accès au numérique », articles 69 à 109
606
Décret n° 2011-476 du 29 avril 2011 portant création du Conseil national du numérique, NOR :
INDX1111287D, JORF n°0101 du 30 avril 2011
607
Conseil National du Numérique, Avis n°2015-3 concernant le projet de Loi pour une république numérique,
2015
608
Page 2 de l’avis n°2015-3 du Conseil National du Numérique concernant le projet de Loi pour une
république numérique : « Ainsi la société numérique doit-elle être la société de tous. Le développement du
numérique ne peut être le cheval de Troie d’une précarisation et d’une atomisation accrues des individus ou
encore d’un effritement de notre modèle social. Le numérique doit au contraire participer d’une croissance
économique durable, être mis au service d’une solidarité qui s’exprime aussi bien entre territoires qu’entre
générations et groupes sociaux. Si l’appropriation des outils numériques par le plus grand nombre est un enjeu
majeur, l’appropriation des compétences liées est un enjeu vital. Sans cet accompagnement, sans des
médiations au plus près des populations en souffrance. »
Page 242 sur 317

de mesures visant à assister les États dans l’amélioration de la situation, parmi lesquels figure
la mise en place d’un certificat européen de compétences numériques609.
715. En 2019, le Sénat a créé une mission d’information sur la Lutte contre l’illectronisme
et pour l’inclusion numérique610, dont le rapport d’information intitulé « L'illectronisme ne
disparaîtra pas d'un coup de tablette magique !611» a donné lieu à 45 propositions suivant 7
axes parmi lesquels figure le fait d’évaluer plus finement l’exclusion numérique et le fait de
proclamer l’inclusion numérique comme priorité nationale612.
716. À la suite de ce rapport, une proposition de loi contre l’illectronisme et pour l’inclusion
numérique613 a été présentée et est en cours de discussion au Parlement614. Les dispositions
de cette proposition de loi matérialisent, enfin, la prise de conscience de la France quant à la
609
Communication de la Commission au Parlement européen, au conseil, au Comité́ économique et social
européen et au Comité́ des régions relative à un plan d’action en matière d’éducation numérique 2021-2027 du
30 septembre 2020. Les mesures annoncées consisteront à : « lancer un dialogue stratégique avec les États
membres en vue de préparer une éventuelle proposition de recommandation du Conseil d’ici 2022 sur les
facteurs favorisant la réussite de l’éducation numérique », « sur la base des enseignements tirés de la crise de
la COVID-19, proposer une recommandation du Conseil sur l’apprentissage en ligne et à distance dans
l’enseignement primaire et secondaire d’ici fin 2021 », « élaborer un cadre relatif au contenu d’éducation
numérique », « soutenir, le cas échéant, la connectivité gigabit des écoles, ainsi que la connectivité dans les
écoles », « mettre à profit les projets de coopération Erasmus17 pour appuyer les plans de transformation
numérique », « faciliter la compréhension des technologies émergentes et de leurs applications dans le
domaine de l’éducation, élaborer des lignes directrices éthiques sur l’intelligence artificielle (IA) et
l’utilisation des données dans l’enseignement et l’apprentissage à l’intention des enseignants », « Élaborer
des lignes directrices communes à l’intention des enseignants et du personnel éducatif pour favoriser l’habileté
numérique et lutter contre la désinformation par l’éducation et la formation », « mettre à jour le cadre
européen des compétences numériques », « Créer un certificat européen de compétences numériques »,
« proposer une recommandation du Conseil sur l’amélioration de l’enseignement des compétences numériques
dans le domaine de l’éducation et de la formation. », « faciliter la collecte transnationale de données sur les
compétences numériques des apprenants », « encourager l’acquisition de compétences numériques
avancées, « Encourager la participation des femmes aux STIM », et établir « un pôle européen d’éducation
numérique »
610
Voir la page dédiée à la Mission d’information « Lutte contre l’illectronisme et inclusion numérique » sur
le site official du Sénat, disponible à l’adresse suivante:
http://www.senat.fr/commission/missions/lutte_contre_lillectronisme.html,consulté le 11/03/2022.
611
et pour inclusion numérique, intitulé - L'illectronisme ne disparaîtra pas d'un coup de tablette magique !”, 2020.
Le rapport est disponible en ligne à l’adresse suivante: https://www.senat.fr/rap/r19-711/r19-711.html,consulté
le 11/03/2022.
612
Ibid. Axes 1 et 3 du rapport.
613
Voir le dossier législatif de la proposition de loi sur le site du Sénat à l’adresse suivante :
http://www.senat.fr/leg/ppl20-367.html,consulté le 11/03/2022.
614
Au 25 septembre, le teste a été adopté en première lecture par le Sénat, moyennant quelques modifications.
Page 243 sur 317

nécessité de renforcer la formation numérique scolaire (A) ainsi que celle d’encourager les
dispositifs nationaux ciblant les personnes ne maîtrisant pas bien le numérique (B).
A - LA NECESSITE D’UNE FORMATION NUMERIQUE SCOLAIRE
717. Parmi les solutions proposées par le rapport d’information sur l’illectronisme, figure
la « construction d’une éducation nationale 2.0 qui serait le fer de lance de la lutte contre
l’illectronisme 615 ». Dans ce cadre, il est notamment proposé de mettre en place un
recensement périodique des difficultés numériques rencontrées par les élèves et enseignants
dans chaque académie, d’intégrer le numérique à la formation initiale et périodique des
enseignants, et d’ajouter un test de détection de l’illectronisme à la journée Défense et
Citoyenneté616.
718. À première vue, ces propositions semblent prometteuses, en ce qu’elles permettraient

certainement une détection plus fine des personnes ne disposant pas des compétences
numériques élémentaires. Il est donc regrettable qu’elles n’aient pas toutes été retenues par
le Sénat lors de l’adoption en première lecture de la proposition de loi contre
l’illectronisme617.
719. En effet, si la formation initiale et continue au numérique des enseignants a bien été
maintenue à l’article 13618, en revanche, l’intégration d’un test de détection de l’illectronisme
lors de la journée de Défense et Citoyenneté a été rejetée au motif que ce dispositif aurait
615
Axe n°6. Le rapport est disponible en ligne à l’adresse suivante: https://www.senat.fr/rap/r19-711/r19-
616
Ibid. Propositions 38 à 41.
617
Proposition de Loi relative à la lutte contre l’illectronisme et pour l’inclusion numérique, du 16 février 2021.
Article 13 de la proposition de Loi contre l’illectronisme dans sa version adoptée par le Sénat le 14 avril
618
2021
Page 244 sur 317

fait doublon avec le travail de détection déjà mis en place au niveau de l’éducation nationale
en fin de collège et lycée619.
720. La place du numérique dans le quotidien des Français en fait un incontournable de

l’intégration sociale et professionnelle, si bien que les compétences numériques deviennent
presque aussi importantes que la capacité à lire et écrire. À ce titre, il est nécessaire que
l’acquisition des compétences numériques élémentaires soit assurée dans tous les
établissements de formation, au-delà de la simple préparation au Brevet Informatique et
Internet.
721. Cela nécessite évidemment que les enseignants soient, eux-mêmes, bien formés au
numérique, mais aussi, que les éventuels élèves qui échappent au système éducatif, ou à la
vigilance des enseignants, soient pris en charge quand il est encore temps. Aussi, la mise en
place d’un test à l’occasion de la journée Défense et Citoyenneté, qui prévoit déjà un test de
détection de la dyslexie qui a permis de détecter en 2019 plus de 10% de jeunes avec des
difficultés à lire dont 5% en situation d’illettrisme620, serait un moyen efficace de détecter
plus largement les jeunes en manque de compétences numériques.
722. Espérons donc que cette disposition soit réintroduite lors des débats parlementaires.
Dans tous les cas, ces mécanismes, devront continuer à être complétés par des dispositifs
nationaux ciblés pour également venir en aide aux adultes ne maîtrisant pas bien le
numérique.
619
Amendement présenté par SOILIHI M. à la proposition de loi : « Le présent amendement vise à supprimer
l’article 2 qui tend à ajouter un test de compétences numériques au programme de la Journée Défense
Citoyenneté (JDC) afin d’améliorer la détection de l’exclusion numérique.
En effet, ces compétences sont déjà évaluées par l’Éducation nationale en fin de collège et de lycée par le
groupement d’intérêt public PIx.
En outre, le programme de la JDC a régulièrement été modifié et densifié au détriment de sa cohérence et de
sa réceptivité par un public âgé entre 18 et 25 ans. Ainsi, ajouter un test des compétences numériques viendrait
alourdir un programme déjà chargé, sauf à supprimer certains éléments comme ce fut le cas pour la formation
aux gestes de premiers secours, alors qu’elle ne s’inscrit pas dans les objectifs « Défense » et « Citoyenneté »
prescrit par le code du service national. ».
620
Voir la page “Journée défense et citoyenneté : 5,3% des jeunes en situation d'illettrisme” du Site internet
Vie publique, 2020. La page est disponible à l’adresse suivante : https://www.vie-publique.fr/en-bref/274912-
journee-defense-et-citoyennete-illettrisme-pour-53-des-jeunes,consulté le 11/03/2022.
Page 245 sur 317

B - LES DISPOSITIFS CIBLES POUR L’INCLUSION NUMERIQUE
723. La résolution de la problématique d’inclusion numérique suppose naturellement que

ledit problème soit bien compris. Or, certains individus ne peuvent concevoir qu’il puisse
exister aujourd’hui des individus qui ne disposent pas des connaissances les plus
élémentaires en numérique.
724. Pour y remédier, la France a entamé depuis quelques années un travail de

communication en la matière, visant, en premier lieu, à sensibiliser les Français à la
problématique, espérant ainsi inspirer des initiatives privées, mais aussi, pour permettre aux
personnes concernées par l’illectronisme d’être informées quant aux solutions qui s’offrent
à elles.
725. C’est dans ce cadre que l’Agence du numérique a été créée par le Décret n° 2015-113
du 3 février 2015 portant création d'un service à compétence nationale dénommé « Agence
du numérique 621 ». Cette agence a pour mission de piloter un certain nombre de projets
numériques de la France, tel que le projet « France très haut débit622 » qui vise à permettre
l’accès au haut débit à tous les Français, mais aussi à « favoriser la diffusion des outils
numériques et le développement de leur usage auprès de la population623 ».
726. En 2018, le lancement, dans le cadre de la Mission Société Numérique du plan national
pour un numérique inclusif624 piloté par le secrétaire d’État chargé du numérique Mounir
MAHJOUBI, a renforcé le dispositif existant en établissant un plan d’actions visant à assurer
la détection et la prise en charge des publics concernés par l’illectronisme. À ce titre, nous
saluons la mise en place du pass numérique, permettant aux individus de bénéficier d’un
accompagnement au numérique pris en charge au moins partiellement par un tiers payeur,
Décret n° 2015-113 du 3 février 2015 portant création d'un service à compétence nationale dénommé «
621
Agence du numérique », JORF n°0029 du 4 février 2015, NOR : EINP1427911D

622
Article 4 du Décret n° 2015-113 du 3 février 2015 portant création d'un service à compétence nationale
dénommé « Agence du numérique », JORF n°0029 du 4 février 2015, NOR : EINP1427911D
623
Article 5 du Décret n° 2015-113 du 3 février 2015 portant création d'un service à compétence nationale
dénommé « Agence du numérique », JORF n°0029 du 4 février 2015, NOR : EINP1427911D
624
Site internet de la mission société numérique, disponible à l’adresse suivante :
https://territoires.societenumerique.gouv.fr/boite-outils/orientation.html,consulté le 11/03/2022.
Page 246 sur 317

ainsi qu’un kit à destination des aidants pour leur permettre de mieux accompagner les
individus concernés par l’illectronisme625.
727. Le rapport d’information sur l’illectronisme de Raymond VALL propose également

de nouvelles initiatives intéressantes en la matière, notamment celle consistant à mobiliser
les conseillers de certains services tels que la Poste et de la CAF en vue de détecter et orienter
les personnes en difficulté vers des dispositifs d’aide prévus à cet effet626.
728. L’État dispose ainsi de nombreuses pistes dans la lutte contre l’illectronisme, et a su,
notamment grâce aux dispositifs de soutien financiers des initiatives privées tels que les hubs
France Connectée627, également encourager les initiatives privées en la matière.
§ 2 - LES INITIATIVES PRIVEES POUR L’INCLUSION NUMERIQUE
729. En complément des dispositifs publics de lutte pour l’inclusion numérique et contre
l’illectronisme, des actions privées sont nécessaires pour aboutir à une responsabilisation
des individus et les mettre en situation de réellement choisir d’accorder ou non leur confiance
à des tiers dans un environnement numérique.
730. Cette évolution nécessite cependant de tout d’abord faire évoluer la formation des
professionnels, notamment ceux du secteur bancaire, en vue de leur permettre
d’accompagner les clients dans leur montée en compétences (A), mais aussi de développer
les initiatives privées ayant vocation à former et sensibiliser les individus qui en ont besoin
(B).
625
Ibid.
626
proposition 30. Le rapport est disponible en ligne à l’adresse suivante: https://www.senat.fr/rap/r19-711/r19-
627
ANONYME, « Médiation numérique : lancement de l’appel à projets hubs France connectée », Site internet
du Labo société numérique, 2018, disponible à l’adresse suivante :
https://labo.societenumerique.gouv.fr/2018/09/17/mediation-numerique-lancement-de-lappel-a-projets-hubs-
france-connectee/,consulté le 11/03/2022.
Page 247 sur 317

A - LA NECESSAIRE TRANSFORMATION PEDAGOGIQUE DES METIERS
731. En dépit des mesures de remédiation nationales contre l’illectronisme, certains

individus sont susceptibles de ne pas pouvoir, ou ne pas vouloir, bénéficier de ces derniers,
notamment les individus âgés, qui ont connu une société sans numérique et peuvent être
encore hostiles à son usage. Or, ces individus peuvent se retrouver dans une situation dans
laquelle leur manque de maîtrise des outils numériques peut leur faire défaut, notamment
dans le cadre de démarches administratives628.
732. Outre les situations les plus extrêmes, on peut par ailleurs tout à fait concevoir qu’une
personne, bien que maîtrisant le numérique, ait par ailleurs besoin d’un accompagnement
spécifique dans l’utilisation des outils mis à disposition par sa banque. Dans une telle
situation, la banque de l’individu a un rôle primordial à jouer, en s’assurant que ce dernier
soit bien en mesure de trouver les informations qu’il recherche, par le biais de supports de
formation ou de FAQ par exemple, ou bien en lui proposant de bénéficier d’un
accompagnement spécifique par un conseiller.
733. Le développement des mesures de formation et d’accompagnement des clients par

leurs banques devrait donc selon nous être poursuivi, ce qui suppose, en l’absence de
contraintes réglementaires, que les banques prennent l’initiative de former leurs
collaborateurs à ce sujet.
734. Nous ne pouvons qu’espérer que les formations liées au digital et l’accompagnement
des clients dans l’utilisation des outils bancaires digitaux intégreront un jour la liste des
formations obligatoires à l’exercice des professions bancaires, au même titre que celles sur
la lutte contre le blanchiment d’argent et le financement du terrorisme.
735. À défaut de dispositifs mis en place par leurs banques, les individus sont parfois
contraints de se tourner vers un accompagnement extérieur, notamment auprès
628
Défenseur des droits, « Dématérialisation et inégalités d'accès aux services publics”, 2019, disponible à
l’adresse suivante : https://www.defenseurdesdroits.fr/fr/rapports/2019/01/dematerialisation-et-inegalites-
dacces-aux-services-publics, consulté le 11/03/2022. Le rapport du Défenseur des droits nous indiquait à cet
effet que seulement 32% des Français déclarent ne pas connaître de freins au recours de démarches en lignes,
les autres citent en majorité comme freins la complexité des démarches en ligne et leur manque d’aisance en
informatique.
Page 248 sur 317

d’associations, alors qu’il s’agirait là d’une excellente opportunité pour les banques d’établir
une réelle relation de confiance avec leurs clients629.
B – LES ENTREPRISES ET ASSOCIATIONS AU SERVICE DE LA MONTEE EN

COMPETENCES NUMERIQUE DES INDIVIDUS
736. Parallèlement aux dispositifs de formation numérique nationaux, quelques tiers privés
contribuent activement à la montée en compétences numérique des individus.
737. Citons en premier lieu l’association Emmaüs Connect630, qui lutte depuis 2013 pour
l’inclusion numérique des individus en organisant des ateliers et formations gratuits pour les
personnes ayant besoin de se former au numérique, ainsi que des ventes de matériel
informatique d’occasion à prix abordable. Dans le cadre de la pandémie liée à la Covid 19,
Emmaüs Connect a notamment pu venir en aide en urgence à 40 000 individus qui étaient
en détresse en raison de leur manque de compétences numériques, ne pouvant parfois même
pas aider leurs enfants dans leurs devoirs ni commander leurs courses631. Depuis sa création,
Emmaüs Connect est venu en aide à plus de 90 000 personnes, parmi lesquelles 41%
n’avaient pas de compte courant632.
738. Soulignons également quelques initiatives locales, telle que l’initiative rochelaise Net
Connect633, qui propose elle aussi des formations au numérique et des ordinateurs en accès
libre pour permettre à chacun de réaliser ses démarches sans avoir à investir dans un
équipement, ou l’association « Le comptoir numérique », qui propose la même chose dans
les Yvelines634.
629
FRETIN F, « Repenser la relation client : le conseiller bancaire, futur pivot de la transformation bancaire
? », Revue Banque n°857, 2021
630
Site internet de l’association Emmaüs Connect, disponible à l’adresse suivante : https://emmaus-
connect.org,consulté le 11/03/2022.
631
Emmaus Connect, rapport d’activité 2020, 2021, Page 2, disponible à l’adresse suivante : https://emmaus-
connect.org/wp-content/uploads/2021/06/Rapport-dactivite-2020-Emmaus-Connect_def-SD.pdf,consulté le
11/03/2022.
632
Emmaus Connect, rapport d’activité 2020, 2021, Page 8
633
Site internet de l’initiative Net Connect, disponible à l’adresse suivante :
https://netsolidaire.wordpress.com,consulté le 11/03/2022.
Site internet de l’association « Le comptoir numérique », disponible à l’adresse suivante : https://www.le-
634
comptoir-numerique.fr/lassociation/,consulté le 11/03/2022.
Page 249 sur 317

739. Nous ne pouvons qu’espérer que ce type d’initiative sera maintenu, grâce à la
contribution des nombreux bénévoles et salariés militants pour la prise de conscience en la
matière et l’accompagnement des individus qui en ont besoin. L’association des dispositifs
publics et de ces initiatives privées nous laisse espérer une amélioration réelle de la situation
des millions de Français concernés par un manque de compétences numériques dans les
années à venir, permettant peut-être d’envisager un jour que chacun soit véritablement acteur
de la confiance numérique.
Page 250 sur 317

740. En conclusion de ce chapitre, rappelons que le manque de compétences numériques

est vraisemblablement une problématique sous-jacente de celle de la confiance numérique,
qui a guidé nos travaux. En matière bancaire notamment, le fait, pour un individu, de ne pas
maîtriser le numérique peut le priver de l’usage de certains services, mais aussi l’exposer
davantage que les autres à des risques de cybercriminalité.
741. La confiance numérique ne doit surtout pas devenir un sentiment naturel pour être
viable, elle doit être le résultat d’un processus décisionnel propre à chaque individu. Aussi
faut-il que les dispositifs d’apprentissage du numérique se développent pour ne plus laisser
d’individus en marge de la révolution numérique.
742. En effet, alors que 17% de la population française manque des quatre compétences
numériques de base635 et que près de 43% manquent d’au moins l’une d’entre elles, il semble
que la recherche d’une solution à la problématique de confiance numérique soit largement
conditionnée par la résolution de la problématique de manque de compétences numériques
qui indique la mise en place de dispositifs importants visant à l’inclusion numérique de
chacun.
743. Dans un environnement numérique, où les risques de cybercriminalité sont

omniprésents, et au regard du caractère de plus en plus essentiel du numérique dans le
quotidien de chacun, le manque de maîtrise du numérique peut présenter un handicap certain,
que le législateur se doit de prendre en compte dans ses actions visant à renforcer la
confiance numérique des individus.
744. À ce titre, les différentes initiatives, privées comme publiques, ayant vu le jour en
France, nous laissent espérer que la situation pourra s’améliorer dans les années à venir.
635
INSEE, « Une personne sur six n’utilise pas Internet, plus d’un usager sur trois manque de compétences
numériques de base - Insee Première - 1780 », Site internet de l’INSEE, 2019, disponible à l’adresse suivante :
Page 251 sur 317

CONCLUSION DU TITRE
745. Pour l’établissement d’une confiance numérique saine, à laquelle le client contribuerait
activement, et qui ferait l’objet d’un processus de décision éclairé, la responsabilisation des
individus semble être essentielle.
746. À ce titre, notre proposition de responsabilisation grâce à la diminution de la protection

des individus ou au travers d’autres mesures les incitant à devenir réellement acteurs de leur
propre sécurité et de l’environnement numérique de confiance auquel ils prétendent, doit
nécessairement être accompagnée de la mise en place de mesures visant à s’assurer que
chacun dispose bien des compétences numériques élémentaires. Au risque, sinon, de
pénaliser les personnes ne maîtrisant pas le numérique.
747. La mise en place de mesures visant à détecter les individus en situation d’illectronisme
et à les accompagner dans leur montée en compétences numérique est indéniablement un
prérequis à la confiance numérique, aussi, il est louable que de nombreuses actions aient vu
le jour ces dernières années, si ce n’est un peu tard compte tenu du constat ancien de la
situation comme le montrent les différents textes le mentionnant636.
748. La proposition de loi relative à la lutte contre l’illectronisme et pour l’inclusion

numérique enregistrée à la présidence du Sénat le 16 mars 2021, actuellement637 en cours
d’étude au parlement 638 , est l’opportunité, pour la France, d’enfin prendre des mesures
nationales d’ampleur pour répondre à cette problématique, aussi espérons-nous que le texte
qui sera adopté répondra aux attentes des millions de Français concernés.
636
Recommandation du Parlement Européen et du conseil du 18 décembre 2006 sur les compétences clés pour
l'éducation et la formation tout au long de la vie (2006/962/CE) ; Communication de la Commission au
Parlement européen, au Conseil, au Comité économique et social européen et au Comité des régions sur Une
stratégie numérique pour l'Europe ; Communication de la Commission au Parlement européen, au Conseil, au
Comité économique et social européen et au Comité des régions concernant une stratégie pour un marché
unique numérique en Europe du 6 mai 2015 ; Avis n°2015-3 du Conseil National du Numérique concernant le
projet de Loi pour une république numérique Rapport d’information sur la cybercriminalité « Protéger les
internautes » remis en 2014 aux ministres TAUBIRA, MONTEBOURG et CAZENEUVE et à la secrétaire
d'État au Numérique LEMAIRE. ; Rapport du Défenseur des Droits concernant la dématérialisation et les
inégalités d’accès aux services publics remis le 8 janvier 2019, Rapport d’information « L'illectronisme ne
disparaîtra pas d'un coup de tablette magique !” de Raymond VALL faut au nom de la mission d’information
contre l’illectronisme et pour l’inclusion numérique du 17 septembre 2020.
637
En décembre 2021
638
Voir le dossier législatif de la proposition de Loi sur le site du Sénat à l’adresse suivante :
http://www.senat.fr/leg/ppl20-367.html,consulté le 11/03/2022.
Page 252 sur 317

CONCLUSION DE LA SECONDE PARTIE
749. En conclusion de cette partie, qui consistait à étudier s’il existait un rapport entre
confiance numérique et responsabilité, il nous semble pouvoir affirmer que tel est bien le
cas.
750. En effet, au regard des régimes de responsabilité applicables au domaine bancaire en

environnement numérique, et à la jurisprudence, il semble que la perte de confiance
numérique puisse bel et bien être à l’origine de la responsabilité de la banque.
751. À cet égard, le fait, pour une banque de ne pas répondre aux attentes de ses clients en
ce qui concerne la traçabilité et l’imputabilité des actes réalisés sur leur patrimoine, de même
que la fiabilité et la sécurité des outils qu’elles mettent à leur disposition, peut amener ses
derniers à remettre en question la confiance numérique qu’ils lui avaient accordée, et
entraîner de fait sa responsabilité.
752. S’il est effectivement important que les clients puissent avoir confiance dans leur
banque pour assurer la sécurité de leur patrimoine, nos développements nous amènent à
conclure qu’il est nécessaire d’impliquer davantage les clients eux-mêmes dans leur sécurité
numérique, au risque, sinon, de ne pas pouvoir établir une véritable confiance numérique
entre ces derniers et leur banque.
753. Rendre les individus acteurs de leur confiance numérique nécessite cependant que des
mesures soient prises pour leur assurer une bonne maîtrise des outils numériques, prérequis
essentiel à l’implication des individus en vue d’en faire des acteurs de la confiance
numérique à laquelle ils aspirent.
754. La lutte contre l’illectronisme et pour l’inclusion numérique de chacun doit à ce titre
être priorisé, au risque, sinon, de ne jamais trouver de solution à la problématique de
confiance numérique.
Page 253 sur 317

CONCLUSION
Page 254 sur 317

755. En introduction de cette étude, nous émettions l’idée selon laquelle la confiance
numérique serait une confiance, a priori décidée, plutôt qu’assurée, que l’on déciderait
d’accorder dans une situation de risque numérique. Au regard de nos développements, il
nous semble pouvoir confirmer que la véritable confiance numérique a bien vocation à
répondre à ce critère de « décision », mais que cette décision est conditionnée par la faculté
de l’individu à pouvoir prendre une décision de manière éclairée quand il s’agit d’utiliser ou
non un outil numérique ou de faire confiance à une personne physique ou morale dans un
environnement numérique.
756. En effet, il semble indéniable que la confiance numérique occupe une place importante
dans la relation entre une banque et son client en environnement numérique, et qu’il existe
à ce titre de nombreux leviers. Mais l’incidence de ces différents leviers sur la décision du
client de faire confiance ou non à sa banque ou les outils mis à disposition est variable.
757. Les leviers intervenant au stade de la conclusion du contrat peuvent finalement être
perçus comme étant peu efficaces au regard du processus de décision du client de choisir un
établissement plutôt qu’un autre. À défaut de prendre réellement le temps de lire l’intégralité
des informations qui lui sont présentées, il semble en effet que la décision des individus soit
finalement largement influencée par des signes de confiance superficiels comme la
réputation. Le client n’est alors pas mis en situation de se demander, individuellement, si tel
établissement est plus digne de sa confiance qu’un autre.
758. Au stade de l’exécution du contrat, en revanche, la décision du client de rester peut

davantage reposer sur un processus de décision individuel, dans la mesure où si la banque
ne répond pas à l’une de ses attentes légitimes, tel que la fiabilité des outils numériques mis
à disposition, ou simplement en cas d’insatisfaction, il sera extrêmement facile de changer
Page 255 sur 317

d’établissement grâce à la mobilité bancaire, prévu à l’article L312-1-7 du code monétaire
et financier639.
759. Les nombreuses réglementations présentées comme renforçant la confiance numérique

se sont jusqu’ici principalement bornées à faire de l’information le vecteur clé de la
confiance numérique, sans y assortir de dispositifs visant à optimiser leur présentation pour
en faciliter la prise de connaissance, ou à établir un certain nombre de garanties au profit des
individus, sans faire en sorte que ces derniers ne s’impliquent davantage dans leur propre
sécurité numérique.
760. Il semble à cet égard que si les dispositifs issus des réglementations existantes sont
bien des vecteurs de confiance numérique, la confiance numérique qui en est issue est
relativement artificielle dans la mesure où les individus peuvent sembler peu impliqués, tant
dans son établissement, que dans son entretien. À la question qui a justifié cette étude, nous
avons donc maintenant plusieurs pistes de réponses.
761. D’abord, la question de la confiance numérique ne devrait vraisemblablement pas

primer sur celle de l’inclusion numérique, qui est un prérequis essentiel à l’établissement
d’un environnement numérique dans lequel les individus seraient à même de devenir acteurs
de leur propre confiance numérique.
639
Extrait de l’article L312-1-7 du Code Monétaire et Financier :
« Les établissements de crédit mettent à la disposition de leurs clients une documentation relative à la mobilité
bancaire, gratuitement et sans condition, sur support papier ou sur un autre support durable, dans leurs locaux
et sous forme électronique sur leur site internet.
L'établissement d'arrivée, qui ouvre le nouveau compte de dépôt dans le cadre du changement de domiciliation
bancaire, propose au client, gratuitement et sans condition, un service d'aide à la mobilité bancaire permettant
un changement automatisé des domiciliations bancaires, vers le nouveau compte, des prélèvements valides et
virements récurrents du compte d'origine. »
Page 256 sur 317

762. À ce titre, espérons que l’UE et la France, prendront davantage de mesures concrètes
visant à réduire la fracture numérique. Les mesures reposant sur l’intelligence collective640,
comme celles suggérées par le Conseil National du Numérique dans son avis de 2014 sur la
Neutralité des plateformes et son avis de 2015 sur le projet de Loi pour une république
numérique, gagneraient également à être associées à cette démarche.
763. Ensuite, il semble que la surprotection des individus, qu’il s’agisse d’établir des
mécanismes des garanties menant à ce qu’ils ne supportent pas les conséquences de leurs
éventuelles négligences, ou de les informer toujours plus sans s’assurer que les informations
soient réellement lues et comprises, n’est pas une piste viable sur le long terme en matière
de confiance numérique.
764. En effet, au rythme auquel évolue le numérique, il arrivera un temps où les

informations à fournir dépasseront largement ce qu’il est raisonnable de s’attendre à lire, si
ce temps n’est pas déjà arrivé641. Concernant les garanties, si celles-ci sont effectivement
rassurantes pour les individus, il semble nécessaire de ne pas protéger avec excès les
640
Dans son avis 2014-2 sur la neutralité des plateformes et son avis 2015-3 sur le projet de Loi pour une
république numérique, le Conseil National du Numérique propose en effet de développer le recours à la
notation des entreprises au travers d’agence qui évaluerait ces dernières sur la base de critères déterminants ;
Extrait de l’avis 2015-3 du Conseil National du Numérique : « Il existe aujourd’hui de nombreuses initiatives
visant à informer sur les pratiques et tendances observées dans les écosystèmes numériques. Toutefois, cette
expertise demeure “éclatée”, à la fois entre les domaines juridiques (vie privée, fiscalité, concurrence...), les
domaines plus techniques (systèmes d’exploitation, référencement, interfaces de programmation, interfaces
web) et les public concernés (particuliers, associations de consommateurs, communauté technophile, éditeurs
d’applications etc.). Au travers d’une plateforme Web, une agence de notation de la loyauté serait chargée
d’animer un réseau ouvert de contributeurs et pourrait occuper les missions suivantes :
1. Rendre accessible via un point d’entrée unique la diversité d’outils et d'informations déjà existants, tels que
des outils de tracking de la circulation des données d’un service à l’autre, de comparaison des CGU et de leur
lisibilité, etc. ;
2. Fédérer les remontées d’informations, sur les problématiques et les bonnes pratiques, en offrant un espace
de signalement aux utilisateurs et aux observateurs plus experts ;
3. Publier à échéance régulière des avis pouvant déboucher sur des labels ou une notation du comportement
des acteurs, sur une base multicritère (respect de la vie privée, clarté des CGU, comportement sur le plan
commercial, sur le plan fiscal, etc.).
4. Mettre ces avis à disposition des consommateurs, entrepreneurs, investisseurs publics et privés.
5. Sur la base de ces remontées directes et indirectes, lancer des études plus approfondies lorsqu’un problème
récurrent émerge et mettre les résultats à disposition des autorités concernées. Mobiliser à cette fin des
capacités techniques de rétro-ingénierie pour détecter par exemple les discriminations illicites (origine
ethnique, IP tracking, etc.). »
Dans l’introduction de leur ouvrage « Banque et assurances digital », E. CAPRIOLI, P. AGOSTI, I.
641
CANTERO et I. CHOUKRI, parlent à ce titre de « Mille-feuille juridique ».
Page 257 sur 317

individus quand il s’agit d’établir un régime de responsabilité au risque que ces derniers
n’aient plus intérêt à s’impliquer.
765. En effet, il semble absolument nécessaire de procéder, comme le fait le législateur, à

l’encadrement strict de certaines activités, pour éviter les pratiques pouvant être
potentiellement néfastes pour les clients. En revanche, il serait bénéfique, tant pour les
banques que pour leurs clients, que les règles ne conduisent ni à établir une situation, trop
laxiste à l’égard des clients, dans laquelle la preuve de leur imprudence est presque
impossible à apporter, ni à établir une situation, au contraire, trop stricte à leur égard, dans
laquelle la caractérisation d’une imprudence ne prend pas en compte le niveau de
connaissances numériques de ceux-ci. À ce titre, le régime actuel, concernant les fraudes
aux moyens de paiement, semble déséquilibré.
766. Les différents chantiers réglementaires en cours, notamment concernant les services
de paiement, l’intelligence artificielle, et les outils de confiance, avec la révision du
Règlement eIDAS, contribueront, sans doute, à améliorer la confiance numérique des
individus, mais espérons que la France aille également au bout de ses travaux sur l’inclusion
numérique, sans quoi, la problématique de la confiance numérique ne sera
vraisemblablement jamais réellement résolue.
Page 258 sur 317

BIBLIOGRAPHIE
Page 259 sur 317

I – OUVRAGES ET MANUELS
AGOSTI P., CAPRIOLI E., CHOUKRI I. et CANTERO I., Banque et assurance digitales :
Droit et pratique, Revue Banque, 2017.
AGOSTI P., CAPRIOLI E., CHOUKRI I. et CANTERO I., L’identité numérique dans le
droit et la pratique, Revue Banque, 2021.
ARCELIN L., ET FOURGOUX J.L., Droit du marché numérique, LGDJ Les intégrales,
2021.
BARBET MASSIN A., FLEURET F., LOURIMI A., O’RORKE W., PION C., Droit des
cryptoactifs et de la blockchain, Lexisnexis Droit du numérique, 2020.
BEHAR TOUCHAIS M., Les conséquences juridiques de l’ubérisation, IRJS Éditions,

2017.
BONNEAU T., Droit bancaire, LGDJ Domat droit privé, 14e éd., 2021.
BONNEAU T., Régulation bancaire et financière européenne et internationale, Bruylant,

2020.
BONNEAU T., PAILLER P., ROUAUD A.C., TEHRANI A., VABRES R., Droit
Financier, LGDJ Domat droit privé, 2017.
BREHIER B., Droit bancaire et financier : mélanges AEDBF France, Revue Banque, 2021.
CASTETS RENARD C., Droit du marché unique numérique et intelligence artificielle,

Bruylant, 2020.
DALLE F., QUEMENER M., et WIERRE C., Quels droits face aux innovations numériques
? Gualino, 2020.
DESCHENES M., HERVE C., et STANTON-JEAN M., Les personnes âgées et le

numérique, Dalloz, 2019.
DOUEIHI M. et DOMENICUCCI J., La confiance à l’ère numérique, Berger Levrault,

2018.
LASSERRE CAPDEVILLE J., STORCK M., MIGNOT M., KOVAR J-P., ERESEO N.,
Précis de Droit Bancaire, 3eme édition, Dalloz, 2021
Page 260 sur 317
EYNARD J., L'identité numérique ; quelle définition pour quelle protection ? Larcier,
Création Information Communication, 30 décembre 2020.
FERAL SCHUL C., Cyberdroit, Le droit à l'épreuve de l’Internet, 8eme Edition, Dalloz,
2020.
FLORE D., FRANSSEN V., Société numérique et droit pénal, Bruylant, 2019.
GRYNBAUM L., LE GOFFIC., MORLET HAÏDARA L., Droit des activités numériques,
Précis Dalloz, 2014.
JACQUEMIN H. et DE STREEL A., L'intelligence artificielle et le droit, Larcier, 2017.
JULIEN A. et GAUTIER A., Marketing de la banque et de l’assurance - Le digital au cœur

de la relation client, Dunod, 2018.
KAPLAN D. et FRANCOU R., La confiance numérique : De nouveaux outils pour refonder

la relation entre les organisations et les individus, FYI Éditions, 2012.
LE TOURNEAU P., Contrats informatiques et électroniques, Dalloz référence,9e Éd., 2016.
MERZEAU L., Présence numérique : les médiations de l’identité, Gresec, 2009.
O’NEIL C., Algorithmes : La bombe à retardement, Les Arènes, 2008.
POULLET Y., Le RGPD face aux défis de l'intelligence artificielle, Larcier, 2020
QUIQUEREZ A., Droit bancaire, Gualino, 2019.
Page 261 sur 317

II - THESES
BENAMOUR H.,
- Confiance interpersonnelle et confiance institutionnelle dans la relation client -

entreprise de service : une application au secteur bancaire français, Doctorat en
Gestion, Paris 9, 2000.
DIOP M.,
- La sécurisation du marché des services de paiement, Doctorat de Droit, Université

Lille II, 2015.
DUDEZERT F.,
- De l’existence d’un principe de confiance légitime en droit privé, Doctorat de Droit,

Université de La Rochelle, 2016.
DWYER N.,
- Traces of digital trust : an interactive design perspective, Université de Victoria,

2011.
MOHTY O.,
- L’information du consommateur et le commerce électronique, Doctorat de droit,

Université de Rennes, 2017.
ZWOLINSKA M.,
- Sécurité et libertés fondamentales des communications électroniques en droit

français, européen et international, Doctorat de Droit, Université Nice Sophia
Antipolis, 2015.
Page 262 sur 317

III – COMMUNICATIONS, ETUDES ET
RAPPORTS
COMMUNICATIONS DE LA COMMISSION EUROPEENE
Communication de la Commission au Parlement européen, au Conseil, au Comité

économique et social européen et au Comité des régions relative à une Stratégie
Numérique pour l’Europe du 26 Aout 2010.

économique et social européen et au Comité des régions concernant une stratégie pour
un marché unique numérique en Europe du 6 mai 2015.

économique et social européen et au Comité des régions sur une stratégie en matière
de paiements de détail pour l’UE du 24 septembre 2019.
Communication de la Commission européenne relative à son plan d'action pour une

politique globale de l'Union en matière de prévention du blanchiment de capitaux et
du financement du terrorisme du 7 mai 2020.
Communication de la commission au Parlement européen, au Conseil, au Comité

économique et social européen et au Comité des régions sur une stratégie en matière
de paiements de détail pour l’UE du 24 septembre 2020.
Communication de la Commission au Parlement européen, au conseil, au Comité́

économique et social européen et au Comité des régions relative à un plan d’action en
matière d’éducation numérique 2021-2027 du 30 septembre 2020.
RAPPORTS D’INFORMATION
BIGOT J. et JOISSAINS S., « Rapport d'information n° 613 (2019-2020) -

Cybercriminalité : un défi à relever aux niveaux national et européen », 2020
Page 263 sur 317

BIRRAUX C et LE DEAUT J-Y., « Rapport n° 286 - L’innovation à l’épreuve des
peurs et des risques - fait au nom de l'Office parlementaire d'évaluation des choix
scientifiques et technologiques, 2012.
LANDEAU P., « Les cryptomonnaies », 2018.
LECERF J-R, « Rapport d’information sur la nouvelle génération de documents

d’identité et la fraude documentaire », 2005
MINC A et NORA S., « Rapport sur l'informatisation de la société », réalisé à la

demande du Président Valéry Giscard d'Estaing, 1977.
VALL R., « Rapport d’information « L'illectronisme ne disparaîtra pas d'un coup de

tablette magique !” fait au nom de la mission d’information contre l’illectronisme et
pour l’inclusion numérique », 2020.
ENQUETES ET ETUDES
ACPR
- « Étude concernant les nouvelles technologies de la banque à distance : quelles

conséquences pour les établissements financiers et leurs autorités de contrôle
? », site internet de l’ACPR, 1999.
- « Étude sur la révolution numérique dans le secteur bancaire Français », site

internet de l’ACPR, 2018.
- « Étude sur la révolution numérique dans le secteur bancaire Français », site

internet de l’ACPR, 2022.
ACSEL, « Baromètre de la confiance numérique », site internet Harris Interactive,

2017.
Page 264 sur 317

ARCEP, « Baromètre du numérique 2019 », site internet de l’ARCEP, 2019.
AUTORITE DE LA CONCURRENCE, « Étude concernant les nouvelles

technologies de la banque à distance : quelles conséquences pour les établissements
financiers et leurs autorités de contrôle ? », site internet de l’Autorité de la
concurrence, 2021.
CSA ET HADOPI, « Étude sur les assistants vocaux et enceintes connectée », site
internet du CSA, 2019.
DEFENSEUR DES DROITS, « Dématérialisation et inégalités d'accès aux services

publics”, site internet du Défenseur des droits, 2019.
EMMAUS CONNECT, « Rapport d’activité de l’association Emmaüs Connect », site

internet d’Emmaüs Connect, 2020.
FBF ET IFOP, « « Les Français, leur banque, leurs attentes », Site internet de l’IFOP,
site internet de l’IFOP, 2021.
INTERNET SOCIETY ET OPINION WAY., « Opinion Way et Internet society,

« Sondage OpinionWay pour l‘Internet Society France : 7 français sur 10 ne lisent pas
ou rarement les CGU », site internet de l’Internet Society, 2018.
IFOP, « Comment les enceintes intelligentes peuvent être un « game changer » pour
les marques ? », site internet de l’IFOP, 2019.
INSEE
- « Une personne sur six n’utilise pas Internet, plus d’un usager sur trois
manques de compétences numériques de base - Insee Première - 1780 », site
internet de l’INSEE, 2019.
- « 800 000 habitants en situation d’illectronisme en hauts de France », site

internet de l’INSEE, 2020.
HCJP
- « Rapport sur le secret bancaire, site internet du HCJP, 2020.
- « Rapport sur l’assurabilité du risque cyber », site internet du HCJP, 2022.
OSMP, « Rapports d’activité 2020 », site internet de l’OSMP, 2021
Page 265 sur 317

IV – ARTICLES ET CHRONIQUES
ACHILLEAS P. et BINET L.,
- « Un an de régulation du marché des communications électroniques »,

Communication Commerce électronique n° 5, Mai 2019, chron. 7.
AGOSTI P. ET CAPRIOLI E.,
- « Cryptomonnaies : vers une souveraineté monétaire digitale ? », Banque et

Stratégie n°400, 2021.
ALFER A. ET MATHIAS G.,
- « Quel délégué à la protection des données (DPO) faut-il à votre entité ? », Revue
Banque n°824, 2018.
ALIX T., TRINCKVEL A.,
- « La relation client en question », Revue Banque n°603, 1999.
ALT E.,
- De nouvelles protections pour les lanceurs d'alerte - À propos de la loi n° 2016-1691

du 9 décembre 2016 », JCP Gn° 4, 23 Janvier 2017, doctr. 90.
ARCELIN L.,
- « La redondance informative ou le bon sens oublié », Contrats concurrence

consommation n° 5 étude 9, 2011.
AUBERT DE VINCELLES C.,
- « Droit européen des contrats - Chronique de droit européen des contrats

(1er janvier – 31 décembre 2018) », Contrats Concurrence Consommation n° 5,
Mai 2019, chron. 3.
AUTIER E.,
- « Numérique - Statistiques - Combattre l'illectronisme ! », JA 2019, n°609, p.10.
Page 266 sur 317

BABINET G.,
- « Histoire de la révolution digitale », Refondre les politiques publiques avec le

numérique, pages 7 à 14, 2020.
BANCK A.,
- « Neuf idées préconçues sur le Règlement européen relatif à la protection des

données », Revue Banque n°810, 2017.
- « Les impacts du RGPD sur le profilage », Banque & Stratégie n°360,2017.
BASDEVANT A., MIGNARD J. P.,
- « Big Data et intelligence artificielle Les algorithmes deviennent les nouveaux

oracles », Banque & Droit n°HS-2018-2, 2018.
BEAU T. COSSART S. ET LUBRANI A.,
- « Extension du domaine de la vigilance, la Loi sur le devoir de vigilance, au-delà de

la compliance » , Revue des Juristes de Sciences Po n°16, 2019.
BENEZECH L.,
- « La prééminence des droits fondamentaux en droit bancaire et financier Aperçu

général de la fondamentalisation », Revue de Droit bancaire et financier n° 6,
Novembre 2018, dossier 36.
BENOIS F-R.,
- « Le name and shame », Revues des Juristes de Sciences Po n° 20, Février 2021,
21.
BERGALA L.,
- «15 % d’agences en moins en 2022 », Revue Banque, N°842, 2020.
BERGE J-S. et LE METAYER D.,
- « Phénomènes de masse et droit des données », Communication Commerce

électronique n° 12, Décembre 2018, étude 20.
BERNELIN M.,
Page 267 sur 317

- « La patrimonialisation des données personnelles : entre représentation(s) et
réalité(s) juridiques » , JCP G n° 46, 11 Novembre 2019, doctr. 1172.
BERNHEIM-DESVAUX S.,
- « La négligence grave de la victime d'un phishing en matière de carte bancaire est

retenue », Contrats Concurrence Consommation n° 6, Juin 2018, comm. 121.
- « Condamnation de Facebook pour 430 clauses abusives et illicites figurant dans les
conditions générales d'utilisation du réseau social », Contrats Concurrence
Consommation n° 6, Juin 2019, comm. 113.
BEZIADE C. et ASSAYAG S.,
- « L’impact du numérique sur les métiers de la banque », Observatoire des métiers

de la banque, 2014.
BLANC P.,
- « L’IA et les banques, entre foisonnement et interrogations », Revue Banque n°825,

2018.
BONNEAU J-C.,
- « Réglementation FATCA : droit fondamental à l'effacement des données

irrégulièrement transmises », JCP G n° 21-22, 27 Mai 2019, 582.
BONNEAU T.,
- « L'accès aux données bancaires au regard du respect de la vie privée », Revue de

Droit bancaire et financier n° 6, Novembre 2018, dossier 39.
- « La bonne foi du client peut-elle avoir une incidence sur l’appréciation de la

négligence grave reprochée à la victime d’opérations de paiement non autorisées
? », Banque et droit, n°194, 2020.
BONTEMS C et HUYSSEN J-C.,
- "DSP2 : entre continuité et innovation", Banque et droit Hors série n°2016-1, 2016.
BORDAS F. ET MAOUCHE S.,
Page 268 sur 317

- « Devoirs professionnels des établissements de crédit. Secret bancaire –
Généralités”, J. Cl Banque-credit-bourse, Fasc.141, 2021.
- « Devoirs professionnels des établissements de crédit - secret bancaire – Personnes

et organismes auxquels le secret professionnel est inopposable– Personnes
publiques », J. Cl Banque - Crédit – Bourse, Fasc. 141-5, 2021.
BOSCO D.,
- « Une troisième amende colossale pour Google en 2 ans », Contrats Concurrence

Consommation n° 6, Juin 2019, comm. 106.
BOUCARD F.,
- « Les devoirs généraux du banquier”, J. Cl. Commercial, fasc. 343, 2002.
BOUHARCHICH F. ET COMBEAUD S. L.,
- « Lutte contre le blanchiment de capitaux et le financement du terrorisme –

Directives européennes (UE) 2015/849 et (UE) 2018/843 ainsi que leur
transposition en droit français », J. Cl Banque Crédit Bourse, Fasc. 343-1, 2021.
- « Lutte contre le blanchiment de capitaux et le financement du terrorisme –

Directives européennes (UE) 2015/849 et (UE) 2018/843 ainsi que leur
transposition en droit français », J. Cl Banque Crédit Bourse, Fasc. 1605, 2021.
BOUNIE D, DIE N ET VERDIER M
- « La Chine à l’avant-garde des MNBC de détail », Revue Banque n°854, 2021.
BOURGEOIS M.,
- « L'irrésistible ascension de la biométrie : aspects juridiques », Revue pratique de

la prospective et de l'innovation n° 1, Mai 2020, dossier 3.
BOURGEOIS M ET THIBIERGE L.,
- « Chronique de droit de la donnée », JCP E n° 26, 1er Juillet 2021, 1331.
BOURSIER M-E.,
- « L'encadrement renforcé des prestataires de services sur actifs numériques en

matière de LCB-FT », JCP N n° 4, 29 Janvier 2021, act. 175.
Page 269 sur 317

BOUTEILLER P.,
- « Le nouveau cadre juridique des relations entre les banques et leurs clients »,
Contrats Concurrence Consommation n° 3, Mars 2002, chronique 5.
- « La mise en œuvre des nouvelles relations entre les banques et leurs clients », JCP
E n° 9, 27 Février 2003, 312.
- « La transposition en droit français des dispositions européennes régissant la

fourniture de services de paiement et portant création des établissements de
paiement », JCP E n° 39, 24 Septembre 2009, 1897.
- « Service de dépôt de fonds, de domiciliation, d'encaissement et de recouvrement »,

J.Cl Banque - Crédit - Bourse, Fasc. 900, 2016.
- « Cartes de paiement. Cartes de crédit », J. Cl. Banque - Crédit - Bourse, Fasc. 930,
2019.
BOYER S.,
- « Tiers et technologie au service d'une confiance renouvelée », Dalloz IP/IT 2020

n°2. 99, 2020.
CABON S-M.,
- « L'influence du cyber espace sur la criminalité économique et financière », Droit

pénal n° 3, Mars 2018, étude 5.
CAFFARD C.,
- « Nous avons inventé le cash nominatif », Banque et Stratégie n°373, 2018.
CAHEN P.,
- « Les signaux faibles pour préparer le futur », Revue pratique de la prospective et

de l'innovation n° 1, Octobre 2016, dossier 3.
CAMPI M.,
- « Deux stratégies d’open banking sont possibles pour les banques », Revue Banque
n°837,2019.
CAPRIOLI E.,
Page 270 sur 317

- « Absence de présomption de faute lourde de la part du porteur en cas d'utilisation
frauduleuse d'une carte bancaire avec composition du code confidentiel”, Revue de
Droit bancaire et financier n° 4, Juillet 2008, comm. 122.
- « La blockchain ou la confiance dans une technologie », JCP G n°23 pages 1162-

1163, 2016.
- « Manquement à l'obligation d'information lors du déploiement du système

« 3D Secure », Communication Commerce électronique n° 1, Janvier 2016, comm.
9.
- « Quand l'assurance ne couvre pas tous les risques numériques », Communication

Commerce électronique n° 9, Septembre 2016, comm. 77.
- « Une usurpation d'identité sanctionnée en référé », Communication Commerce

électronique n° 12, Décembre 2016, comm. 105.
- « Profilage et algorithmes dans la banque Brèves réflexions juridique », Banque &

Droit n°HS-2017-1, 2017.
- « La négligence grave du client ne l'empêche pas d'engager la responsabilité

contractuelle de sa banque », Communication Commerce électronique n° 9,
Septembre 2017, comm. 77.
- « La preuve de la négligence de l'utilisateur d'un service de paiement incombe à

la banque », Communication Commerce électronique n° 4, Avril 2017, comm. 39.
- « Validité de la signature scannée sur un acte de prêt », Communication Commerce

électronique n° 12, Décembre 2017, comm. 102.
- « RGPD : le profilage dans le droit et la pratique », Banque & Droit n°HS-2018-2,

2018.
- « Lettre recommandée électronique », Communication Commerce électronique n°

7-8, Juillet 2018, comm. 60.
- « Charge de la preuve et signature électronique d'un contrat de crédit à la

consommation : errances jurisprudentielles », Communication Commerce
électronique n° 10, Octobre 2018, comm. 78.
Page 271 sur 317

- « Identité numérique : les enjeux pour les banques et les entreprises », Banque et
CAPRIOLI E. et AGOSTI P.,
- « Digitalisation des services financiers : quels changements ? », Revue Banque

n°814, 2017.
CAPRIOLI E. et CANTERO I.,
- « Nouveaux concepts du RGPD : quels enjeux juridiques ? », Banque & Stratégie

n°360, 2017.
CASSON P.,
- « Les spécificités réglementaires de la relation banque-client sont-elles durables ? »,

Revue Banque n°640, 2004.
CASSON P ET TOUFFLET J.,
- “Compte bancaire. Généralités. Compte de dépôt », J. Cl. Banque-Crédit-Bourse,

Fasc. 200, 2021.
CATHELINEAU A.,
- « Droit à réparation – Responsabilité du fait des choses – Principe général », J. Cl

Responsabilité civile et Assurances, Fasc. 150-1, 2013.
CAZENEUVE B.,
- « La compliance, facteur de protection et de compétitivité des entreprises

françaises », Revues des Juristes de Sciences Po n° 16, 2019.
CERUZZI P. E.,
- « Aux origines américaines de l'Internet : projets militaires, intérêts commerciaux,

désirs de communauté », Le Temps des médias 2012/1 n° 18, pages 15 à 28, 2012.
CHAPTAL S.,
- « Quand la relation passe en 2.0 », Revue Banque n°728, 2010.
CHATELLIER-CHAMOULAND A.,
Page 272 sur 317

- « Avantages et difficultés lors de la mise en œuvre du RGPD », Banque et droit
n°HS-2019-1, 2019.
CHAUVEL P.,
- « Vices du consentement », J. Cl Contrats – Distribution, Fasc. 45, 2021.
CHELLY D. et NOUIRI S.,
- « L’impact du RGDP pour les assureurs et les banquiers », Banque et Stratégie n°

358, 2017.
CHUILON CROLL J. ET MELIK PARSADANIANTZ R-M.,
- « Réputation et compliance, quels enjeux ? », Revues des Juristes de Sciences Po n°

16,2019.
CONSTANS E.,
- « Les progrès de la relation banques-consommateurs », Revue Banque n°662, 2004.
COULOMBAN A ET GARIN M.,
- « La confiance : levier essentiel pour la transformation numérique », Banque et

CROZE H.,
- « L'usage d'une technologie : un droit, pas une obligation », Procédures n° 3, Mars

2019, repère 3.
CSILLIK A. ET FENOUILLET F.,
- « Chapitre 13. Edward Deci, Richard Ryan et la théorie de l’autodétermination »,

Philippe Carré éd., Psychologies pour la formation. Dunod, 2019, pp. 223-240.
D’ASSIGNIES R.,
- « Dématérialisation : la confrontation des modèles de confiance », Revue Expertises

des systèmes d’information numéro 427 pages 300-305, 2017.
DAURY FAUVEAU M.,
Page 273 sur 317

- « Atteintes aux systèmes de traitement automatisé de données. – Code pénal, articles
323-1 à 323-8 », J. Cl Pénal, Fasc. 20, 2021.
DAUVERGNE G.,
- « La banque, la CNIL et le RGPD : des affinités électives », Revue Banque n°827,

2019.
- « Le plan de la France pour mettre fin au paiement par SMS », Revue Banque n°836,
2019.
DEBET A.,
- « Affaire Google Street View : une sanction exemplaire..., mais quelles suites ? »,
Communication Commerce électronique n° 1, Janvier 2012, étude 1.
- « L'ICO, autorité de protection des données anglaise, prononce une sanction de

500 000 livres à l'encontre de Facebook dans l'affaire Cambridge Analytica »,
Communication Commerce électronique n° 12, Décembre 2018, comm. 9.
- « Quelle législation pour la protection des données aux États-Unis (1re partie) ? » ,
Communication Commerce électronique n° 5, Mai 2019, comm. 36.
DE BONY C-E.,
- « Authentification forte, un outil puissant mais difficile à mettre en œuvre ? »,

Revue Banque n°842, 2020.
DEJEAN DE LA BATIE A.,
- « Lanceurs d’alerte », J. Cl Communication, Fasc18-50, 2021.
DELEBECQUE P.,
- Modalités de la réparation. – Règles particulières à la responsabilité contractuelle.

– Conventions relatives à la responsabilité”, J. Cl Contrats – Distribution, Fasc.
115, 2018.
DE LEUSSE J-F.,
- « Pour une agence, nouveau carrefour de la relation client », Revue Banque n°634,
2004.
Page 274 sur 317

DEMPURE F.,
- « Comment gérer les mots de passe ? », JCP G n° 18, 6 Mai 2019, 499
DESGENS-PASANAU G.,
- « Informatique et libertés publiques - Nouvelles lignes directrices de la CNIL sur

les cookies et autres traceurs Un coup d'épée dans l'eau ? » , JCP G n° 40, 30
septembre 2019, 968
DE RAVEL D’ESCLAPON T.,
- « Le renforcement de la protection des informations intéressant l'utilisateur de

services de paiement », Revue de Droit bancaire et financier n° 2, Mars 2018,
dossier 8
- « Transparence et intelligence artificielle – Libres propos en droit bancaire ? »,

Banque et droit n°192, 2020
- « La gouvernance des algorithmes dans le secteur financier - Le point de vue de

l'ACPR », Revue de Droit bancaire et financier n° 4, Juillet 2020, étude 12
- « Analyse prospective du paiement par reconnaissance faciale », Revue de Droit

bancaire et financier n° 4, Juillet 2021, étude 10
DE VAUPLANE H.,
- « Quand les robots remplaceront les juges… », Revue Banque n° 809, 2017
- « L’environnement réglementaire des FinTechs au sein de l’Union européenne »,

Banque et Stratégie n°373, 2018
- « Les défis juridiques du Libra et plus généralement des cryptomonnaies », Revue

de Droit bancaire et financier n° 1, Janvier 2020, étude 2
DOUVILLE T.,
- « Le Règlement européen sur l'identification électronique et les services de

confiance (eIDAS) », JCP E n° 1, 5 Janvier 2017, 1005
- « Cybersécurité : transposition de la directive NIS, ses limites et ses conséquences »,

JCP E n° 15-16, 12 Avril 2018, act. 284
Page 275 sur 317

- « Le Règlement européen sur la cybersécurité », JCP E n° 25, 20 Juin 2019, act.
408
- « Blockchains et droit international privé : état sommaire des questions », Revue de

droit international d'Assas n° 2, Décembre 2019, 19
- « La dématérialisation des relations contractuelles dans le secteur financier - À

propos de l'ordonnance n° 2017-1433 du 4 octobre 2017 », JCP E n° 43-44, 26
Octobre 2017, act. 765
DOUVILLE T. et VERBIEST T.,
- « Blockchain et tiers de confiance : incompatibilité ou complémentarité ? », Recueil

Dalloz 2018 p.1144
DREYFUS N.,
- « Assurer le risque cyber : une opportunité pour la défense des marques en ligne ? »,
Communication Commerce électronique n° 5, Mai 2019, étude 11
DUFOUR A. ET GHERNAOUTI-HELIE S.,
- « Des origines aux réalités de l'Internet », Internet, Presses Universitaires de

France, 2012, pp. 7-35.
DUFOUR N. et SIMMONET C.,
- « La protection de la clientèle, un défi pour les entreprises », Harvard Business

Review, 2017
ELIDRISSI A.,
- « Les sites Web bancaires. Un outil de communication et de distribution au service

du client », La Revue des Sciences de Gestion, vol. 214-215, no. 4-5, page 165-176,
2005.
ERCEAU C. LIEB J-P. ET VAIL M.
- « Lutte contre la fraude - La nouvelle relation de confiance : une recherche

d'équilibre entre la Loi ESSOC et la Loi de lutte contre la fraude », JCP E n° 17-18,
25 Avril 2019, 1223
Page 276 sur 317

EYNARD J.,
- « Une application systématique du RGPD ? », JT 2018, n°207, p.19
FALGERAS V. ET PORLOUIS N.,
- « De nouveaux outils pour gérer la relation client », Revue Banque n°605, 2004
FALQUE PIERROTIN I.,
- « Protection des données en Europe : « Un changement de culture » », Banque et

droit n° HS-2017-1, 2017
FRANCOU R. et KAPLAN D.,
- « Nouvelles approches de la confiance numérique », FING, 2011
FEUGERE W.,
- « La protection des lanceurs d'alerte, un enjeu sociétal », Cahiers de droit de

l'entreprise n° 3, Mai 2019, éditorial 3
FERAL-SCHUL C.,
- « Les changements issus du RGDP », Banque & Stratégie n°360, 2017
FOLLY K. A.,
- « Tirer profit de l'industrie de la data », Revue Banque n° 810, 2017
FONTAINE M.,
- « La protection des données », JCP N n° 1, 4 Janvier 2019, 1003
FRETIN F.,
- « Repenser la relation client : le conseiller bancaire, futur pivot de la transformation

bancaire ? », Revue Banque n°857, 2021
GAILLARD E.,
- « Principe de précaution – Systèmes juridiques internationaux et européens », J. Cl.

Environnement et Développement durable, Fasc.415, 2019
GANASCIA J. G.,
Page 277 sur 317

- « Désormais des machines passent le test de Turing », Intelligence artificielle 2017,
pages 25 à 29, 2017
GARBEY G.,
- « Les banques ne sont pas encore prêtes pour le cloud » , Banque et Stratégie n°376,
2019.
GARDON D.,
- « Naissance de l’informatique », Culture numérique (2019), pages 18 à 26, 2019
GARDOU C.,
- « Blaise Pascal, de l'éternel malade au prodige de la pensée », Reliance 2006/2 (no

20), pages 101 à 110, 2006
GATFAOUI S.,
- « Le cas d'une banque mutualiste : les mécanismes de la confiance », Congrès

international de l’AFM, 2003
GIRARDIN R. et GRISON C.,
- « Les techniques de vente et de promotion des produits et services bancaires »,

Contrats Concurrence Consommation n° 12, Décembre 2004, étude 18
GOBALAKICHENIN S.,
- « Quel dispositif de contrôle interne pour les nouveaux acteurs du paiement ? »,

Revue Banque n°824, 2018
GONZALEZ A. et JOUVE E.,
- « Minitel : histoire du réseau télématique français », Flux 2002/1 n° 47, pages 84 à

89, 2002
GRIGUER M et SCEMAMA D.,
- « Les règles de sécurité prévues par la directive sur les services de paiement dans le
marché intérieur (DSP2) », Cahiers de droit de l'entreprise n° 5, Septembre 2020,
prat. 25
HARDOUIN S.,
Page 278 sur 317

- « Justice - La transformation numérique au service de la Justice », JCP G n° 50, 10
Décembre 2018, doctr. 1321, 2018
INN P. ET MOYSAN Y.,
- « Agence bancaire de demain : quelle place pour l'humain ? », Revue Banque n°827,
2018
JANSON N.,
- « Les stablecoins : un électrochoc pour les banques centrales », Banque et Stratégie

n°400, 2021
JOUFFIN E.,
- « Régulation et conformité : Projet de Loi Informatique et Libertés II – Le bateau

ivre », Banque & Droit n°177, 2018
- « Recommandations de l’ABE en matière de cloud computing – Un texte mort-né

? », Banque et droit n°181, 2018
JOURDAIN P.,
- « Droit à réparation - Responsabilité fondée sur la faute

– Responsabilité du fait personnel », J. Cl Civil Code, Fasc. 123, 2020
JOVENE J.,
- « Blockchain : intérêt, implications et limites », Revue Banque n°824, 2018
KLEINER C.,
- « Aspects juridiques internationaux -Réflexion renouvelée en raison des

« cryptomonnaies », Revue de Droit bancaire et financier n° 4, Juillet 2019, dossier
34
KOLIFRATH G.,
- « Les données à l’épreuve de la DSP 2 et du RGPD », Banque et droit n°HS-2019-

1, 2019
KOVAR J-P ET LASSERRE CAPDEVILLE J.,
Page 279 sur 317

- « Première banque sanctionnée pour des manquements liés au RGPD », Revue
Banque n°851, 2020
LACROIX DE SOUSA S.,
- « Le renouveau technologique du dispositif Know Your Customer », Revue de Droit

bancaire et financier n° 6, Novembre 2020, étude 17
LAFRENIERE M-A, VALLERAND R, CARBONNEAU N.,
- « La théorie de l’autodétermination et le modèle hiérarchique de la motivation

intrinsèque et extrinsèque : perspectives intégratives [1] », Philippe Carré
éd., Traité de psychologie de la motivation. Théories et pratiques. Paris, Dunod,
« Psycho Sup », 2009, p. 47-66.
LANCRI M.,
- « La protection du lanceur d’alerte », Cahiers de droit de l'entreprise n° 1, Janvier

2018, dossier 1
LASSALLE M.,
- « La réparation des atteintes au droit à l'autodétermination informationnelle »,

Communication Commerce électronique n° 2, Février 2021, étude 4
LASSERRE CAPDEVILLE J.,
- « Nouvelle réforme des services de paiement : la « DSP 2 » est transposée. À propos

de l'ordonnance n° 2017-1252 du 9 août 2017 », JCP Gn° 37, 11 Septembre 2017,
923
- « Le secret bancaire face au droit de la preuve », Revue de Droit bancaire et

financier n° 6, Novembre 2018, dossier 40
- « Quels risques avec le service d'initiation de paiement ? », Revue de Droit bancaire

et financier n° 3, Mai 2019, dossier 29
- « Les exceptions à la future obligation d'authentification forte », JCP E n° 36, 5

Septembre 2019, 1410
- « Opérations de paiement à distance : le report de l'authentification forte », JCP E

n° 42, 17 Octobre 2019, act. 666.
Page 280 sur 317

-
- « L'encadrement juridique du virement instantané », Revue de Droit bancaire et

financier n° 1, Janvier 2020, étude 1
- « Banque - Renforcement réglementaire du droit régissant les « clients fragiles » ,

JCP G n° 36, 31 Août 2020, 954
- « Où en sommes-nous de l'entrée en vigueur des dispositions nouvelles relatives à

l'authentification forte ? », JCP E n° 36, 3 Septembre 2020, 567
- ”Quelques enseignements résultant du rapport de l'Observatoire de la sécurité des

moyens de paiement pour l'année 2019 », JCP E n° 42, 15 Octobre 2020, act. 696
- « Rapport du HCJP sur le secret bancaire : présentation et réflexions personnelles »,

JCP E n° 49, 3 Décembre 2020, 1509
- « Utilisation frauduleuse d’une mention à connotation bancaire : Précision de

l’ACPR à l’égard de l’expression « néobanque », Banque et droit n°197, 2021
- « Vaccin, crédit immobilier et « fake news » : le mélange inquiétant”, Revue de

Droit bancaire et financier n° 5, Septembre 2021, alerte 123
LE BLANC B.,
- « Alan Turing : les machines à calculer et l'intelligence », Hermès, La Revue

2014/1, pages 123 à 126, 2014
LECOURT A.,
- « La lutte contre la fraude à l'ère du numérique », Dalloz IP/IT 2019. 60
LEBOUCHER S.,
- « Les FinTechs s'inquiètent des API », Revue Banque n°809, 2017
- « Une relation client schizophrène », Revue Banque n°722, 2010
LEGEAIS Dominique,
- « Open Banking : menace ou opportunité pour les banques ?”, Revue de Droit
bancaire et financier n° 5, Septembre 2017, repère 5
Page 281 sur 317

- « Appréciation du manquement par négligence grave d'une victime d'un acte de
phishing », JCP E n° 50, 14 Décembre 2017, 1685
- « Développement et potentialités des crypto-monnaies », JCP E n° 29, 19 Juillet

2018, 583
- « Actifs numériques et prestataires sur actifs numériques », J. Cl. Commercial, Fasc.

535, 2019
LE GOFFIC C.,
- « Dénigrement », J. CL Concurrence Consommation, Fasc.210, 2021
LESSI J.,
- « Un nouveau chapitre de la protection des données », JCP G n° 19, 13 Mai 2019,

503
LETOURNEAU P.,
- « Contrats du numérique », Dalloz Référence, Chapitre 11, édition 2021
LOISEAU G.,
- « Fraude à la carte bancaire sur internet : une synthèse », Communication

Commerce électronique n° 5, Mai 2018, comm. 34
- « Twittez, vous êtes consommateurs », Communication Commerce électronique n°

10, Octobre 2018, comm. 74
LUHMANN N.,
- « Confiance et familiarité. Problèmes et alternatives », Réseaux, vol. no 108, no. 4,

2001, pp. 15-35.
MAGNER MERRAN K.,
- « Circulation des données bancaires - Le banquier entre partage obligé et transfert

sous contrôle », Revue de Droit bancaire et financier n° 5, Septembre 2020, dossier
30
MARTIAL-BRAZ N.,
Page 282 sur 317

- « Droit de la protection des données à caractère personnel issu de l'ordonnance n°
2018-1125 du 12 décembre 2018 », JCP G n° 1-2, 14 Janvier 2019, 5
- « L'apport de l'intelligence artificielle à la banque - Enjeux et contraintes en matière

de données à caractère personnel », Revue de Droit bancaire et financier n° 6,
Novembre 2019, dossier 53
MARTIN A.,
- « Fluidifier l'expérience en ligne, un enjeu critique pour l'activité économique »,

Revue Banque n° 849, 2020
MARTUCCI F.,
- « Union monétaire », J. Cl Europe Traité, Fasc.1035,,2020,
MARZANO M.,
- « Qu'est-ce que la confiance ? », Études, vol. tome 412, no. 1, 2010, pp. 53-63.
MATHIAS G. et ALFER A.,
- « Les objets connectés à travers le prisme du RGPD », Banque & Droit n°HS-2018-
2, 2018
MATHEY N.,
- « La portée du devoir de vigilance”, Revue de Droit bancaire et financier n° 5,

Septembre 2013, dossier 48
MATHEY N. ET VANDEN BOSCH M.,
- « La directive sur les services de paiement », Revue de Droit bancaire et financier

n° 4, Juillet 2007, dossier 19
MATHIOS F.,
- « Le phishing bientôt saisi par la loi ?», Communication Commerce électronique n°

9, Septembre 2009, alerte 111
MAYMONT A.,
- « Le droit bancaire et financier à la lumière des droits fondamentaux », Revue de

Droit bancaire et financier n° 6, Novembre 2018, dossier 37
Page 283 sur 317

- « La liberté contractuelle du banquier : un droit fondamental ? », Revue de Droit
bancaire et financier n° 6, Novembre 2018, dossier 37
MENCARELLI R. ET RIVIERE A.,
- « La participation du client dans un contexte de self-service technologies. Une

approche par la valeur perçue”, Revue française de gestion 2014/4 n° 241, pages 13
à 30, 2014
MEURIS GUERRERO F.,
- « Quand l'enfance et l'adolescence naviguent sur Internet » , Communication

Commerce électronique n° 6, Juin 2019, alerte 51
- « Des fausses nouvelles bien difficiles à cerner », Communication Commerce

électronique n° 12, Décembre 2018, alerte 97
MIGNON E.,
- « Le Cloud Act ou l'impuissance européenne démasquée », Revues des Juristes de

Sciences Po n° 16, Janvier 2019, 16
MOLY F.,
- « Protection des intérêts clients à l’ère digitale : quels traitements de données ? Une
illustration par le cas du profilage », Revue Banque n°812, 2017
MOREL-MAROGER Juliette.,
- « L'apport des FinTechs au droit bancaire : les nouveaux risques - La protection de

la vie privée et des données personnelles de l'usager du secteur bancaire », Revue de
Droit bancaire et financier n° 1, Janvier 2017, dossier 8
MORIO C.,
- « Quelle place pour l'administré dans l'administration augmentée ? », JCP A n° 50,

17 Décembre 2018, 2341
MOUY S.,
- « Identité numérique et règles LCB-FT : une délicate conciliation », Revue Banque

n°836, 2019
Page 284 sur 317

- « Le KYC partagé, bientôt une réalité ? », Banque et Stratégie n°388, 2020
- « L’identité numérique au carrefour des modèles ? », Revue Banque n°845, 2020
- « Enfin une stratégie européenne de finance numérique centrée sur l’identité ! »,

Revue Banque n°849,2020
- « Le dispositif français de vérification d’identité à distance : entre réglementation

européenne et spécifications techniques nationales », Revue Banque n °855, 2021
- « Nouvelle donne annoncée dans les relations clients digitales », Revue Banque,
n°860, 2021
- « Wallets d’identité numérique : Apple en pole position aux Etats-Unis », Revue

Banque n°862, 2021
NACCARATO M.,
- « Partie I : la juridicité de la confiance dans le contexte des contrats de services de

conseils financiers et de gestion de portefeuille », Revue générale de droit Volume
39, numéro 2, 2009
NERI A.,
- « Internet - Le développement de l'économie numérique : une ambition

européenne », JCP G n° 12, 25 Mars 2019, 301
PARLEANI G. et ROUAUD A.,
- « Digitalisation des banques - Impact de la digitalisation sur la relation contractuelle

– L'entrée en relation », Revue de Droit bancaire et financier n° 6, Novembre 2019,
dossier 51
PERRAY R.,
- « Données à caractère personnel – Principes fondamentaux relatifs aux traitements

de données à caractère personnel. Loyauté, licéité et transparence », J. Cl
Communication, Fasc.932-10, 2020
- « Données à caractère personnel. Principes fondamentaux relatifs aux traitements

de données à caractère personnel. Exactitude », J. Cl. Communication, Fasc. 932-
40, 2020
Page 285 sur 317

- « L'intérêt légitime, une base légale du RGPD pas vraiment comme les autres »,
Communication Commerce électronique n° 6, Juin 2021, étude 11
PIEDELIEVRE S.,
- « Les nouvelles relations contractuelles entre les banquiers et les consommateurs »,

JCP E n° 30, 28 Juillet 2005, 1134
POLROT S.,
- « La régulation LCB-FT face à l'émergence des cryptomonnaies », Revue

Internationale de la Compliance et de l'Éthique des Affaires n° 1, Février 2020,
étude 38
PONSOT J-F.,
- « Monnaies numériques, confiance et souveraineté », Banque et Stratégie n°400,

2021
PONTIER J-M.,
- « Lutte contre l’illectronisme ? », AJDA 2020. 2225
POUZIN L.,
- « Le projet Cyclades (1972-1977) », Entreprises et histoire, vol. 29, no. 1, pages

33-40, 2002
PREVOST S. et SIRINELLI P.,
- « Être ou ne pas être », Dalloz IP/IT 2020. 393
RADE C.,
- « Droit à réparation – Responsabilité du fait d'autrui. – Principe général”, J. Cl Civil

Code, Fasc.140, 2020
RAYMOND G.,
- « Contrats conclus à distance », J. Cl Concurrence Consommation, Fasc.904,2021
RENARD I.,
Page 286 sur 317

- « Fonctionnement de la Blockchain – Compatibilité avec un environnement
réglementé : que peut-on et que doit-on réglementer dans une Blockchain ? », Revue
de Droit bancaire et financier n° 1, Janvier 2017, dossier 3
- « Cybersécurité et Open Banking font-ils bon ménage », Revue de Droit bancaire

et financier n° 5, Septembre 2019, prat. 5
- « Signature électronique : où en sommes-nous, 20 ans après ? », JCP E n° 14, 2

Avril 2020, 233
RODRIGUEZ Karine.,
- « Hameçonnage et preuve de la négligence grave du client du banquier », JCP E n°

21, 24 Mai 2018, 1272
- « Indifférence de la bonne foi dans l'appréciation de la négligence grave du client

qui conteste une opération non autorisée”, Note sous Cass. com., 1er juill. 2020, n°
18-21.487, F-P+B : JurisData, n° 2020-009320, JCP E n° 42, 15 Octobre 2020,
1399
ROGEY E.,
- « Les « fake news » à l'ère de MAR : l'AMF sanctionne une agence de presse pour
diffusion de fausses informations », Revue de Droit bancaire et financier n° 3, Mai
2020, étude 9
ROUSSILLE M.,
- « Ratification de l’ordonnance DSP 2 : entre soulagement et agacement », Banque

et droit n°181, 2018
- « Le secret bancaire entre actualité et archaïsme », Revue de Droit bancaire et

financier n° 6, Novembre 2020, alerte 83
ROZIER G.,
- « ACPR et AMF : publication d'un rapport sur l'application des règles de LCB/FT
au secteur des cryptoactifs dans le cadre du Forum FinTechs ACPR-AMF », Revue
de Droit bancaire et financier n° 6, Novembre 2020, alerte 85
SAMIN T.,
Page 287 sur 317

- « La divulgation d'un dispositif de sécurité personnalisé ne constitue-t-elle pas, per
se, une négligence grave ? », Revue de Droit bancaire et financier n° 6, Novembre
2017, comm. 233
SCEMAMA D.,
- « Décryptage des sanctions de la CNIL à l'encontre de Google et d'Amazon en

matière de traçage publicitaire », Revue Internationale de la Compliance et de
l'Éthique des Affaires n° 1, Février 2021, comm. 54
STORRER P.,
- « Du consentement explicite à l’accès au compte dans la DSP 2 », Revue Banque n°

808, 2017
- « Nouveaux services de paiement : le gestionnaire de compte doit-il vérifier le

consentement de son titulaire lorsqu’’il y donne accès ? », Banque et droit n°181,
2018
- « Sur la Loi de ratification de l’ordonnance de transposition de la DSP 2 », Revue

Banque n°824, 2018
- « Le rendez-vous manqué entre la CJUE et le compte de paiement », Banque et droit

n°182 ,2018.
- « Nouveaux moyens de paiement, banque digitale et protection des données : Lutte

anti-blanchiment : l’avènement de la vérification d’identité au moyen de
l’identification électronique », Banque et droit n°179, 2018
- « La bonne foi du client peut-elle avoir une incidence sur l’appréciation de la

négligence grave reprochée à la victime d’opérations de paiement non autorisées
? », Banque et droit, n°194, 2020
- « À propos du Rapport de la BCE sur un euro numérique », Revue Banque n°856,

2021
- « Le risque informatique fait son entrée dans l’arrêté du 3 novembre 2014 relatif au
contrôle interne », Revue Banque n°855, 2021
- « La négligence grave de l’utilisateur de services de paiement ne se partage pas !”,

Revue Banque n°848, 2021
Page 288 sur 317
SUTTERLIN O.,
- « Le principe de précaution », J. Cl. Environnement et Développement durable,

Synthèse, 2019
TANDEAU DE MARSAC.,
- « Comment réguler les FinTechs ? », Banque et droit n°181, 2018
THEBAULT P. A.,
- « Une approche renouvelée du marketing par l’exploitation des données

personnelles », Revue Banque n°CFPB2018, 2018
THIERRY J-B.,
- « La Loi n° 2019-222 du 23 mars 2019, Loi de réforme pour la justice numérique

? », JCP G n° 19, 13 Mai 2019, doctr. 524
TRAN C.,
- « La CNIL dans l'environnement européen de la protection des données

personnelles : renouveau d'une autorité administrative indépendante », Droit
Administratif n° 1, Janvier 2022, étude 1
UNTERMAIER-KERLEO E.,
- « Les nouveaux visages de la décision administrative : d'une administration assistée

à une administration automatisée », JCP A n° 50, 17 Décembre 2018, 2339
VERBIEST T.,
- « Données personnelles et FinTechs : un mariage de raison », Revue Banque n°810,

2017
VETRIAK N., DUVAL G. et FRENEL C.,
- « Mise en conformité au RGPD : l’état d’avancement des établissements

financiers », Revue Banque n° 819, 2018
WEINBAUM N. et DELAMONIERE M.,
- « Algorithmes en milieu bancaire : une équation à deux inconnues entre propriété et

transparence », Banque et droit n° 176, 2017
Page 289 sur 317
WILSON S.,
- « Quand l’algorithme pêche la donnée personnelle », Banque & Stratégie n°360,

2017
YAN Z. et HOLTMANNS S.,
- « Examining the concepts, Issues, and implication of internet trolling », Chapitre

18: Trust modeling and management from social trust to digital trust, IGI Global,
2008
Page 290 sur 317

V - DECISIONS
ARRETS DE LA COUR DE JUSTICE DE L’UNION EUROPEENE
- CJUE, 5e ch., 22 oct. 2015, aff. C-264/14, Hedqvist
- CJUE, 11 nov. 2020, aff. C-287/19, DenizBank AG c/ Verein für

Konsumenteninformation
- CJUE, 2 sept. 2021, aff. C-337/20, Caisse régionale de Crédit agricole mutuel
(CRCAM) – Alpes-Provence
ARRETS DE LA COUR DE CASSATION
- Cass. com., 23 juin 2004, n° 02-17.789
- Cass. 1re civ., 2 nov. 2005, n° 03-10.909
- Cass. Com, 2 octobre 2007 n° 05-19.89
- Cass. civ. 28 mars 2008 n° 07-10.186
- Cass. com., 21 sept. 2010, n° 09-16.534
- Cass. com., 31 janv. 2012, n° 10-24.175
- Cass. com., 16 oct. 2012, n° 11-19.981
- Cass. com., 24 sept. 2013, n° 12-19.790
- Cass. com., 23 sept. 2014, n° 13-20.874
- Cass. Com., 27 janv. 2015, n° 13-20.088
- Cass. com., 3 mai 2016, n° 14-11.358
- Cass. com. 31 mai 2016, n° 14-29.906
- Cass. com., 18 janv. 2017, n° 15-18.102
Page 291 sur 317

- Cass. com., 31 janv. 2017, n° 15-17.498
- Cass. com., 17 mai 2017, n° 15-28.209
- Cass. com., 29 nov. 2017, n° 16-22.060
- Cass. com., 28 mars 2018, n° 16-20.018
- Cass. com., 24 mai 2018, n° 17-27.969
- Cass. com., 6 juin 2018, no 16-29065
- Cass. com., 4 juill. 2018, n° 17-10.158
- Cass. com., 21 nov. 2018, n° 17-18.888
ARRETS DE LA COUR D’APPEL
- CA Reims, 5 mars 2007, n° 33/9992
- CA Paris, 5-6, 12 janv. 2018, n°16/12983
- CA Chambéry, 2e ch., 18 juin 2020, n° 19/00320
- CA Rouen, ch. de la proximité, 28 janv. 2021, n° 19/04656
- CA Paris, ch. 9, 2 sept. 2021, n° 20/01043
- CA Rouen, ch. de la proximité, 4 mars 2021, n° 20/01275
DECISIONS DE LA CNIL
- Délibération de la CNIL n° 2005-197 du 8 septembre 2005 portant autorisation

de mise en œuvre par la société FINAREF d'un traitement automatisé des
données à caractère personnel ayant pour finalité la prévention du surendettement
par les filiales de crédit à la consommation du groupe Crédit agricole
- Délibération de la CNIL n° 2005-196 du 8 septembre 2005 portant autorisation

de mise en œuvre par la société SOFINCO d'un traitement automatisé de données
à caractère personnel ayant pour finalité la prévention du surendettement par les
filiales de crédit à la consommation du Groupe Crédit Agricole
Page 292 sur 317
- Délibération de la CNIL n° 2011-035 du 17 mars 2011 concernant la société
GOOGLE
- Délibération de la formation restreinte de la CNIL n° SAN-2019-001 du 21

janvier 2019 concernant la société GOOGLE
- Délibération de la formation restreinte n° SAN-2020-008 du 18 novembre 2020

concernant la société CARREFOUR FRANCE
- Délibération de la formation restreinte n° SAN-2020-009 du 18 novembre 2020

concernant la société CARREFOUR BANQUE
- Délibération de la formation restreinte n° SAN-2020-013 du 7 décembre 2020

concernant la société AMAZON EUROPE CORE
- Délibération de la formation restreinte n° SAN-2020-012 du 7 décembre 2020

concernant les sociétés GOOGLE LLC et GOOGLE IRELAND LIMITED
- Délibération de la CNIL n°2021-065 du 3 juin 2021 portant approbation du code

de conduite européen porté par Cloud Infrastructure Service Providers Europe
(CISPE)
DECISIONS DE L’ANSSI
- Décision de l’ANSSI n°1017 du 29 avril 2020 concernant l’Identité numérique

La Poste
- Décision de l’ANSSI n°1226 du 18 mai 2021 concernant FranceConnect
Page 293 sur 317

VI – SITES INTERNET
- Site internet abcnews.go
- THORBECKE C., « Google pledges nearly $30 million to fight online

misinformation, fake news », Abc News, 2021, disponible en ligne à l’adresse
suivante :https://abcnews.go.com/Business/google-pledges-30-million-fund-
fighting-online-misinformation/story?id=76788419, consulté le 11/03/2022.
- Site internet de l’Autorité Bancaire Européenne :
- «News and presse » : https://www.eba.europa.eu/news-press, consulté le

11/03/2022.
- « Single Rulebook Q&A » : https://www.eba.europa.eu/single-rule-book-qa,

- Site internet ABE Info Services :
- - « Paiement sans contact (ou NFC) : Comment ça marche ? », disponible à l’adresse

suivante : https://www.abe-
infoservice.fr/banque/moyens-de-paiement/paiement-sans-contact-ou-nfc-
comment-ca-marche, consulté le 11/03/2022
- Site internet de l’ACPR
- « Conférences et séminaires » :
https://acpr.banque-france.fr/page-sommaire/conferences-et-seminaires, consulté le
11/03/2022
- « Décisions » : https://acpr.banque-france.fr/page-tableau-filtre/decisions, consulté

le 11/03/2022
- « Documents de réflexion » :https://acpr.banque-france.fr/liste-

chronologique/documents-de-reflexion-de-lacpr, consulté le 11/03/2022
- « Études et recherches » : https://acpr.banque-france.fr/page-sommaire/etudes-et-

recherche, consulté le 11/03/2022
Page 294 sur 317

- « Textes de référence » : https://acpr.banque-france.fr/page-sommaire/textes-de-
reference, consulté le 11/03/2022
- Site internet de l’AMF
- « Consultations de l’AMF » : https://www.amf-france.org/fr/actualites-

publications/consultations-de-lamf, consulté le 11/03/2022
- « Rapports annuels et documents institutionnels »: https://www.amf-

france.org/fr/actualites-publications/publications/rapports-annuels-et-documents-
institutionnels, consulté le 11/03/2022
- « Rapports, études et analyses » : https://www.amf-france.org/fr/actualites-

publications/publications/rapports-etudes-et-analyses, consulté le 11/03/2022
- « Sanctions » : https://www.amf-france.org/fr/sanctions-transactions/sanctions-et-
transactions-accueil, consulté le 11/03/2022
- Site internet de l’ANSSI
- « Actualités » : https://www.ssi.gouv.fr, consulté le 11/03/2022
- « Bonnes pratiques » : https://www.ssi.gouv.fr/entreprise/bonnes-pratiques/,

consulté le 11/03/2022
- « Communiqués de presse » : https://www.ssi.gouv.fr/presse/communiques-de-

presse/, consulté le 11/03/2022
- « Formations » : https://www.ssi.gouv.fr/entreprise/formations/, consulté le

11/03/2022
- « Management du risque numérique »:

https://www.ssi.gouv.fr/entreprise/management-du-risque/, consulté le
11/03/2022
- « Réglementation » : https://www.ssi.gouv.fr/entreprise/reglementation/, consulté

le 11/03/2022
- « Visa de sécurité » : https://www.ssi.gouv.fr/entreprise/visa-de-securite/, consulté

le 11/03/2022
- Site internet de l’Assemblée nationale :
Page 295 sur 317

- « Documents parlementaires » :
https://www.assemblee-nationale.fr/dyn/documents-parlementaires, consulté le
11/03/2022
- « Rapports d’information :
https://www2.assemblee-nationale.fr/documents/liste/(type)/rapports-
information/(legis)/15, consulté le 11/03/2022
- Site internet de la BDF
- « Publications » : https://publications.banque-france.fr, consulté le 11/03/2022
- Site internet de la BCE
- « Recherches et publications » : https://www.ecb.europa.eu/pub/html/index.fr.html,

- Site internet Bitcoin.org
- « Comment fonctionne le bitcoin ? » : https://bitcoin.org/fr/comment-ca-marche,

- « Vous devez savoir » : https://bitcoin.org/fr/vous-devez-savoir, consulté le

11/03/2022
- Site internet de la Caisse d’allocations familiales
- « Solidarité et insertion » : https://www.caf.fr/allocataires/caf-de-la-charente-

maritime/offre-de-service-0/solidarite-et-insertion
- Site internet de la CNIL
- « Actualités » : https://www.cnil.fr/fr/actualite, consulté le 11/03/2022
- « Avis de la CNIL » : https://www.cnil.fr/fr/les-avis-de-la-cnil, consulté le

11/03/2022
- « Communiqués » : https://www.cnil.fr/fr/communiques, consulté le 11/03/2022
- « Sanctions » : https://www.cnil.fr/fr/thematique/cnil/sanctions, consulté le

11/03/2022
- Site internet de la Commission Européenne
Page 296 sur 317

- « Coin presse » : https://ec.europa.eu/commission/presscorner/home/fr, consulté le
11/03/2022
- « Stratégie » : https://ec.europa.eu/info/strategy_fr, consulté le 11/03/2022
- Site internet Economie.gouv
- « Communiqués de presse » : https://presse.economie.gouv.fr, consulté le

11/03/2022
- Site internet de l’EDPB
- « RGPD : Lignes directrices, recommandations, bonnes pratiques », consulté le

11/03/2022
- Site internet d’Emmaüs Connect
- « Notre action » : https://emmaus-connect.org/notre-action/, consulté le 11/03/2022
- Site internet de la FBF
- « Etudes et chiffres clés » : https://www.fbf.fr/fr/etudes-et-chiffres-cles/, consulté le

11/03/2022
- « Newsroom » : https://www.fbf.fr/fr/newsroom/, consulté le 11/03/2022
- Site internet Forbes
- DIETSCH B, « Rencontre Avec… Joan Burkovic 31 Ans, Fondateur De

Bankin'(élu meilleure app de l’Appstore pour gérer son Argent) », Forbes, 2017,
disponible à l’adresse suivante : https://www.forbes.fr/business/rencontre-avec-
joan-burkovic-31-ans-fondateur-de-bankin/, consulté le 11/03/2022.
- Site internet garantiedesdepots.fr
- « Connaitre mes garanties » : https://www.garantiedesdepots.fr/fr/connaitre-mes-

garanties, consulté le 11/03/2022
- « Vérifier la protection de mon établissement » :

https://www.garantiedesdepots.fr/fr/verifier-la-protection-de-mon-etablissement,
- Site internet gouvernement.fr
Page 297 sur 317

- « Discours et rapports » : https://www.gouvernement.fr/discours-et-rapports,
- « Espace presse » : https://www.gouvernement.fr/espace-presse, consulté le

11/03/2022
- Site internet de l’IFOP
- « Publications, offres et évènements » :

https://www.ifop.com/opinion/?id_category=10#isotope, consulté le 11/03/2022
- Site internet JDN
- TROGNEE F., « Les seniors, cible privilégiée des cybercriminels », JDN, 2020
- Site officiel Net Solidaire :
- « Nos services » : https://netsolidaire.wordpress.com/netso/nos-services/, consulté

le 11/03/2022
- Site internet Légifrance
- « Codes » :
https://www.legifrance.gouv.fr/liste/code?etatTexte=VIGUEUR&etatTexte=VIG
UEUR_DIFF, consulté le 11/03/2022
- « Jurisprudence » : https://www.legifrance.gouv.fr/contenu/menu/droit-national-
en-vigueur/jurisprudence, consulté le 11/03/2022
- Site internet du Parlement Européen
- « Actualités » : https://www.europarl.europa.eu/news/fr
- Site internet du quotidien Les échos
- BALENIERI R. et DUMOULIN S., « Ciblage publicitaire : 6 questions sur les

nouvelles restrictions imposées par Apple », Les Echos, 2021, disponible à l’adresse
suivante : https://www.lesechos.fr/tech-medias/hightech/ciblage-publicitaire-6-
questions-sur-les-nouvelles-restrictions-imposees-par-apple-1299194, consulté le
11/03/2022.
Page 298 sur 317

- CLINKEMAILLIE T., « Le débat sur la 5G en cinq questions”, Les Echos, 2020,
disponible à l’adresse suivante : https://www.lesechos.fr/tech-medias/hightech/le-
debat-sur-la-5g-en-cinq-questions-1242940,consulté le 11/03/2022.
- ROUSSEAU Y., « Comment Grab, la « super app » d'Asie du Sud-Est, a conquis

Wall Street », Les Echos, 2021, disponible à l’adresse suivante :
https://www.lesechos.fr/finance-marches/marches-financiers/comment-grab-la-
super-app-dasie-du-sud-est-a-conquis-wall-street-1369043, consulté le 11/03/2022.
- Site internet du quotidien Le Monde
- ANONYME.,
- « Amour sur Internet : "Quand on est naïf, on en fait les frais" », Le Monde,
2012, disponible à l’adresse suivante :
https://www.lemonde.fr/vous/article/2012/07/10/escrocs-de-l-amour-sur-
internet-quand-on-est-naif-on-en-fait-les-frais_1731759_3238.html, consulté
le 11/03/2022
- « Qu’est-ce que le « SIM swapping », qui a permis de pirater le compte du

patron de Twitter ? », Le Monde, 2019, disponible à l’adresse suivante :
https://www.lemonde.fr/pixels/article/2019/09/04/qu-est-ce-que-le-sim-
swapping-qui-a-permis-de-pirater-le-compte-du-patron-de-
twitter_5506360_4408996.html, consulté le 11/03/2022.
- « La CNIL inflige de lourdes amendes à Google et Amazon pour non-respect

de la législation sur les cookies », Le Monde, 2020, disponible à l’adresse
suivante : https://www.lemonde.fr/pixels/article/2020/12/10/la-cnil-inflige-
des-amendes-a-google-et-amazon-pour-non-respect-de-la-legislation-sur-
les-cookies_6062860_4408996.html, consulté le 11/03/2022.
- « Le bitcoin devient une monnaie légale au Salvador », Le Monde, 2021,

https://www.lemonde.fr/international/article/2021/09/07/le-bitcoin-devient-
une-monnaie-legale-au-salvador_6093664_3210.html, consulté le
11/03/2022.
Page 299 sur 317

- AUDUREAU W., « Crise ukrainienne : en ligne, la guerre de la désinformation bat
son plein », Le Monde, 2022, disponible à l’adresse suivante :
https://www.lemonde.fr/les-decodeurs/article/2022/02/22/crise-ukrainienne-en-
ligne-la-guerre-de-la-desinformation-bat-son-plein_6114789_4355770.html,
- CHARREL M., Le cours du bitcoin frôle son sommet historique à 66 000 dollars,
Le Monde, 2021, disponible à l’adresse suivante :
https://www.lemonde.fr/economie/article/2021/11/03/le-cours-du-bitcoin-frole-
toujours-des-sommets_6100770_3234.html, consulté le 11/03/2022.
- LEMAITRE F., “La Chine teste sa monnaie virtuelle pour un lancement prévu en
février 2022 », Le Monde, 2021, disponible à l’adresse suivante :
https://www.lemonde.fr/economie/article/2021/01/14/la-chine-teste-sa-monnaie-
virtuelle-pour-un-lancement-prevu-en-fevrier-2022_6066242_3234.html, consulté
le 11/03/2022.
- PEDROLETTI B., « En Chine, le « crédit social » des citoyens fait passer les
devoirs avant les droits”, Le Monde, 2020, disponible à l’adresse suivante :
https://www.lemonde.fr/idees/article/2020/01/16/le-credit-social-les-devoirs-
avant-les-droits_6026047_3232.html, consulté le 11/03/2022.
- PIQUARD A., « Google va renoncer aux cookies, ces fichiers qui traquent les
internautes, une annonce qui ne convainc pas », Le Monde, 2021, disponible à
l’adresse suivante : https://www.lemonde.fr/economie/article/2021/03/05/fin-des-
cookies-les-annonces-de-google-font-grincer-des-dents_6072134_3234.html,
- TUAL M.,
- « Plusieurs centaines de clients de Cdiscount victimes d’une arnaque en

ligne », Le Monde, 2017, disponible à l’adresse suivante :
https://www.lemonde.fr/pixels/article/2017/12/15/plusieurs-centaines-de-
clients-de-cdiscount-victimes-d-une-arnaque-en-
ligne_5230531_4408996.html, consulté le 11/03/2022.
- « L’Allemagne vote une loi obligeant les réseaux sociaux à supprimer les
contenus haineux », Le Monde, 2017, disponible à l’adresse suivante :
Page 300 sur 317
https://www.lemonde.fr/pixels/article/2017/07/03/l-allemagne-vote-une-loi-
obligeant-les-reseaux-sociaux-a-supprimer-les-contenus-
haineux_5154760_4408996.html, consulté le 11/03/2022.
- « Que font les géants du Web contre les fausses informations ? », Le Monde, 2018,
https://www.lemonde.fr/pixels/article/2018/01/05/que-font-les-geants-du-web-
contre-les-fausses-informations_5237787_4408996.html, consulté le 11/03/2022.
- SIX N., « Apple affine le blocage du suivi publicitaire sur iPhone et iPad », Le
Monde, 2021, disponible à l’adresse suivante :
https://www.lemonde.fr/pixels/article/2021/04/28/apple-affine-le-blocage-du-
suivi-publicitaire-sur-iphone-et-ipad_6078379_4408996.html, consulté le
11/03/2022.
- Site internet du Sénat
- Projets et propositions de lois : https://www.senat.fr/leg/, consulté le 11/03/2022.
- Rapports et documents d’information : https://www.senat.fr/rapsen.html,consulté le

11/03/2022.
- Site internet Vie Publique
- « Transformation numérique de l’action publique : les risques de la

dématérialisation pour les usagers », mis en ligne le 12/01/2021, consulté le
11/03/2022.
- « Fracture numérique : l'illectronisme touche 17% de la population selon

l'INSEE », mis en ligne le 13/11/2019, consulté le 11/03/2022.
Page 301 sur 317

VII - REGLEMENTATIONS
REGLEMENTS EUROPEENS
- Règlement (UE) no 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur

l’identification électronique et les services de confiance pour les transactions électroniques
au sein du marché intérieur et abrogeant la directive 1999/93/CE, dit Règlement eIdas,
JOUE L257 du 28 aout 2014.
- Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à

la protection des personnes physiques à l'égard du traitement des données à caractère
personnel et à la libre circulation de ces données, JOUE L119 du 4 Mai 2016.
- Proposition de Règlement Du Parlement européen et du Conseil concernant le respect de

la vie privée et la protection des données à caractère personnel dans les communications
électroniques et abrogeant la directive 2002/58/CE (Règlement « vie privée et
communications électroniques), du 10 janvier 2017.
- Proposition de Règlement du Parlement européen et du Conseil sur les marchés de

cryptoactifs, et modifiant la directive (UE) 2019/1937, du 24 septembre 2020.
- Proposition de Règlement du Parlement européen et du Conseil modifiant le règlement

(UE) no 910/2014 en ce qui concerne l’établissement d’un cadre européen relatif à une
identité numérique, du 3 juin 2020.
- Proposition de Règlement du Parlement européen et du Conseil relatif à un marché

intérieur des services numériques (Législation sur les services numériques) et modifiant
la directive 2000/31/CE, du 15 décembre 2020.
- Proposition de Règlement du Parlement européen et du Conseil relatif aux marchés

contestables et équitables dans le secteur numérique (législation sur les marchés
numériques), du 15 décembre 2020.
- Proposition de Règlement du Parlement européen et du Conseil relatif à un marché

intérieur des services numériques (Législation sur les services numériques) et modifiant
la directive 2000/31/C, du 15 décembre 2020.
Page 302 sur 317

- Proposition de Règlement du Parlement européen et du Conseil établissant des règles
harmonisées concernant l’intelligence artificielle et modifiant certains actes législatifs de
l’union, du 21 avril 2021.
- Proposition de Règlement du Parlement et du Conseil relative à la prévention de

l’utilisation du système financier aux fins du blanchiment de capitaux ou du financement
du terrorisme, du 20 juillet 2021.
- Proposition de Règlement du Parlement et du Conseil instituant l’Autorité de lutte contre

le blanchiment de capitaux et le financement du terrorisme et modifiant les règlements
(UE) nº 1093/2010, (UE) nº 1094/2010 et (UE) nº 1095/2010, du 20 juillet 2021.
- Proposition de Règlement du Parlement et du Conseil sur les informations accompagnant

les transferts de fonds et de certains cryptoactifs, du 20 juillet 2021.
DIRECTIVES EUROPEENES
- Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à

la protection des personnes physiques à l'égard du traitement des données à caractère
personnel et à la libre circulation de ces données.
- Directive 1999/93/CE du Parlement européen et du Conseil, du 13 décembre 1999, sur un

cadre communautaire pour les signatures électroniques, JOUE L13, du 19 janvier 2000.
- Directive 2007/64/CE du Parlement européen et du Conseil du 13 novembre 2007

concernant les services de paiement dans le marché intérieur, modifiant les directives
97/7/CE, 2002/65/CE, 2005/60/CE ainsi que 2006/48/CE et abrogeant la directive
97/5/CE (Texte présentant de l'intérêt pour l'EEE), JOUE L319, du 5 décembre 2007.
- Directive (UE) 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015

concernant les services de paiement dans le marché intérieur, modifiant les directives
2002/65/CE, 2009/110/CE et 2013/36/UE et le règlement (UE) no 1093/2010, et
abrogeant la directive 2007/64/CE (Texte présentant de l'intérêt pour l'EEE), JOUE L337,
du 23 décembre 2015.
Page 303 sur 317

LOIS
- Loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés. JORF
du 7 janvier 1978.
- Loi n° 84-46 du 24 janvier 1984 relative à l'activité et au contrôle des établissements de

crédit, JORF du 25 janvier 1984.
- Loi n° 2000-230 du 13 mars 2000 portant adaptation du droit de la preuve aux

technologies de l'information et relative à la signature électronique, JORF n°62 du 14
mars 2000, Texte 1, NOR : JUSX9900020L.
- LOI n° 2001-1062 du 15 novembre 2001 relative à la sécurité quotidienne, JORF n°266

du 16 novembre 2001, NOR : INTX0100032L.
- Loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique. JORF, n°
0143 du 22 juin 2004, Texte 2. NOR : ECOX0200175L.
- Loi n° 2005-102 du 11 février 2005 pour l'égalité des droits et des chances, la
participation et la citoyenneté des personnes handicapées, JORF n°36 du 12 février 2005,
Texte n° 1, NOR : SANX0300217L.
- Loi n° 2016-1321 du 7 octobre 2016 pour une République numérique. JORF n°0235 du 8
octobre 2016, Texte 1, NOR : ECFI1524250L.
- Loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles. JORF
n°0141 du 21 juin 2018, Texte 1, NOR : JUSC1732261L.
- Proposition de Loi visant à interdire l'installation et l'utilisation de bornes d'échange et

de distributeurs de cryptomonnaie, Enregistrée à la Présidence du Sénat le 17 novembre
2017.
- Proposition de Loi pour la mise en place d'une certification de cybersécurité des

plateformes numériques destinée au grand public, Enregistrée à la Présidence du Sénat le
15 juillet 2020.
- Proposition de Loi relative à la lutte contre l’illectronisme et pour l’inclusion numérique,

Enregistrée à la Présidence du Sénat le 16 février 2021.
Page 304 sur 317

ORDONNANCES
- Ordonnance n° 2017-1252 du 9 août 2017 portant transposition de la directive 2015/2366

du Parlement européen et du Conseil du 25 novembre 2015 concernant les services de
paiement dans le marché intérieur, JORF n°0186 du 10 août 2017, Texte 26, NOR :
ECOT1714082R.
- Ordonnance n° 2017-1433 du 4 octobre 2017 relative à la dématérialisation des relations

contractuelles dans le secteur financier. JORF n°0233 du 5 octobre 2017, texte n° 21,
NOR : ECOT1719130.
- Ordonnance n° 2017-1674 du 8 décembre 2017 relative à l'utilisation d'un dispositif

d'enregistrement électronique partagé pour la représentation et la transmission de titres
financiers. JORF n°0287 du 9 décembre 2017, texte n° 24, NOR : ECOT1729053R.
DECRETS
- Décret n° 2009-834 du 7 juillet 2009 portant création d'un service à compétence nationale
dénommé « Agence nationale de la sécurité des systèmes d'information », JORF n°0156
du 8 juillet 2009, NOR : PRMD0914748D.
- Décret n° 2011-476 du 29 avril 2011 portant création du Conseil national du numérique,

JORF n°0101 du 30 avril 2011, NOR : INDX1111287D.
- Décret n° 2015-1 du 2 janvier 2015 portant publication de l'accord entre le Gouvernement

de la République française et le Gouvernement des États-Unis d'Amérique en vue
d'améliorer le respect des obligations fiscales à l'échelle internationale et de mettre en
œuvre la Loi relative au respect des obligations fiscales concernant les comptes étrangers
(dite « Loi FATCA »), JORF n°0002 du 3 janvier 2015, NOR : MAEJ1431068D.
- Décret n° 2015-113 du 3 février 2015 portant création d'un service à compétence nationale
dénommé « Agence du numérique », JORF n°0029 du 4 février 2015, NOR :
EINP1427911D.
- Décret n° 2016-1673 du 5 décembre 2016 relatif à la fiabilité des copies et pris pour
l'application de l'article 1379 du code civil. JORF n°0283 du 6 décembre 2016, texte n°
61, NOR : JUSC1624640D.
Page 305 sur 317

- Décret n° 2017-1231 du 4 août 2017 portant modification du décret n° 2007-914 du 15
mai 2007 pris pour l'application du I de l'article 30 de la loi n° 78-17 du 6 janvier 1978
relative à l'informatique, aux fichiers et aux libertés, JORF n°0182 du 5 août 2017, NOR
: ARMD1717910D.
- Décret n° 2017-1416 du 28 septembre 2017 relatif à la signature électronique. JORF

n°0229 du 30 septembre 2017, texte n° 8, NOR : JUSC1716705D.
- Décret n° 2018-418 du 30 mai 2018 relatif aux modalités de mise en œuvre du service de
coffre-fort numérique, JORF n°0123 du 31 mai 2018, NOR : ECOI1801826D.
- Décret n° 2018-853 du 5 octobre 2018 relatif aux conditions de récupération des

documents et données stockés par un service de coffre-fort numérique, JORF n°0232 du 7
octobre 2018, NOR : ECOI1806421D.
- Décret n° 2018-1228 du 24 décembre 2018 portant application de l'acte délégué adopté

en vertu du 1 de l'article 98 de la directive (UE) 2015/2366 du Parlement européen et du
Conseil du 25 novembre 2015, JORF n°0298 du 26 décembre 2018, NOR :
ECOT1825579D.
- Décret n° 2019-536 du 29 mai 2019 pris pour l'application de la loi n° 78-17 du 6 janvier
1978 relative à l'informatique, aux fichiers et aux libertés, JORF n°0125 du 30 mai 2019,
NOR : JUSC1911425D.
- Décret n° 2021-1538 du 29 novembre 2021 relatif à l'expérimentation du téléservice

dénommé « Mon FranceConnect » (MFC), JORF n°0278 du 30 novembre 2021, NOR :
TFPJ2131758D.
ARRETES
- Arrêté du 26 octobre 2010 relatif au fichier national des incidents de remboursement des
crédits aux particuliers, JORF n°0253 du 30 octobre 2010, NOR : ECET1024001A.
- Arrêté du 3 novembre 2014 relatif au contrôle interne des entreprises du secteur de la

banque, des services de paiement et des services d'investissement soumises au contrôle de
l'Autorité de contrôle prudentiel et de résolution, JORF n°0256 du 5 novembre 2014, NOR
: FCPT1423259A.
Page 306 sur 317

- Arrêté du 24 juillet 2015 portant création d'un traitement de données à caractère personnel
par la direction interministérielle des systèmes d'information et de communication d'un
téléservice dénommé « FranceConnect », JORF n°0180 du 6 août 2015, Texte n° 4 NOR
: PRMJ1518229A.
- Arrêté du 25 juillet 2016 modifiant l'arrêté du 14 juin 1982 relatif à l'extension d'un
système automatisé de gestion du fichier des comptes bancaires, JORF n°0180 du 4 août
2016, NOR : FCPE1621508A.
- Arrêté du 8 novembre 2018 relatif au téléservice dénommé « FranceConnect » créé par

la direction interministérielle du numérique et du système d'information et de
communication de l'Etat, JORF n°0264 du 15 novembre 2018, NOR : PRMJ1819224A.
- Arrêté du 11 mai 2020 relatif à l'expérimentation visant à étendre le périmètre des

partenaires du téléservice « FranceConnect », JORF n°0124 du 21 mai 2020, Texte n° 4
NOR : PRMJ2003891A.
Page 307 sur 317

INDEX ALPHABETIQUE
Page 308 sur 317

-A- -F-
Algorithmes, 226 et s Faute lourde, 623 et s
Atteintes aux STADS, 524 et s Fiabilité des outils numériques, 513 et s
Authentification forte, 565 et s Fraude aux moyens de paiement, 477 et

s, 622, 631
-B-
-I-
Biométrie, 157
Identité numérique, 147 et s, 163 et s
-C-
Illectronisme,
Confiance numérique - Définition, 667 et s
- Définition, 52 et s - Impact pour le secteur bancaire, 671 et s
- Leviers, 60 et s - Lutte contre l’illectronisme, 706 et s
Cryptoactifs
- Définitions, 112 et s -K-
- Encadrement, 114 et s
- Problématique pour les états, 121 et s KYC, 137 et s
-L-
-D-
Legal Design, 325 et s
Désinformation, 690 et s LCB-FT, 94 et s
Données à caractère personnel
- Craintes, 183 et s
-M-
- Maîtrise, 205 et s
Mauvaise foi du payeur, 630 et s
- Obligations à la charge des banques, 197
et s Monnaie numérique de banque
- Protection de la vie privée, 187 et s centrale, 131 et s
Moyens d’identification électronique,

149 et s, 157 et s, 162 et s
Prestataires de services de confiance,
-N-
371 et s
Name and shame, 489 et s Profilage, 230 et s
Négligence du payeur, 634 et s, 763 RGPD, 358 et s,
-O- -S-
Open Banking Signature électronique, 138, 149 et s,
- Définition, 429 et s 162, 164, 379 et s
- Cas d’usages, 445 et s
Secret bancaire, 98, 101, 190 et s
- Encadrement, 455 et s
SuperApp, 558 et s
-P- -T-
Phishing, 541, 637 et s, 698 Traçabilité des opérations, 427 et s ,
444, 455 et s, 633
Prestataires de services de paiement,
437 et s, 463
Page 310 sur 317

TABLE DES MATIÈRES
Page 311 sur 317

REMERCIEMENTS....................................................................... 2
REMERCIEMENTS ................................................................................................ 2
SOMMAIRE ............................................................................................................ 3
LISTE DES ABREVIATIONS .................................................................................. 5
INTRODUCTION .................................................................................................... 9
PREMIÈRE PARTIE - LE RÔLE DE LA CONFIANCE DANS LA CONCLUSION

DES CONTRATS BANCAIRES EN ENVIRONNEMENT NUMERIQUE ............. 32
TITRE I - Confiance numérique et entrée en relation .............................................. 37

Chapitre I - L’identification des parties dans un environnement numérique .......................... 40
Section I - Les exigences de vérification de l’identité civile dans le domaine bancaire .... 42
§ 1 - Les transmissions d’informations obligatoires ...................................................... 44
A - La communication des suspicions de fraude dans le cadre de la LCB-FT ......... 45
B – Les fichiers centralisant des données bancaires ................................................ 48
§ 2 la banque numérique au défi de l’identification numérique ..................................... 50
A - Le dilemme posé par les cryptoactifs pour la souveraineté des États ................ 55
B - Les perspectives de l’UE en matière d’identification électronique et de finance
numérique .................................................................................................................. 59
Section II – Les moyens d’identification à distance de confiance ..................................... 62
§ 1 - Les outils d’authentification numérique................................................................. 63
A – Le difficile déploiement des outils d’identification encadrés par le Règlement
eIdas .......................................................................................................................... 64
B – Les systèmes d’authentification biométriques .................................................... 66
§ 2 - Les difficultés inhérentes à l’authentification à distance ....................................... 69
A - L’attribution initiale des moyens d’identification numérique ............................... 69
B - Les fédérations d’identité comme solution privilégiée ? ..................................... 71
Chapitre II - La connaissance client (KYC) à l’heure du big data ........................................... 75
Section I - Les craintes relatives aux données à caractère personnel ............................... 77
§ 1 - La protection de la vie privée du client .................................................................. 78
A - Le devoir de discrétion du banquier .................................................................... 79
B - La sélection des données traitées par la banque ................................................ 82
§2 - La maîtrise des clients sur leurs données .............................................................. 84
A – La maîtrise a priori des données traitées par la banque ..................................... 87
B – La maîtrise a posteriori sur les données traitées par sa banque ......................... 88
Section II – Les craintes relatives aux algorithmes ............................................................ 93
§ 1 - Le profilage ............................................................................................................ 94
Page 312 sur 317

A - Le paradoxe du profilage ..................................................................................... 95
B - De la confiance dans son client à la confiance dans son profil ........................... 96
§ 2 - Les décisions entièrement automatisées .............................................................. 98
A - La transparence des logiques sous-jacentes ...................................................... 99
B - Le paradoxe de la méfiance dans l’intelligence artificielle ................................ 100
TITRE II - Confiance numérique et perfection du contrat ..................................... 107

Chapitre I - L’information : vecteur de confiance numérique efficace ? .............................. 111
Section I –La personnalisation du conseil à distance ...................................................... 112
§ 1 – La souscription autonome du client : L’avènement du self care ........................ 113
A – La place de la confiance dans une relation avec une banque en ligne ............. 114
B – Les inégalités creusées par l’émergence des banques en lignes ..................... 117
§ 2 - L’évaluation des connaissances du client à distance ......................................... 118
A - La fiabilité des questionnaires et formulaires comme base de la confiance
numérique ................................................................................................................ 119
B - L’encadrement des relations numériques à distance ........................................ 120
Section II – Les difficultés à véhiculer la confiance par l’information dans une relation
distante............................................................................................................................. 122
§ 1 - La transparence : une stratégie peu adaptée au domaine bancaire ................... 123
A – La nécessaire subtilité du banquier ................................................................... 124
B – Les mécanismes traditionnels de simplification de la prise de connaissance
d’informations .......................................................................................................... 125
§ 2 – l’optimisation de l’information au service de la confiance .................................. 127
A – Les travers de l’écrit dans une relation dématérialisée ..................................... 127
B – Le legal design au service de la confiance........................................................ 129
Chapitre II - Confiance et preuve de confiance dans le domaine bancaire ......................... 132
Section I – Le visa des autorités de contrôle comme preuve et source de confiance
indirecte ?......................................................................................................................... 133
§ 1 - L’influence de l’ACPR et l’AMF sur la confiance ................................................. 134
A –L’ACPR au service de la confiance .................................................................... 134
B – La veille de l’AMF au service de la confiance des investisseurs ....................... 136
§ 2 - L’influence de la CNIL et de l’ANSSI sur la confiance numérique ...................... 138
A – Le rôle de la CNIL en matière de confiance numérique .................................... 138
B – Le rôle de l’ANSSI en matière de confiance numérique.................................... 140
Section II – Le développement du commerce de la preuve de confiance numérique ..... 141
§ 1 - Les tiers de confiance numérique privés ............................................................. 142
A - Le statut de prestataire de services de confiance ............................................. 142
B – Les associations de tiers de confiance ............................................................. 144
§ 2 - Les outils de confiance numérique ...................................................................... 145
Page 313 sur 317

A - Les outils eIdas de confiance numérique .......................................................... 145
B - Les codes et chartes de bonnes pratiques numériques ................................... 147
SECONDE PARTIE - LES RAPPORTS ENTRE CONFIANCE ET

RESPONSABILITÉ DANS LE DOMAINE BANCAIRE ...................................... 153
TITRE I –La perte de confiance numérique comme source de responsabilité dans

le domaine bancaire .................................................................................................. 155
Chapitre I - Confiance et traçabilité en environnement numérique ...................................... 158
SECTION I - Traçabilité et multiplication des intermédiaires ........................................... 160
§ 1 – Le phénomène d’Open Banking dans le secteur bancaire ................................. 162
A – Les agrégateurs de comptes et initiateurs de paiements ................................. 164
B – Les nouveaux cas d’usages de l’open banking ................................................ 165
§ 2 – L’encadrement technique et juridique de l’open Banking concernant la traçabilité
..................................................................................................................................... 167
A – Les mesures techniques de prévention des risques numériques dans le domaine
bancaire ................................................................................................................... 168
B – Les mécanismes juridiques de protection du client .......................................... 169
SECTION II - Les rapports entre imputabilité et confiance numérique dans le domaine
bancaire ............................................................................................................................ 171
§ 1 - La confiance dans l’indemnisation de son préjudice .......................................... 172
A - L’évaluation du préjudice numérique du client .................................................. 173
B - L’indemnisation du préjudice du client .............................................................. 175
§ 2 – La confiance dans la punition des fraudes et négligences ................................. 176
A - La pratique du « name and shame » dans le secteur numérique ...................... 177
B – L’inégalité des établissements face aux effets des sanctions .......................... 181
Chapitre II - Confiance et fiabilité des outils numériques ..................................................... 184
Section I – La fiabilité des espaces personnels mis a disposition par les banques ........ 185
§ 1 - Les atteintes aux systèmes de traitements de données automatisés (STAD) dans
le secteur bancaire ....................................................................................................... 187
A – Les atteintes aux STAD bancaires .................................................................... 188
B - La répression des atteintes aux STAD bancaires .............................................. 189
§ 2 - L’usurpation de l’identité du client ...................................................................... 191
A - Les risques humains .......................................................................................... 191
B – Les risques liés à certaines innovations ............................................................ 193
Section II – La sécurité des moyens de paiement ........................................................... 195
§ 1 - La recherche d’un équilibre entre sécurité et simplicité d’utilisation des outils mis
à disposition ................................................................................................................. 196
A - Le phénomène des SuperApps ......................................................................... 196
Page 314 sur 317

B – Les difficultés liées à l’authentification forte ..................................................... 198
§ 2 - L’implication des appareils personnels des clients ............................................. 203
A – L’usage des technologies mobiles en matière bancaire ................................... 204
B – Les nouveaux risques numériques lies a l’implication des appareils personnels
des individus ............................................................................................................ 207
TITRE II - la responsabilisation, vecteur de confiance numérique inexploité ..... 212

Chapitre I – Le nécessaire ajustement de la protection des clients en environnement
numérique ............................................................................................................................. 215
Section I –la notion de « faute lourde » du CLIENT.......................................................... 217
§ 1 – Les conséquences commerciales de la mauvaise foi du client sur la confiance 219
§ 2 - La négligence du payeur ..................................................................................... 220
Section II – Pour l’éducation des clients bancaires à des fins de responsabilisation ...... 224
§ 1 - La responsabilisation des clients par une réduction de leur protection .............. 224
§ 2 - La responsabilisation du client par une plus grande implication ........................ 226
Chapitre II –L’inclusion numérique, un prérequis à la confiance numérique ........................ 229
Section I – La problématique de « l’illectronisme » pour le secteur bancaire .................. 230
§ 1 - L’incapacité à maîtriser les outils numériques .................................................... 230
A – L’absence d’équipement informatique adéquat................................................ 231
B - La nécessité d’une messagerie électronique dans les relations numériques ... 233
§ 2 - L’incapacité à évaluer le contenu numérique ...................................................... 234
A - L’exposition aux « INFOX » ................................................................................ 235
B - L’exposition à la cybercriminalité ...................................................................... 237
Section II – L’apprentissage de la confiance numérique ................................................. 239
§ 1 - Les initiatives publiques contre l’illectronisme .................................................... 239
A - La nécessité d’une formation numérique scolaire ............................................. 244
B - Les dispositifs ciblés pour l’inclusion numérique .............................................. 246
§ 2 - Les initiatives privées pour l’inclusion numérique ............................................... 247
A - La nécessaire transformation pédagogique des métiers................................... 248
B – Les entreprises et associations au service de la montée en compétences
numérique des individus .......................................................................................... 249
CONCLUSION .................................................................................................... 254
BIBLIOGRAPHIE ................................................................................................ 259
I – Ouvrages et manuels ................................................................................... 260
II - Thèses........................................................................................................... 262
III – Communications, Etudes et Rapports ..................................................... 263
Page 315 sur 317

Iv – Articles et chroniques ................................................................................ 266
V - Décisions ...................................................................................................... 291
VI – Sites internet .............................................................................................. 294
VII - Réglementations ....................................................................................... 302
INDEX ALPHABETIQUE .................................................................................... 308
TABLE DES MATIÈRES..................................................................................... 311
Page 316 sur 317

La confiance numérique dans le domaine bancaire
La digitalisation progressive qu’ont connue les banques ces dernières années a permis a ces dernières d’offrir
des services plus rapides, plus pratiques, et souvent plus proche des attentes de leur clientèle.
Cependant, ces nouvelles pratiques sont également associées par certains à un accroissement des risques pour
leurs données et patrimoines.
Les banques sont ainsi contraintes de rechercher comment gagner, et garder, la confiance numérique de leur
clientèle.
Face à cette problématique, plusieurs leviers sont envisageables, mais c’est principalement par la
règlementation qu’elle est actuellement traitée, au travers, notamment, du RGPD, du règlement eIdas et de la
DSP 2.
Mais la règlementation est-elle vraiment un vecteur de confiance numérique efficace ?
Dans cette étude, il s’agit ainsi d’étudier le rôle de la confiance numérique et l’incidence de la règlementation
sur celle-ci aux différentes étapes de la relation contractuelle.
Mots clés : Confiance numérique, Banques digitales, RGPD, eIDAS
Digital Trust in the banking sector

The progressive digitization that banks have experienced in recent years has enabled them to offer faster, more
practical, services, and often closer to their customers’ expectations.
However, these new practices are also associated by some of their clients with increased risks for their data
and assets.
Banks are thus forced to find ways to gain, and keep, the digital trust of their customers.
Faced with this problem, several solutions are possible, but it is mainly by regulation that it is currently dealt
with, through, in particular, the GDPR, the eIdas regulation and the PSD 2.
But is regulation really an effective way to reinforce digital trust?
In this thesis, we study the role of digital trust and the impact of regulation on it at the different stages of the
contractual relationship between a bank and its clients.
Keywords: Digital Trust, Digital Banking, GDPR, eIDAS
CJLR (Centre d’Études Juridiques de La Rochelle)

45 Rue François de Vaux de Foletier 17000
LA ROCHELLE CEDEX
Page 317 sur 317

La Confiance Numérique Dans Le Domaine Bancaire

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

La Confiance Numérique Dans Le Domaine Bancaire

Transféré par

Droits d'auteur :

Formats disponibles

La confiance numérique dans le domaine bancaire

To cite this version:

HAL Id: tel-04021446

HAL is a multi-disciplinary open access L’archive ouverte pluridisciplinaire HAL, est

Je remercie également Mesdames et Messieurs Jessica EYNARD, Thibault DOUVILLE et

Merci également à Maître Alain BOBANT et Monsieur le Professeur Mickael COUSTATY,

Naturellement, je remercie tout particulièrement Charles, de m’avoir aidée à aller au bout de

Page 2 sur 317

Page 3 sur 317

TITRE I – CONFIANCE NUMERIQUE ET ENTRÉE EN RELATION……………..37

CHAPITRE I – L’IDENTIFICATION DES PARTIES DANS UN

CHAPITRE II – LA CONNAISSANCE CLIENT (KYC) A L’HEURE DU BIG

TITRE II – CONFIANCE NUMERIQUE ET PERFECTION DU CONTRAT…….115

CHAPITRE I – L’INFORMATION : VECTEUR DE CONFIANCE NUMERIQUE

CHAPITRE II – CONFIANCE ET PREUVE DE CONFIANCE DANS LE DOMAINE

SECONDE PARTIE - LES RAPPORTS ENTRE CONFIANCE ET

TITRE I – LA PERTE DE CONFIANCE NUMERIQUE COMME SOURCE DE

CHAPITRE I – CONFIANCE ET TRACABILITE EN ENVIRONNEMENT

CHAPITRE II – CONFIANCE ET FIABILITE DES OUTILS NUMERIQUES…...199

TITRE II – LA RESPONSABILISATION, VECTEUR DE CONFIANCE

CHAPITRE I – LE NECESSAIRE AJUSTEMENT DE LA PROTECTION DES

CHAPITRE II – L’INCLUSION NUMERIQUE, UN PREREQUIS A LA

Page 4 sur 317

ABE ..........................................Autorité Bancaire Européenne

ACPR ........................................Autorité de contrôle prudentiel et de résolution

AFCDP………………………. Association Française des Correspondants à la

AIPD…………………………. Analyse d’Impact sur la Protection des Données

AMF..........................................Autorité des Marchés Financiers

AMRAE……………………… Association pour le management des risques et des

ANSSI………………………... Agence nationale de la sécurité des systèmes

ARCEP………………………. Autorité de régulation des communications

BATX………………………... Baidu, Alibaba, Tencent et Xiaomi

BULL. CIV…………………... Bulletin Civil

CA……………………………. Cour d’Appel

CASS………………………… Cour de Cassation

CASS COM………………….. Chambre Commerciale de la Cour de cassation

CB……………………………. Carte Bancaire

Page 5 sur 317

CEE ........................................... Communauté Économique Européenne

CEPD ........................................Comité Européen de la Protection des Données

CJUE .........................................Cour de Justice de l’Union Européenne

CIV. 1 .......................................Première Chambre civile de la Cour de cassation

CNI ...........................................Carte nationale d’identité

CNIL .........................................Commission Nationale de l’Informatique et des Libertés

CNPS ........................................Comité National des Paiements Scripturaux

CVC ..........................................Card Verification Code

CVV ..........................................Card Verification Value

DAB ..........................................Distributeur Automatique de Billets

DARPA .....................................Defense Advanced Research Projects Agency

DGCCRF…………………….. Direction Générale de la Concurrence, de la

DINSIC………………………. Direction Interministérielle du Numérique et du Système

DINUM………………………. Direction Interministérielle du Numérique

DMA…………………………. Digital Markets Act

DSA…………………………. .Digital Services Act

EBA……………………… ......European Banking Authority

EDPB…………………………European Data Protection Board

EIDAS……………………….. Electronic IDentification And trust Services

FAQ ..........................................Foire aux questions ou Frequently asked questions

FBF ...........................................Fédération bancaire française

Page 6 sur 317

FGDR Fonds de garantie des dépôts et de résolution

FICP………………………….. Fichier national des Incidents de remboursement des

FICOBA………………………Fichier des Comptes Bancaires et Assimilés

FICOVIE…………………….. Fichier des Contrats d’Assurance Vie