Académique Documents
Professionnel Documents
Culture Documents
La Confiance Numérique Dans Le Domaine Bancaire
La Confiance Numérique Dans Le Domaine Bancaire
Marine Julien
Merci également à mes très chers amis et parents Michèle, Thierry, Sandrine, Martine,
Margaux, Qian et Natalia, sur qui j’ai toujours pu compter pour me soutenir moralement.
Enfin, merci à Cécile, Sandra, Maryne et Wadih, qui ont fait preuve d’une bienveillance
exceptionnelle à mon égard pendant mes dernières années de recherche.
ART………………………….. Article
CHRON ....................................Chronique
IA ..............................................Intelligence artificielle
IP...............................................Internet Protocol
J. Cl ...........................................Juris-Classeur Encyclopédie
OBS. .........................................Observations
VOL ..........................................Volume
Albert Einstein.
1
LECOURT D., « Réflexions sur le progrès et la précaution », Michel Wieviorka éd., La science en question(s).
Éditions Sciences Humaines, 2014, pp. 61-68
2
ODINET G., « Le Conseil d’État rejette les recours contre le déploiement de la 5G dans la bande 3,5 GHz »,
Énergie - Environnement - Infrastructures n° 2, Février 2021, comm. 19
3
En France, le déploiement du réseau mobile de cinquième génération, la 5G, a notamment fait l’objet de vives
réactions liées à la crainte de ce nouveau réseau. De nombreux élus avaient d’ailleurs, à ce titre, demandé un
moratoire. Lire CLINKEMAILLIE T., « Le débat sur la 5G en cinq questions”, Les Echos, 2020, disponible
en ligne à l’adresse suivante : https://www.lesechos.fr/tech-medias/hightech/le-debat-sur-la-5g-en-cinq-
questions-1242940,consulté le 11/03/2022.
4
Le principe de précaution est un principe général du droit de l’environnement selon lequel les autorités ne
devraient pas attendre de certitudes quant à la probabilité de réalisation d’un risque pour prendre des mesures
préventives adéquates. SUTTERLIN O., « Le principe de précaution », J. Cl. Environnement et Développement
durable, Synthèse, 2019 ; GAILLARD E., « Principe de précaution – Systèmes juridiques internationaux et
européens », J. Cl. Environnement et Développement durable, Fasc.415, 2019 ; ANNAMAYER E.,
« L'objectif de couverture de réseaux 5G, source d'adaptation de l'encadrement juridique », Énergie -
Environnement - Infrastructures n° 2, Février 2021, dossier 6
5
BIRRAUX C et LE DEAUT J-Y., « Rapport n° 286 - L’innovation à l’épreuve des peurs et des risques - fait
au nom de l'Office parlementaire d'évaluation des choix scientifiques et technologiques, 2012. Le rapport est
disponible à l’adresse suivante : https://www.senat.fr/rap/r11-286-1/r11-286-1_mono.html,consulté le
11/03/2022.
4. Dans les présents travaux, par le terme « numérique », nous entendons les solutions
supposant l’usage d’une interface depuis un outil tel qu’un smartphone, un ordinateur, une
tablette ou tout autre objet connecté. Ces outils, aujourd’hui très présents dans notre
quotidien, utilisent une technologie commune, relativement récente, Internet6, le réseau de
communication mondial7.
5. Internet a en effet été inventé lors de la seconde moitié du siècle précédent, et ce n’est
que depuis les années 908, avec la création du World Wide Web (WEB) que cette technologie
a réellement commencé à être exploitée largement par le grand public, pour arriver, trente
années plus tard, à rendre possible les nombreux cas d’usage que nous connaissons. C’est
ainsi qu’une partie de la population actuelle est née avec le WEB quand l’autre ne l’a
découvert que plus ou moins tardivement, ce qui a valu aux premiers l’appellation de
« digital natives9 ».
6. Les entreprises et administrations ont fait évoluer leurs outils, mais aussi leurs
modalités relationnelles avec leurs clients ou usagers, et si l’adoption de ces nouveaux outils
et modalités peut être relativement naturelle pour certains individus, notamment les digital
6
L’INSEE définit l’Internet comme un “ensemble de réseaux mondiaux interconnectés qui permet à des
ordinateurs et à des serveurs de communiquer efficacement au moyen d'un protocole de communication
commun (IP).,
7
L’INSEE définit Internet comme « Un ensemble de réseaux mondiaux interconnectés qui permet à des
ordinateurs et à des serveurs de communiquer efficacement au moyen d'un protocole de communication
commun (IP). Ses principaux services sont le Web, le FTP, la messagerie et les groupes de discussion. ». (Site
internet de l’INSEE, disponible à l’adresse suivante :
https://www.insee.fr/fr/metadonnees/definition/c1864,consulté le 11/03/2022.
8
GARDON D., « Naissance de l’informatique », Culture numérique 2019, pages 18 à 26, 2019
9
Littéralement en français, personnes natives du numérique, c’est-à-dire nés à une époque où le numérique
était déjà bien développé.
7. Parmi les entreprises concernées, figurent, bien sûr, les banques. En effet, le
développement du numérique a permis de grandes évolutions dans le secteur bancaire, et le
domaine du paiement (I), mais ces évolutions ont également conduit à l’émergence de
nouveaux risques, mettant ces tiers de confiance historiques, en quête de confiance
numérique (II).
10
Au sujet des Digital Natives, il est souvent dit qu’il existe un « paradoxe des digital natives », pour lesquels
l’exposition de leur vie privée est souvent considérée comme étant tout à fait normal, ces derniers étant nés
avec internet et les réseaux sociaux. A ce sujet, lire COHEN D, PERRAY R., ROCHFELD J., SOREAU A.,
« Questions actuelles sur la commercialisation des données à caractère personnel », Cahiers de droit de
l’entreprise n° 3, Mai 2012, entretien 3 ; QUINTI M., « "Vouloir protéger sa vie privée sur Internet, c'est
ringard" », L’Express, 2012
9. En effet, grâce aux travaux d’Alan TURING visant à déchiffrer la machine utilisée par
les Allemands pour crypter leurs messages, Enigma, et ses recherches en matière
d’intelligence artificielle13, l’informatique a bénéficié d’une avancée considérable, ce qui a
notamment permis de précipiter la fin de la Seconde Guerre Mondiale. Nous devons
d’ailleurs à Alan TURING le fameux « test de Turing », qui vise à établir si les réponses
données par une intelligence artificielle sont dissociables de celles données par un être
humain14.
10. La fin de la Seconde Guerre Mondiale a été suivie par de nombreuses inventions dans
le domaine de l’électronique. La plupart des inventions ayant permis de fabriquer les
premiers ordinateurs tels qu’ils existent aujourd’hui a ainsi vu le jour pendant la Guerre
Froide, entre 1945 et 1989, tel est notamment le cas du transistor, des circuits intégrés et des
microprocesseurs15.
11
GARDON D., « Naissance de l’informatique », Culture numérique 2019, pages 18 à 26, 2019
12
GARDOU C., « Blaise Pascal, de l'éternel malade au prodige de la pensée », Reliance 2006/2, pages 101 à
110, 2006
13
LE BLANC B., « Alan Turing : les machines à calculer et l'intelligence », Hermès, La Revue 2014/1, pages
123 à 126, 2014
14
GANASCIA J. G., « Désormais des machines passent le test de Turing », Intelligence artificielle 2017, pages
25 à 29, 2017
15
BABINET G., Histoire de la révolution digitale, Refondre les politiques publiques avec le numérique, pages
7 à 14, 2020
12. Les années 70 ont également été marquées par une invention qui, à l’image des
ordinateurs, est désormais omniprésente dans le quotidien de milliards d’individus,
l’Internet16. Lors de sa création, Internet a d’abord servi les travaux scientifiques et militaires
réalisés dans le cadre du réseau ARPANET à l’initiative de la Defense Advanced Research
Projects Agency, la DARPA. La création du courrier électronique, le courriel, première
application d’internet, puis, en 1990, la création du World Wide Web, a propulsé internet
pour en faire le réseau que nous connaissons aujourd’hui17.
13. En France, un virage important a également été franchi dans les années 70, c’est en
effet à cette époque qu’a été inventé le réseau Cyclade18 sous la direction de Louis POUZIN,
un ingénieur français. Il s’agissait alors, pour la France, d’expérimenter un réseau
informatique partagé, à l’image d’Arpanet aux États-Unis. Cyclade sera cependant
abandonné quelques années plus tard au profit d’une expérimentation française de création
de réseau informatique centralisé menée par le Centre National d’Études des
Télécommunications, le CNET, intitulé Transpac, réseau qu’utilisera par la suite le Minitel.
16
CERUZZI P. E., « Aux origines américaines de l'Internet : projets militaires, intérêts commerciaux, désirs
de communauté », Le Temps des médias 2012/1 n° 18, pages 15 à 28, 2012
DUFOUR A. ET GHERNAOUTI-HELIE S., « Des origines aux réalités de l'Internet », Internet, Presses
17
15. En 1993, plus de 6 millions de foyers français étaient équipés d’un Minitel, c’était
donc une réussite commerciale en France21. Cependant, les années 90 ont également été
marquées par l’arrivée du WEB et la généralisation progressive des ordinateurs et
abonnements internet auprès du grand public.
16. Le Minitel s’est alors retrouvé en concurrence avec les ordinateurs et internet22, qui, à
la différence du premier, ont beaucoup évolué dans les années 90, tant en ce qui concerne
l’ergonomie de l’affichage et le débit de connexion, que la performance du matériel23. En
France, pourtant, l’attachement au Minitel s’est fait longtemps ressentir24.
21
GONZALEZ A. et JOUVE E., « Minitel : histoire du réseau télématique français », Flux 2002/1 n° 47, pages
84 à 89, 2002
22
Le Minitel a tout de même survécu quelques années à l’arrivée de l’Internet et des ordinateurs tout public
puisque le réseau sur lequel il s’appuyait n’a été fermé qu’en 2012 ; A ce sujet, lire CARON C., « Adieu au
minitel ! », Comm. com. électr. n° 9, Septembre 2012, repère 8
23
Ibid.
24
Certains individus détenteurs d’ordinateurs utilisaient des cartes permettant d’émuler le Minitel sur un
ordinateur. En 2012, lors de la fermeture définitive des services Minitel, il était encore utilisé par quelques
individus.
25
Le rapport de A. JOYANDET, P. HÉRISSON et A. TÜRK sur l'entrée dans la société de l'information de
1996 est disponible en ligne à l’adresse suivante : https://www.senat.fr/rap/r96-436/r96-
436_mono.html,consulté le 11/03/2022.
26
Extrait du rapport de A. JOYANDET, P. HÉRISSON et A. TÜRK sur l'entrée dans la société de
l'information : « Le symbole de la résistance au changement, à l'époque d'Internet est constituée par le fort
développement des cartes d'émulation Minitel 12(*) sur micro-ordinateur, dont le nombre dépasse aujourd'hui
1 million. Cette donnée démontre que, même lorsqu'ils font l'acquisition d'un ordinateur, les Français gardent
le "réflexe" minitel. »
27
Extrait du rapport de A. JOYANDET, P. HÉRISSON et A. TÜRK sur l'entrée dans la société de
l'information : « Dans cette perspective, notre pays possède au moins deux atouts : la prédisposition d'un
public de près de 15 millions d'utilisateurs du minitel et l'expérience acquise par les pouvoirs publics en
matière de régulation d'un système d'information et de services destiné au grand public. »
20. La digitalisation des banques, qui sont, rappelons-le, une catégorie d’établissement de
crédit, a beaucoup progressé ces dernières années, permettant à leurs clients de réaliser de
nombreux actes en ligne en toute autonomie, de la souscription à la résiliation, en passant
par tous les actes bancaires du quotidien.
21. La notion d’établissement de crédit est issue de la loi n° 84-46 du 24 janvier 1984
relative à l'activité et au contrôle des établissements de crédit, dite Loi bancaire 29 . La
définition de la notion d’établissement de crédit figure aujourd’hui à l’article L511-1 du
Code monétaire et financier30 par renvoi à l’article 4 du Règlement (UE) n°575/2013 du
Parlement européen et du Conseil du 26 juin 2013 concernant les exigences prudentielles
28
Ibid.
29
Loi n° 84-46 du 24 janvier 1984 relative à l'activité et au contrôle des établissements de crédit, JORF du 25
janvier 1984
30
Article L511-1 du Code Monétaire et Financier : « I.-Les établissements de crédit sont les entreprises
définies au point 1 du paragraphe 1 de l'article 4 du règlement (UE) n° 575/2013 du Parlement européen et
du Conseil du 26 juin 2013.
II. – Les sociétés de financement sont des personnes morales, autres que des établissements de crédit, qui
effectuent à titre de profession habituelle et pour leur propre compte des opérations de crédit dans les
conditions et limites définies par leur agrément. Elles sont des établissements financiers au sens du 4 de
l'article L. 511-21. »
22. L’article L511-9 du code monétaire et financier nous indique quant à lui que les
établissements de crédit peuvent être agréés en qualité de banques, de banque mutualiste ou
coopérative, d'établissement de crédit spécialisé, d'établissements de crédit et
d'investissement ou de caisse de crédit municipal 32 . Dans cette étude, nous traiterons
principalement des établissements de crédits agréés en qualité de banque.
23. Seuls les établissements de crédit sont habilités à effectuer toutes les opérations de
banque à titre habituel, c’est-à-dire, en vertu de l’article L311-1 du Code Monétaire et
Financier, à réceptionner des fonds remboursables du public, à proposer des opérations de
crédit et à fournir des services bancaires de paiement33, c’est pourquoi il est souvent parlé
de « monopole bancaire ».
31
Extrait de l’article 4 du Règlement (UE) n ° 575/2013 du Parlement européen et du Conseil du 26 juin 2013
concernant les exigences prudentielles applicables aux établissements de crédit et aux entreprises
d'investissement et modifiant le règlement (UE) n ° 648/2012 Texte présentant de l'intérêt pour l'EEE, JOUE
L176 du 27 juin 2013:
« 1. Au sens du présent règlement, on entend par:
1) "établissement de crédit": une entreprise dont l'activité consiste à recevoir du public des dépôts ou d'autres
fonds remboursables et à octroyer des crédits pour son propre compte »
32
Article L511-9 du Code Monétaire et Financier : « Les établissements de crédit sont agréés en qualité de
banque, de banque mutualiste ou coopérative, d'établissement de crédit spécialisé, d'établissements de crédit
et d'investissement ou de caisse de crédit municipal.
Les banques peuvent effectuer toutes les opérations de banque.
Les banques mutualistes ou coopératives, les établissements de crédit spécialisés et les caisses de crédit
municipal peuvent effectuer toutes les opérations de banque dans le respect des limitations qui résultent des
textes législatifs et réglementaires qui les régissent.
Les établissements de crédit et d'investissement peuvent effectuer toutes les opérations dans le respect des
limitations qui résultent des textes législatifs et réglementaires qui les régissent. »
33
Article L311-1 du Code Monétaire et Financier: “Les opérations de banque comprennent la réception de
fonds remboursables du public, les opérations de crédit, ainsi que les services bancaires de paiement.”
25. En réalité, en ce qui concerne les services de paiements, seuls sont aujourd’hui
réellement réservés aux établissements de crédits, les services liés aux chèques bancaires,
les autres services de paiements pouvant être fournis à titre habituel par de simples
établissements de paiement38, sans nécessiter un agrément en qualité d’établissement de
crédit.
26. C’est ainsi que les établissements de crédit, ne sont aujourd’hui plus en mesure de se
reposer sur un monopole, qui n’existe plus vraiment en matière de paiement, et sont
directement concurrencés par de nouveaux types d’établissements, parmi lesquels des
établissements souvent qualifiés de « néobanques », appartenant eux-mêmes à la catégorie
des FinTechs.
34
STOUFFLET J. ET ROUSSILLE M., « Synthèse - Organisation et statut bancaire », Synthèse J. Cl. Banque
- Crédit – Bourse, 2019 ; LASSERRE CAPDEVILLE J., « Retour sur une jurisprudence attentatoire au
monopole bancaire », RD bancaire et fin. n° 1, Janvier 2017, alerte 1
35
Ibid.
36
Directive 2007/64/CE du Parlement européen et du Conseil du 13 novembre 2007 concernant les services
de paiement dans le marché intérieur, modifiant les directives 97/7/CE, 2002/65/CE, 2005/60/CE ainsi que
2006/48/CE et abrogeant la directive 97/5/CE (Texte présentant de l'intérêt pour l'EEE), JOUE L319, du 5
décembre 2007
37
Directive (UE) 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015 concernant les
services de paiement dans le marché intérieur, modifiant les directives 2002/65/CE, 2009/110/CE et
2013/36/UE et le règlement (UE) no 1093/2010, et abrogeant la directive 2007/64/CE (Texte présentant de
l'intérêt pour l'EEE), JOUE L337, du 23 décembre 2015
38
Le statut d’établissement de paiement a été créé par la Directive 2007/64/CE du Parlement européen et du
Conseil du 13 novembre 2007 concernant les services de paiement dans le marché intérieur, modifiant les
directives 97/7/CE, 2002/65/CE, 2005/60/CE ainsi que 2006/48/CE et abrogeant la directive 97/5/CE (Texte
présentant de l'intérêt pour l'EEE), JOUE L319, du 5 décembre 2007; Ils sont autorisés, sous réserve de
l’obtention d’un agrément, à proposer des services de paiement aux individus ; PORRECA R., « La
concurrence entre les établissements bancaires et les établissements de paiement : un leurre ? », RD bancaire
et fin. n° 3, Mai 2011, dossier 14 Communiqué de l’ACPR sur le Rappel des règles d’usage du terme de
« Néobanque » publié en avril 2021.
28. Le terme de FinTech quant à lui est plus large. C’est un mot-valise issu de la
contraction des termes anglais « Financial 39
» et « Technology 40
», qui désigne les
entreprises innovantes proposant des services financiers, qu’il s’agisse de banques en lignes,
d’établissement financements participatifs, de fournisseurs de services de coaching
financier41…
29. En avril 2021, l’Autorité de la concurrence a publié son avis dans le cadre d’une
enquête sectorielle qu’elle avait menée au sujet des FinTech42, dans lequel elle souligne
l’importance des FinTechs dans le développement de services de paiement innovants,
incitant les banques traditionnelles à s’adapter.
30. On peut considérer que la numérisation des banques a débuté dans les années 60, avec
la mise en place des cartes bancaires à pistes magnétiques et aux premiers Distributeurs
Automatiques de Billets (DAB), qui fonctionnaient alors grâce au réseau téléphonique et aux
pistes magnétiques des cartes bancaires. Dans les années 70, la carte bancaire a ensuite été
39
Soit, en français, « financier »
40
Soit, en français, « technologie »
41
ANONYME, « La Fintech, le numérique au service du secteur financier », Site économie.gouv, disponible à
l’adresse suivante :
https://www.economie.gouv.fr/entreprises/FinTech-innovation-finance,consulté le 11/03/2022.
42
Autorité de la Concurrence, Avis 21-A-05 du 29 avril 2021 portant sur le secteur des nouvelles technologies
appliquées aux activités de paiement. L’avis intégral est disponible en ligne à l’adresse suivante :
https://www.autoritedelaconcurrence.fr/fr/avis/portant-sur-le-secteur-des-nouvelles-technologies-appliquees-
aux-activites-de-paiement,consulté le 11/03/2022.
31. C’est également à cette époque que les premiers Guichets Automatiques de Banques
(GAB), ont vu le jour. Grâce à cette invention, les individus ont pu devenir un peu plus
autonomes, les GAB leur permettant de réaliser un certain nombre d’actes sans passer par
leur banquier, tel qu’éditer un RIB, effectuer un virement ou consulter le solde de leur
compte.
32. À la fin des années 80 apparaissent également les premières banques à distance44,
fonctionnant alors grâce au téléphone, au courrier papier et au Minitel, ensuite remplacé par
Internet et les ordinateurs.
33. C’est ainsi qu’en France, lors du passage à l’an 2000, plus de 70 établissements de
crédit avaient déjà un site WEB depuis lequel leurs clients pouvaient consulter le solde de
leurs comptes45. Depuis lors, les espaces de banque à distance (BAD) se sont généralisés très
rapidement. En 2002, on comptait ainsi déjà 8 millions d’utilisateurs de BAD en France46.
Le début des années 2000 a également marqué l’émergence des premières bancassurances
en ligne et le début d’une série d’investissement de banques classiques dans le secteur de la
banque en ligne, dont les offres s’ouvrent alors au-delà des comptes de dépôt en proposant
des offres de bourse et d’épargne. C’est également à cette époque que certains acteurs du
paiement en ligne et du e-commerce devenus depuis des géants, tels que PayPal, eBay et
Amazon, ont commencé à se faire connaître.
34. Les BAD, d’abord exclusivement disponibles depuis un ordinateur, ont pu, grâce aux
smartphones, dont l’usage s’est généralisé à la sortie du premier iPhone en 2007, devenir
43
Voir la frise disponible sur le site internet du réseau Cartes bancaires, disponible à l’adresse suivante :
https://www.cartes-bancaires.com/cb/histoire/,consulté le 11/03/2022.
44
La première banque à distance française était la banque Cortal, du groupe BNP Paribas. (Site internet BNP
Paribas, disponible à l’adresse suivante : https://group.bnpparibas/decouvrez-le-groupe/histoire-deux-siecles-
banque,consulté le 11/03/2022.
45
ACPR,« Etude concernant les nouvelles technologies de la banque à distance : quelles conséquences pour
les établissements financiers et leurs autorités de contrôle ? », 1999, disponible à l’adresse suivante :
https://acpr.banque-france.fr/sites/default/files/media/2017/11/06/cb_ra_1999_03.pdf,consulté le 11/03/2022.
46
ELIDRISSI A., « Les sites Web bancaires. Un outil de communication et de distribution au service du client
», La Revue des Sciences de Gestion, vol. 214-215, no. 4-5, pp. 165-176, 2005.
35. À partir de là, la plupart des innovations bancaires ont été étroitement liées aux
évolutions des smartphones, les plus marquantes étant l’arrivée de l’authentification
biométrique 47 par reconnaissante vocale, faciale ou tactile, qui permet aux individus de
s’authentifier sans saisir un mot de passe, et le paiement mobile sans contact48, qui permet
de réaliser des paiements avec son smartphone sans nécessairement avoir sa carte bancaire
avec soi.
36. Aux alentours de 2010, l’arrivée des FinTechs incite les banques à innover davantage
pour faire face à la concurrence qu’elles présentent. Citons par exemple la plateforme de
cagnottes en ligne Leetchi et l’application de paiement entre particuliers Lydia. Les premiers
agrégateurs bancaires voient également le jour autour des années 2010 49 , initiant le
phénomène d’Open Banking50. En 2014, il devient possible d’ouvrir un compte en quelques
minutes chez un buraliste avec le compte nickel, puis en 2017, dans les supermarchés
carrefour avec le compte C-Zam51.
37. Parmi toutes les évolutions numériques qu’a connues le secteur bancaire, celles
concernant le paiement ont certainement été les plus nombreuses, en lien, notamment, avec
les activités des BigTechs que sont les BATX Baidu, Alibaba, Tencent et Xiaomi, ainsi que
les GAFAM Google, Apple, Facebook, Amazon et Microsoft.
47
C’est-à-dire une authentification reposant sur la lecture de caractéristiques inhérentes à la personne, telles
que sa voix, son apparence, ses empreintes digitales…
48
ANONYME, « Paiement sans contact (ou NFC) : Comment ça marche ? », Site ABE Infos services,
disponible à l’adresse suivante :
https://www.abe-infoservice.fr/banque/moyens-de-paiement/paiement-sans-contact-ou-nfc-comment-ca-
marche,consulté le 11/03/2022.
49
L’agrégateur Linxo a par exemple été créé en 2010 (site internet de Linxo, disponible en ligne à l’adresse
suivante : https://www.linxo.com/a-propos-histoire-linxo,consulté le 11/03/2022.
50
Littéralement en français « Banque ouverte », c’est-à-dire l’ouverture des données bancaires au-delà des
seules banques. LEGEAIS D., « Open Banking : menace ou opportunité pour les banques ? », RD bancaire et
fin. n° 5, Septembre 2017, repère 5
51
BOULEAU C., « Pourquoi Carrefour lance le premier compte courant accessible en rayon », Challenge,
2017
39. Les banques se retrouvent ainsi en concurrence avec un grand nombre de nouveaux
établissements, et doivent repenser leurs modèles en réponse aux nouvelles attentes de leur
clientèle. Pour ce faire, l’omnicanalité, c’est-à-dire le fait, pour un client d’avoir le choix
entre différents canaux relationnels avec sa banque en retrouvant des fonctionnalités
analogues dans chacun d’entre eux, tend à devenir la norme.
40. Dans ce nouvel écosystème, les banques disposent néanmoins d’un avantage sur les
nouveaux acteurs : leur expérience. À ce sujet, l’Autorité de la concurrence note d’ailleurs
dans son avis sur le secteur des nouvelles technologies appliquées aux activités de paiement
rappelle en effet que les banques « possèdent une expérience inégalée dans la maîtrise de la
conformité aux différentes réglementations applicables et bénéficient d’une forte notoriété
ainsi que d’une bonne réputation en matière de sécurité et de protection des données de
leurs clients, à un moment ou les pratiques de certains grands acteurs du numérique à cet
égard font parfois débat »54.
41. En effet, si les FinTechs ont apporté de nombreuses innovations au secteur bancaire,
et incité les banques à adopter de nouvelles modalités relationnelles, certaines, et notamment
les BigTechs, sont aussi au cœur de débats liés à leurs pratiques, parfois mal perçues,
notamment en matière de traitements de données à caractère personnel. Aussi, les banques
traditionnelles peuvent-elles tenter de se démarquer des FinTechs en utilisant l’argument de
la confiance des clients dont elles disposent déjà.
52
Système d’opération des appareils du fabriquant Apple.
53
Système d’opération de nombreux appareils tels que ceux des maques Samsung, Sony et Google.
54
AUTORITE DE LA CONCURRENCE, Avis 21-A-05 du 29 avril 2021 portant sur le secteur des nouvelles
technologies appliquées aux activités de paiement. L’avis intégral est disponible en ligne à l’adresse suivante :
https://www.autoritedelaconcurrence.fr/fr/avis/portant-sur-le-secteur-des-nouvelles-technologies-appliquees-
aux-activites-de-paiement,consulté le 11/03/2022.
43. Les différentes évolutions numériques qu’a connues le secteur bancaire ont apporté
pour certains individus, un réel confort en leur permettant de réaliser de nombreux actes sans
avoir à solliciter un conseiller. Pour d’autres, elles ont créé, au contraire, de la complexité,
en rendant l’accès à un conseiller humain parfois plus difficile. Pour tous, elles ont créé un
environnement dans lequel il est nécessaire de disposer d’éléments de sécurité mettant leur
relation avec leur banque à l’abri des risques numériques.
44. En effet, le numérique semble être fréquemment associé à la notion de risque. Qu’il
s’agisse du risque de perdre le contrôle de ses données à caractère personnel, du risque de
faire l’objet d’une usurpation d’identité, ou encore du risque de faire l’objet d’une fraude
aux moyens de paiements. Pourtant, le numérique a aussi permis de sécuriser la relation
entre une banque et son client en ce qui concerne par exemple le paiement à distance. En
effet, avant la généralisation de la carte à puce, le chèque était généralement utilisé pour le
paiement à distance, or, ce dernier est l’instrument de paiement avec le taux de fraude le plus
élevé comme le démontre le rapport annuel de l’observatoire de la sécurité des moyens de
paiement de 202155.
45. Comment expliquer, alors, que seulement 42% des Français aient confiance dans le
numérique, que 7% n’aient pas d’avis et que 51% considèrent que son usage est risqué56 ?
Faut-il déduire de ces chiffres qu’il existe un risque spécifique au numérique, ou du moins
un risque augmenté par le numérique ?
46. C’est en tout cas ce que laisse supposer la notion de « risque cyber » ou « risque
numérique » qui est généralement définie comme le risque, tant pour une personne morale
55
OBSERVATOIRE DE LA SECURITE DES MOYENS DE PAIEMENT, « Rapport annuel 2021 »,
disponible en ligne à l’adresse suivante :
https://www.banquefrance.fr/sites/default/files/medias/documents/821162_osmp_2020_interieur_definitif_w
eb.pdf,consulté le 11/03/2022.
56
ACSEL, « Cinquième édition du baromètre du numérique », 2021. Les résultats sont consultables à l’adresse
suivante :https://www.acsel.eu/wp-content/uploads/2021/02/1.-Infographie-Acsel-Baromètre-Confiance-
Numérique-2021.pdf
47. La reconnaissance de ce risque a d’ailleurs été consacrée par le droit des assurances,
en ce qu’il s’agit aujourd'hui d’un risque partiellement, sinon totalement assurable 59 . Il
semble donc largement admis qu’il existe bien un type de risque spécifique ou augmenté par
le numérique. Parallèlement à cette notion de risque numérique a émergé la notion de
confiance numérique.
57
En 2014, le rapport conjoint du procureur général près la Cour d’appel de Riom Marc Robert, et des ministres
Bernard Cazeneuve, Christiane Taubira et Axelle Lemaire, proposait de définir la cybercriminalité comme
« toutes les infractions pénales tentées ou commises à l’encontre ou au moyen d’un système d’information et
de communication, principalement Internet ».(« Protéger les internautes, rapport sur la cybercriminalité »,
2014, disponible à l’adresse suivante : http://www.justice.gouv.fr/publications-10047/rapports-thematiques-
10049/lutte-contre-la-cybercriminalite-27415.html, consulté le 11/03/2022).
58
ANONYME, « Risques cyber », Site internet gouvernement.fr, disponible à l’adresse suivante :
https://www.gouvernement.fr/risques/risques-cyber, consulté le 11/03/2022.
59
CAPRIOLI E., « Quand l'assurance ne couvre pas tous les risques numériques », Comm. com. électr. n° 9,
Septembre 2016, comm. 77 ; Lire le rapport du Haut Comité Juridique de la Place Financière sur l’assurabilité
des risques cyber du 28 janvier 2022, disponible à l’adresse suivante : https://www.banque-
france.fr/sites/default/files/rapport_45_f.pdf,consulté le 11/03/2022.
60
Loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique, JORF n°0143 du 22 juin
2004, NOR : ECOX0200175L.
61
Le communiqué de presse publié à l’issue du Conseil des ministres du 15 janvier 2003, à l’occasion duquel
le projet de loi avait été présenté par la ministre déléguée à l’industrie, indiquait notamment que « ce texte
traduit la volonté du Gouvernement de créer les conditions de la confiance, à travers l'instauration de règles du
jeu claires pour les prestataires de service de l'internet et la mise en œuvre d'une protection efficace pour les
utilisateurs. ».Le communique de presse est disponible à l’adresse suivante:
http://archives.gouvernement.fr/raffarin_version1/fr/ie4/contenu/37882.htm#1, consulté le 11/03/2022.
62
Règlement (UE) n ° 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l’identification
électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et
abrogeant la directive 1999/93/CE, JOUE L257 du 28 aout 2014
51. Créée quant à elle en 2009, l’Agence Nationale de Systèmes d’Information65 associe
systématiquement la notion de “confiance numérique” à celle de “risque numérique” ou,
“risque cyber” et la présente comme l’un des “grands enjeux politiques, économiques et
sociétaires” de notre époque 66 . Dans ses travaux, elle suggère ainsi que la confiance
numérique serait une réponse au risque numérique67.
52. Si nous revenons à la notion même de confiance. Le mot « confiance » nous vient du
mot latin « confidere », de la contraction des mots latins « cum », qui se traduit par « avec »
63
Site officiel de la Fédération Nationale des Tiers de Confiance du Numérique, disponible à l’adresse
suivante : https://fntc-numerique.com/fr/accueil.html, consulté le 11/03/2022.
64
Ibid.
65
Site officiel de l’Agence Nationale de Sécurité des Systèmes d’Information , disponible à l’adresse suivante :
https://www.ssi.gouv.fr, consulté le 11/03/2022.
66
On peut lire sur le Site officiel de L'Agence Nationale de Sécurité des Systèmes d'Information ce qui suit
« Les services de l’État, les entreprises et les individus sont de plus en plus connectés par des technologies
offrant de nouveaux modes de travail, d’interaction et de transaction. Sous la pression de la mobilité, de
l’utilisation massive des données ou encore de l’Internet des objets, le numérique se diffuse toujours plus
rapidement et profondément, plaçant la confiance numérique au rang des grands enjeux politiques,
économiques et sociétaux. Par son rôle dans la définition du cadre réglementaire du numérique, ses actions
de sensibilisation et ses stratégies de coopérations multiformes, l’ANSSI place la confiance numérique au cœur
de ses missions.” (« Développer la confiance numérique », site internet de l’ANSSI, consulté le 11/03/2022).
67
Dans le cadre de la promotion du Guide « Maîtrise du risque numérique, l’atout confiance » issu d’un
partenariat avec l’Association pour le management des risques et des assurances de l’entreprise (AMRAE), les
propos de B. BOUQUOT, sa présidente, sont mis en avant par l’ANSSI sur son site internet : « Avec ce guide,
notre objectif commun est de faire en sorte que tout l’écosystème mette en place les conditions de la confiance
numérique. Si l’entreprise a en permanence un œil sur ses vulnérabilités, elle pourra anticiper les scenarii les
plus impactant, en évaluant leurs conséquences financières ou de réputation, et ainsi réduire le risque cyber
». (« Maitrise du risque numérique », ANSSI, 2019, disponible à l’adresse suivante :
https://www.ssi.gouv.fr/actualite/confiance-numerique-lanssi-et-lamrae-publient-un-guide-sur-la-maitrise-du-
risque-numerique-pour-les-dirigeants/, consulté le 11/03/2022.
53. Pour les Français, la notion de confiance semble révéler une importance
particulièrement forte comme le révèlent les résultats d’une étude de l’Observatoire
Sociovision70. La confiance serait ainsi le quatrième mot auquel les Français sont les plus
attachés, à égalité avec le mot « égalité », après les mots « respect », « solidarité » et
« liberté ».
55. En croisant ces éléments avec ceux que nous avons déduits des propos de la FNTC et
de l’ANSSI concernant la confiance numérique, la notion de confiance numérique serait
donc une confiance, a priori décidée, plutôt qu’assurée, que l’on déciderait d’accorder dans
une situation de risque numérique.
56. N. LUHMANN soutient dans ses travaux que la confiance ne serait décidée, et non
pas assurée, que lorsqu’il s’agirait d’agir selon une préférence, ce qui suppose donc la
possibilité d’un choix. Or le numérique devient progressivement un incontournable du
quotidien des individus, ce qui pourrait donc conduire à admettre un jour qu’il existerait une
68
Centre National de Ressources Textuelles et Lexicales
69
Dictionnaire de l'académie française
70
Ce sondage est issu de l’Étude de sociovision intitulée « crise sanitaire, l’occasion de réinventer
un contrat de confiance ? réalisée en 2019. En introduction, il est très justement rappelé que « Plus le contexte
est propice à l’inquiétude, plus la confiance devient une condition absolue, qu’il s’agisse d’attirer des clients
ou de faire accepter des mesures publiques. Mais - et c’est là le hic - plus construire et pérenniser un niveau
élevé́ de confiance s’avère difficile »
71
LUHMANN N., « Confiance et familiarité. Problèmes et alternatives », Réseaux, 2001/4 (no 108), p. 15-35
57. C’est ainsi que les banques, traditionnellement considérées comme étant des tiers de
confiance, sont aujourd’hui en quête de confiance numérique, dans un contexte où la
confiance assurée dont elles jouissaient a été mise à mal par la crise de 2008. En octobre
2019, F. OUDEA, alors directeur général du groupe bancaire Société Générale et président
de la Fédération Bancaire Française rappelait d’ailleurs très justement à ses compères que
« les données client sont l’actif numéro un des banques et garantir la sécurité de ces données
est le socle de la relation de tiers de confiance établie avec tous leurs clients, entreprises
comme particuliers72 ».
58. Pour générer davantage de confiance numérique dans le domaine bancaire, quels
leviers activer alors ? S’agit-il d’ailleurs, de leviers sous le seul contrôle des banques ?
S’agit-il sinon de leviers tiers ? Au regard de l’omniprésence du terme « confiance » dans
les réglementations numériques73, le législateur semble vouloir en faire son affaire.
72
OUDEA F, « Risques cyber : où placer le curseur entre innovation et sécurité ? », 2019.
73
Le terme de confiance apparait notamment deux cent trente-deux fois dans le Règlement (UE) no 910/2014
du Parlement européen et du Conseil du 23 juillet 2014 sur l’identification électronique et les services de
confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE,
dit Règlement eIdas, trois fois dans la Directive 2007/64/CE du Parlement européen et du Conseil du 13
novembre 2007 concernant les services de paiement dans le marché́ intérieur, modifiant les directives 97/7/CE,
2002/65/CE, 2005/60/CE ainsi que 2006/48/CE et abrogeant la Directive 97/5/CE dite DSP 1, cinq fois dans
la Directive (UE) 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015 concernant les
services de paiement dans le marché intérieur, modifiant les directives 2002/65/CE, 2009/110/CE et
2013/36/UE et le Règlement (UE) no 1093/2010, et abrogeant la directive 2007/64/CE, dite DSP 2, deux fois
dans le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection
des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de
ces données, et abrogeant la directive 95/46/CE, dit RGPD, six fois dans la proposition de Règlement du
Parlement européen et du Conseil du 15 décembre 2020 relatif aux marchés contestables et équitables dans le
secteur numérique (législation sur les marchés numériques) et trente-quatre fois dans la proposition de
Règlement du Parlement européen et du Conseil du 15 décembre 2020 relatif à un marché intérieur des services
numériques (Législation sur les services numériques) et modifiant la directive 2000/31/CE.
60. Cette stratégie est relativement ancienne puisque, bien que les textes se soient succédé
ces vingt dernières années 74 , les différents leviers utilisés sont les mêmes depuis de
nombreuses années. Pourtant, la confiance numérique est toujours une problématique
d’actualité. Faut-il en déduire que ces leviers sont inefficaces sur la confiance numérique ?
Ou peut-être la problématique de confiance numérique est-elle mal posée ?
61. Rappelons que les disparités en termes de maîtrise du numérique restent aujourd’hui
nombreuses. En 2010, 150 millions d’individus n’avaient pas accès à internet, soit 30% de
la population européenne. En France, on estime qu’en 2019 environ 17% de la population
ne détenait aucune des compétences élémentaires en numérique, à savoir, faire une recherche
en ligne, communiquer électroniquement, utiliser un logiciel ou résoudre une problématique
en ligne tel que consulter ses comptes bancaires75.
74
Pour n’en citer que certaines, la Directive 2007/64/CE du Parlement européen et du Conseil du 13 novembre
2007 concernant les services de paiement dans le marché intérieur, modifiant les directives 97/7/CE,
2002/65/CE, 2005/60/CE ainsi que 2006/48/CE et abrogeant la directive 97/5/CE (Texte présentant de l'intérêt
pour l'EEE), JOUE L319, du 5 décembre 2007, la Directive (UE) 2015/2366 du Parlement européen et du
Conseil du 25 novembre 2015 concernant les services de paiement dans le marché intérieur, modifiant les
directives 2002/65/CE, 2009/110/CE et 2013/36/UE et le Règlement (UE) no 1093/2010, et abrogeant la
directive 2007/64/CE, dite DSP 2, le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27
avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère
personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE, dit RGPD…
75
INSEE, « 800 000 habitants en situation d’illectronisme en hauts de France », 8 décembre 2020, page 2,
disponible en ligne à l’adresse suivante : https://www.insee.fr/fr/statistiques/4986976,consulté le 11/03/2022.
63. Les différentes mesures prises par le législateur ont contribué à la mise en place d’un
environnement juridique relativement complexe pour les banques, qui doivent concilier leurs
obligations purement bancaires avec des obligations liées aux usages numériques, souvent
techniques. Mais cet environnement juridique est-il vraiment, comme semble le rechercher
le législateur, un vecteur efficace de confiance numérique ?
64. Nous tenterons, dans cette étude, de déterminer si la stratégie du législateur se vérifie
dans le processus contractuel applicable au domaine bancaire (première partie), et au stade
de l’exécution du contrat (seconde partie).
76
Recommandation du Parlement Européen et du conseil du 18 décembre 2006 sur les compétences clés pour
l'éducation et la formation tout au long de la vie (2006/962/CE) : « Les compétences sont définies en
l'occurrence comme un ensemble de connaissances, d'aptitudes et d'attitudes appropriées au contexte. Les
compétences clés sont celles nécessaires à tout individu pour l'épanouissement et le développement personnels,
la citoyenneté active, l'intégration sociale et l'emploi.
66. Si la détention d’un compte bancaire n’est aucunement imposée par la réglementation,
il est en pratique extrêmement contraignant de ne pas en posséder. Il sera, par exemple,
impossible de percevoir un salaire de plus de 1500 euros79, de payer ses impôts quand ils
sont supérieurs à 300 euros80, ni d’effectuer des achats auprès de professionnels quand la
transaction dépasse 1000 euros81.
77
DE LIMA P., Économie bancaire et croissance économique. Vers une macroéconomie renouvelée, Dunod,
2012, pp. 7-34 ; Dictionnaire des citations : « de l’italien « banca ou banco », banque, proprement banc, à cause
du banc qu'avaient à l'origine, comme beaucoup d'autres marchands, ceux qui faisaient le commerce d'argent. ».
LASSERRE CAPDEVILLE J., STORCK M., MIGNOT M., KOVAR J-P., ERESEO N., Précis de Droit
78
68. La place de la confiance dans cette relation entre les individus et leurs banques est un
phénomène qu’il nous semble intéressant d’étudier en raison de cette inévitable dépendance
qui lit les premiers aux seconds. En effet, quelle valeur peut-on donner à la confiance dans
une relation où l’une des parties de la relation est aussi dépendante de l’autre ?
69. Si la relation entre les banques et leur clientèle a beaucoup évolué depuis la création
des premières banques, le numérique a d’autant plus accentué cette évolution. En effet,
traditionnellement, le banquier était perçu par son client comme un confident d’une
82
Le premier alinéa de l’article L312-1 du Code Monétaire et Financier dispose que : « A droit à l'ouverture
d'un compte de dépôt dans l'établissement de crédit de son choix, sous réserve d'être dépourvu d'un tel compte
en France :
1° Toute personne physique ou morale domiciliée en France ;
2° Toute personne physique résidant légalement sur le territoire d'un autre Etat membre de l'Union européenne
n'agissant pas pour des besoins professionnels ainsi que toute personne physique de nationalité française
résidant hors de France. »
83
Article D312-5 du Code Monétaire et Financier : « Les prestations de base mentionnées au II de l'article L.
312-1 comprennent :
1° L'ouverture, la tenue et la clôture du compte ;
2° Un changement d'adresse par an ;
3° La délivrance à la demande de relevés d'identité bancaire ;
4° La domiciliation de virements bancaires ;
5° La fourniture mensuelle d'un relevé des opérations effectuées sur le compte ;
6° L'encaissement de chèques et de virements bancaires ;
7° Les paiements par prélèvements SEPA, titre interbancaire de paiement SEPA ou par virement bancaire
SEPA, ce dernier pouvant être réalisé aux guichets ou à distance ;
8° Des moyens de consultation à distance du solde du compte ;
9° Les dépôts et les retraits d'espèces au guichet ou aux distributeurs automatiques de l'organisme teneur de
compte ;
10° Une carte de paiement permettant notamment le paiement d'opérations sur internet et le retrait d'espèces
dans l'Union européenne. »
72. Aujourd’hui, la relation individuelle entre le banquier et son client tend donc à
disparaître au profit d’une relation institutionnelle entre la banque et son client. Le
développement numérique des banques est poussé par la concurrence des FinTechs, ces
entreprises financières innovantes, et l’évolution des attentes de leurs clientèles. Or, certains
outils ou pratiques numériques en eux-mêmes font l’objet d’une certaine méfiance de la part
des individus, comme cela semble être le cas des algorithmes, de l’intelligence artificielle et
du paiement sans contact.
84
STAES O, “Secret bancaire et impératif de justice”, Recueil Dalloz 1998, p.625
85
CHAPTAL S., « Quand la relation passe en 2.0, Revue Banque n°728, 2010
86
CAHEN P., « Les signaux faibles pour préparer le futur », Revue pratique de la prospective et de l'innovation
n° 1, Octobre 2016, dossier 3
76. Lors de cette phase, la banque et le prospect sont amenés à échanger un grand nombre
d’informations, qui vont établir les bases de la relation contractuelle à venir. C’est
notamment à cette occasion que la banque va devoir s’assurer de l’identité de son client88.
77. Les nouvelles modalités relationnelles établies par la digitalisation des banques et les
atteintes de leur clientèle, notamment en termes de rapidité, ont fortement transformé cette
phase d’entrée en relation. En effet, cette dernière peut désormais intervenir sans qu’aucun
conseiller de la banque n’échange avec le prospect sur le point de devenir client.
78. Or, en l’absence d’un tel échange, il peut être particulièrement difficile pour une
banque de déceler des incohérences entre les informations fournies par un individu et sa
situation réelle, qu’il s’agisse de son identité ou de l’authenticité des justificatifs fournis. La
responsabilité de la banque en la matière est cependant limitée à la recherche des
incohérences et anomalies manifestes89.
79. C’est ainsi à une problématique de confiance dans l’identité du prospect que sont
confrontés les établissements bancaires dans ce contexte, cette problématique ne leur est
cependant pas exclusive, puisqu’elle est présente dans tous les secteurs dans lesquels le self
care90 se développe, tel que les administrations, et les assureurs.
87
L’article L561-5-1 du Code Monétaire et Financier dispose en effet qu’ « Avant d'entrer en
relation d'affaires, les personnes mentionnées à l'article L. 561-2 recueillent les informations relatives à l'objet
et à la nature de cette relation et tout autre élément d'information pertinent. Elles actualisent ces informations
pendant toute la durée de la relation d'affaires.”
CASSON P. et TOUFFLET J., “Compte bancaire. Généralités. Compte de dépôt », J. Cl. Banque-Crédit-
88
81. Au stade de l’entrée en relation, la réponse à cette problématique n’a pas pu être
directement envisagée par le droit bancaire, car elle est dépendante d’un sujet qui le dépasse,
celui des moyens d’identification à distance (Chapitre I). Le sujet, plus large, de
l’identification à distance devient en effet aujourd’hui incontournable pour les banques, dont
les obligations, et les ambitions, en termes de connaissance de leur clientèle sont de plus en
plus fortes. (Chapitre II)
83. Les relations de confiance dans un contexte personnel sont en effet rarement établies
dans le cadre d’un échange mutuel de justificatifs d’identité. Il est ainsi tout à fait
envisageable que des individus ne se connaissent pas réellement sous leur identité civile,
sans que cela n’ait d’incidences sur la relation de confiance, celle-ci étant basée sur l’identité
apparente, l’attitude, le comportement ou encore l’histoire. Dans un tel contexte, une
demande de preuve d’identité civile serait d’ailleurs certainement perçue comme une remise
en cause de la relation de confiance naissante ou établie.
91
La notion de confiance est notamment au centre des travaux du professeur N. LUHMANN, à qui nous devons
la distinction entre « Trust » et « Confidence », mais aussi ceux du professeur M. MARZANO qui souligne,
dans son article « Qu’est-ce que la confiance » publié en 2010 dans la revue « Études » tome 412, le caractère
dichotomique de la confiance, qui est essentielle aux relations humaines et à la réalisation de projets, mais
également dangereuse en ce qu’elle expose aux risques de trahison.
92
Citons notamment les travaux du professeur L. CORNU, qui a dédié un article au sujet de la confiance dans
la revue « Le Télémaque » en 2003 dans lequel elle souligne les rapports étroits qu’entretiennent la confiance
et le phénomène d’émancipation, en ce que la confiance peut engendrer la renonciation au contrôle des actes
de la personne en laquelle on fait confiance. Citons également les travaux de A. KHATCHATOUROV, qui,
dans un article de l’Institut des Mines Telecom remet en question l’approche actuelle de la confiance en
environnement numérique, souvent présentée comme un simple mécanisme de gestion des risques liés à
l’identité.
93
KHATCHATOUROV A, « Confiance et identités dans le numérique », Blog recherche Institut des Mines-
Telecom, 2017, disponible à l’adresse suivante : https://imtech.wp.imt.fr/2017/07/27/confiance-identites-
numerique/,consulté le 11/03/2022.
85. Dans le cadre d’une entrée en relation en face-à-face, le conseiller peut réceptionner
en personne les justificatifs du prospect et vérifier qu’ils appartiennent bien à ce dernier, le
risque principal étant qu’il s’agisse de vrais « faux documents », c’est-à-dire de documents
officiels obtenus sur la base de justificatifs frauduleux95.
86. Dans le cadre d’une entrée en relation à distance, le risque est en principe augmenté
car la personne n’étant pas présente, la vérification de la concordance des justificatifs fournis
avec les caractéristiques physiques du prospect est compromise.
87. Cependant, considérer que seule la confiance du banquier est en question serait erroné.
En effet, la problématique de confiance est ici selon nous à double sens : le client a besoin
d’être assuré que l’on ne pourra usurper son identité et que la banque saura sécuriser son
patrimoine et l’accès à ses données à caractère personnel. La banque quant à elle a besoin
de s’assurer de l’identité civile de ses clients à des fins réglementaires mais aussi dans
l’éventualité d’un litige futur. (Section I) En réponse à ce besoin de confiance, les banques
94
L’article R.561-5-1 du Code Monétaire et Financier dispose que : « Pour l'application du 1° du I de
l'article L. 561-5, les personnes mentionnées à l'article L. 561-2 identifient leur client dans les conditions
suivantes:
1° Lorsque le client est une personne physique, par le recueil de ses nom et prénoms, ainsi que de ses date et
lieu de naissance ;
2° Lorsque le client est une personne morale, par le recueil de sa forme juridique, de sa dénomination, de son
numéro d'immatriculation, ainsi que de l'adresse de son siège social et celle du lieu de direction effective de
l'activité, si celle-ci est différente de l'adresse du siège social ;
3° Lorsque le client intervient dans le cadre d'une fiducie ou d'un dispositif juridique comparable de droit
étranger, par le recueil des informations prévues au présent article pour l'identification des constituants, des
fiduciaires, des bénéficiaires et, le cas échéant, du tiers au sens de l'article 2017 du code civil ou de leurs
équivalents pour tout autre dispositif juridique comparable relevant d'un droit étranger. Dans le cas où les
bénéficiaires sont désignés par des caractéristiques ou une catégorie particulières, les personnes mentionnées
à l'article L. 561-2 recueillent les informations permettant de les identifier au moment du versement des
prestations ou au moment où ils exercent leurs droits acquis ;
4° Lorsque le client est un placement collectif qui n'est pas une société, par le recueil de sa dénomination, de
sa forme juridique, de son numéro d'agrément, de son numéro international d'identification des valeurs
mobilières, ainsi que de la dénomination, de l'adresse et du numéro d'agrément de la société de gestion qui le
gère. »
95
LECERF J-R., “ Rapport d’information sur la nouvelle génération de documents d'identité et la fraude
documentaire », 2005
89. Si nous considérons maintenant le point de vue de la clientèle, l’effet de ces mesures
sur la confiance peut être à double tranchant. Elles peuvent en effet, au mieux, être perçues
comme attestant de la rigueur de la banque ou du prestataire de services de paiements dans
le respect des procédures. Et au pire, être perçues comme très intrusives. D’autant plus
qu’avec le développement du numérique, ces mesures, communément regroupées sous le
90. Les obligations d’identification des clients qui s’imposent aux banques trouvent leur
source dans certaines de leurs missions induisant une transmission d’information obligatoire,
notamment en matière fiscale et dans le cadre de la lutte contre le blanchiment d’argent et le
financement du terrorisme, dite LCB-FT (§ 1).
91. Dans ce contexte, certains comportements, tels que l’usage de plus en plus répandu
des cryptoactifs, peuvent être perçus comme des actes de défiance vis-à-vis des banques et
monnaies étatiques, l’un des attributs des cryptoactifs les plus connus à l’origine étant
96
Littéralement « Connaissez votre client » en français, désigne les obligations de connaissance du client dans
le domaine bancaire.
97
L’article R561-5-2 du Code Monétaire et Financier dispose que : « Pour l'application du 2° du I de
l'article L. 561-5, et lorsque les mesures prévues aux 1° à 4° de l'article R. 561-5-1 ne peuvent pas être mises
en œuvre, les personnes mentionnées à l'article L. 561-2 vérifient l'identité de leur client en appliquant au
moins deux mesures parmi les suivantes :
1° Obtenir une copie d'un document mentionné au 3° ou au 4° de l'article R. 561-5-1 ;
2° Mettre en œuvre des mesures de vérification et de certification de la copie d'un document officiel ou d'un
extrait de registre officiel mentionné au 3° ou au 4° de l'article R. 561-5-1 par un tiers indépendant de la
personne à identifier
3° Exiger que le premier paiement des opérations soit effectué en provenance ou à destination d'un compte
ouvert au nom du client auprès d'une personne mentionnée aux 1° à 6° bis de l'article L. 561-2 qui est établie
dans un Etat membre de l'Union européenne ou dans un Etat partie à l'accord sur l'Espace économique
européen ou dans un pays tiers imposant des obligations équivalentes en matière de lutte contre le blanchiment
de capitaux et le financement du terrorisme ;
4° Obtenir directement une confirmation de l'identité du client de la part d'un tiers remplissant les conditions
prévues au 1° ou au 2° du I de l'article L. 561-7 ;
5° Recourir à un service certifié conforme par l'Agence nationale de la sécurité des systèmes d'information,
ou un organisme de certification que cette agence autorise, au niveau de garantie substantiel des exigences
relatives à la preuve et à la vérification d'identité, prévues à l'annexe du Règlement d'exécution (UE)
2015/1502 du 8 septembre 2015. Un arrêté conjoint du Premier ministre et du ministre chargé de l'économie
précise les modalités d'application de ce 5° ;
6° Recueillir une signature électronique avancée ou qualifiée ou un cachet électronique avancé ou qualifié
valide reposant sur un certificat qualifié ou avoir recours à un service d'envoi recommandé électronique
qualifié comportant l'identité du signataire ou du créateur de cachet et délivré par un prestataire de service
de confiance qualifié inscrit sur une liste de confiance nationale en application de l'article 22 du Règlement
(UE) n° 910/2014 du 23 juillet 2014 .
Parmi les mesures mentionnées ci-dessus, les personnes mentionnées à l'article L. 561-2 choisissent celles qui,
combinées entre elles, permettent la vérification de tous les éléments d'identification du client mentionnés à
l'article R. 561-5 .
Ces personnes conservent, selon les modalités prévues à l'article L. 561-12, les informations et documents
relatifs aux mesures mises en œuvre au titre du présent article, quel qu'en soit le support. »
98
LECUSSAN. J., « Récolte de données : quels enjeux pour les banques ? », Les Échos, 2019
92. Les banques sont particulièrement bien placées pour connaître l’étendue du patrimoine
de leur clientèle, les activités de cette dernière au travers de ses écritures bancaires, mais
aussi ses projets au travers des demandes de financement100. Il est donc compréhensible que
l’Etat ait confié aux banques un rôle clé en ce qui concerne un certain nombre de contrôles
relatifs au patrimoine et activités des individus.
93. Agissant dans ce cadre en tant que « tiers déclarant », les établissements bancaires se
doivent de s’assurer de l’identité de leurs clients, a fortiori en raison des risques liés aux
homonymes très fréquents parmi ces derniers. Citons par exemple le dispositif de lutte contre
le blanchiment d’argent et le financement du terrorisme prévu par les articles R561-1 et
suivants du Code Monétaire et Financier, qui met à la charge des établissements listés à
l’article L561-2 101 du même code, une mission de surveillance, imposant notamment la
transmission de certaines informations relatives à leurs clients aux autorités (A). Les
établissements bancaires sont également mis à contribution par l’administration fiscale, au
même titre que les employeurs et autres organismes privilégiés en ce qui concerne la
connaissance du patrimoine des individus (B).
99
LEGEAIS D., « Développement et potentialités des crypto-monnaies”, JCP E n° 29, 19 Juillet 2018, 583
LASSERRE CAPDEVILLE J., STORCK M., MIGNOT M., KOVAR J-P., ERESEO N., Précis de Droit
100
94. Les banques sont en première ligne dans la lutte contre le blanchiment d’argent et le
financement du terrorisme102. Elles sont à ce titre directement concernées par les dispositions
du Titre 6 Livre 5 du Code Monétaire et Financier qui font peser sur ces dernières une
obligation de vigilance, qui peut être standard ou modulée avec à chaque fois des mesures
graduées et proportionnées au risque de fraude103.
95. Ces mesures de vigilance supposent, pour les établissements concernés, qu’ils soient
en mesure de vérifier l’identité de leurs clients mais aussi l’objet et la nature des opérations
passées, tant au stade de l’entrée en relation que tout au long de la relation104.
96. Pour répondre à ces obligations dans un contexte « à distance », les banques s’appuient
sur des formulaires dont le renseignement est obligatoire, ainsi que sur des analyses
comportementales. Le but étant de pouvoir détecter les opérations dites suspectes et de les
déclarer aux organismes compétents : l’Autorité de Contrôle Prudentiel et de Résolution
(ACPR) et le service de Traitement du Renseignement et Action Contre les circuits
Financiers clandestins (TracFin).
97. Crée en 1990, TracFin est un service de renseignements dont la compétence matérielle
est restreinte aux services financiers. Ce service, rattaché au Ministère de l’Économie et des
Finances, fait l’objet d’une section entière du Code Monétaire et Financier105. Tracfin a trois
missions : L’analyse et l’enrichissement de l’information financière reçue au titre des articles
L561-26, L561-27 et L561-31 du CMF, la réception et protection des renseignements sur les
circuits financiers clandestins et les opérations potentiellement destinées au financement du
terrorisme, et au blanchiment de fond, et la transmission des renseignements financiers aux
102
BOUHARCHICH F. et COMBEAUD S. L., « Lutte contre le blanchiment de capitaux et le financement du
terrorisme – Directives européennes (UE) 2015/849 et (UE) 2018/843 ainsi que leur transposition en droit
français », J. Cl Banque Crédit Bourse, Fasc. 1605, 2021
103
BOUHARCHICH F. et COMBEAUD S. L., « Lutte contre le blanchiment de capitaux et le financement du
terrorisme – Directives européennes (UE) 2015/849 et (UE) 2018/843 ainsi que leur transposition en droit
français », J. Cl Banque Crédit Bourse, Fasc. 343-1, 2021
104
LASSERRE CAPDEVILLE J., STORCK M., MIGNOT M., KOVAR J-P., ERESEO N., Précis de Droit
Bancaire, 3eme édition, Dalloz, 2021
105
Articles L561-23 et suivants du Code Monétaire et Financier
98. Pour mener à bien ses trois missions, TracFin est dotée de prérogatives lui permettant
de contourner le secret bancaire106. En effet, suite à la déclaration de soupçon107 adressée à
TracFin par un établissement assujetti aux règles de LCB-FT, ce service de renseignement
est habilité à exiger de l’établissement concerné qu’il lui communique tous les documents,
sur tout support confondu, en relation avec l’opération suspecte. Tracfin peut également
exiger que l’établissement concerné lui permette de consulter directement ces documents sur
place, ou encore, obtenir d’autres organismes, Français ou étranger, des informations
relatives à son enquête dans le cadre d’un échange d’informations. Il est à noter que pendant
son enquête, TracFin est habilité à exiger le blocage de l’opération suspecte jusqu’à un jour
ouvré dans le cadre de son droit d’opposition, ce qui peut être délicat à justifier par
l’établissement concerné à son client puisque ce dernier ne doit pas savoir qu’il a fait l’objet
d’une déclaration de soupçon.
99. L’essence même des obligations relatives à la LCB-FT qui pèsent sur les banques
consisteraient donc à ne pas faire trop confiance à leur clientèle dans le cadre de leurs
relations et d’ainsi faire preuve d’un minimum de méfiance à l’égard de cette dernière. La
réglementation va d’ailleurs jusqu’à imposer aux banques de ne pas procéder à une entrée
en relation quand elles ne sont pas en mesure de procéder aux contrôles nécessaires108.
BORDAS F ET MAOUCHE S., « Devoirs professionnels des établissements de crédit. Secret bancaire . –
106
101. Le même constat peut également être fait en ce qui concerne la transmission
d’informations patrimoniales et fiscales dans le cadre de la lutte contre l’évasion fiscale. En
effet, dans le cadre de leur relation avec l’administration fiscale, les banques sont qualifiées
de tiers déclarants, en ce qu’il leur incombe de déclarer certaines informations relatives à
leur clientèle directement à l’administration111 à sa demande, sans pouvoir lui opposer le
secret bancaire112.
102. En effet, l’article 83 du livre des procédures fiscales accorde à certaines personnes
habilitées de l’administration un droit de communication de documents relatifs à leurs
article. Si celle-ci a déjà été établie en application du IV de l'article L. 561-5, elle y met un terme et la
déclaration prévue à l'article L. 561-15 s'effectue dans les conditions prévues à cet article.
Les personnes mentionnées aux 12° à 13° de l'article L. 561-2 ne sont pas soumises aux dispositions du premier
alinéa lorsque leur activité se rattache à une procédure juridictionnelle, y compris dans le cadre de conseils
relatifs à la manière d'engager ou d'éviter une telle procédure, et lorsqu'elles donnent des consultations
juridiques.
II. – Le I s'applique également lorsqu'un établissement de crédit a été désigné par la Banque de France sur le
fondement de l'article L. 312-1 et que l'établissement n'a pas pu satisfaire à l'une des obligations prévues à
l'article L. 561-5 ou à l'article L. 561-5-1.
III. – Un décret en Conseil d'Etat précise les modalités d'application du I lorsque la conclusion ou la résiliation
du contrat auquel il est mis fin en application du présent article est régie par des dispositions législatives
spécifiques »
109
ROUSSILLE. M., Notes sous ACPR sanct., 22 févr. 2018, no 2017-08, Gaz. Pal. 12 juin 2018, n° 324j4, p.
78 ; Voir également Cass. 1re civ., 2 nov. 2005, SARL Eggo Conseils c/ BNP Paribas
110
MATHEY N, « La portée du devoir de vigilance”, RD bancaire et fin. n° 5, Septembre 2013, dossier 48
LASSERRE CAPDEVILLE J., STORCK M., MIGNOT M., KOVAR J-P., ERESEO N., Précis de Droit
111
103. Citons par exemple l’article 242 ter du Code Général des Impôts en vertu duquel les
banques sont tenues de déclarer à la Direction Générale des Finances publiques l’identité,
l’adresse et le détail du montant imposable des bénéficiaires de revenus de capitaux
mobiliers 115 . Ou encore, les nombreux dispositifs internationaux liés à la lutte contre
l’évasion fiscale, tels que l’accord américain Forain Account Tax Compliant Act, dit
FATCA, en vertu duquel les banques étrangères s’engagent à communiquer aux États-Unis
la liste des comptes détenus par des citoyens américains116. Les informations ainsi transmises
ont généralement vocation à intégrer des fichiers les centralisant.
105. Le Fichier Central des Chèques, dit FCC et le Fichier des Incidents de remboursement
des Crédits aux Particuliers, dit FICP, sont en effet tous deux des fichiers centralisant les
incidents. Le premier, le FCC concerne les individus interdits de détention d’une carte
113
Articles 806-I et 1649A du code des impôts par exemple
114
Articles L96 et suivants du livre des procédures fiscales par exemple
115
Article 242 ter du Code Général des impôts
116
Décret n° 2015-1 du 2 janvier 2015 portant publication de l'accord entre le Gouvernement de la République
française et le Gouvernement des États-Unis d'Amérique en vue d'améliorer le respect des obligations fiscales
à l'échelle internationale et de mettre en œuvre la Loi relative au respect des obligations fiscales concernant les
comptes étrangers (dite « Loi FATCA »)
106. Le FICP quant à lui concerne les individus ayant fait l’objet d’un incident de
remboursement de crédit ou d’une procédure de surendettement119. C’est ainsi que le défaut
de remboursement de deux mensualités de crédit d’affilée ou l’utilisation abusive d’un
découvert autorisé par exemple emporteront inscription à ce fichier et ce jusqu’au
rétablissement de leur situation120. Le fait pour un individu de faire l’objet d’une inscription
au FICP peut être relativement anxiogène en ce qu’il s’agit de garder la trace d’une erreur
ou d’un défaut passé que doivent obligatoirement consulter tous les établissements bancaires
que cet individu pourrait solliciter dans le cadre d’un financement 121 . Le fait pour un
117
Article L131-84 du Code Monétaire et Financier : « Le tiré qui a refusé le paiement d'un chèque pour défaut
de provision suffisante ou qui a clôturé un compte sur lequel des formules de chèque ont été délivrées ou qui
a enregistré une opposition pour perte ou vol de chèques ou de formules de chèque en avise la Banque de
France. »
118
Voir le guide de la Banque de France au sujet du FCC. Le guide ets disponible à l’adresse suivante :
https://particuliers.banquefrance.fr/sites/default/files/media/2018/02/19/818010_fcc_web_v3_2018_01_26_0
9h15m28.pdf,consulté le 11/03/2022.
119
Article 751-1 du Code Monétaire et Financier : « Un fichier national recense les informations sur les
incidents de paiement caractérisés liés aux crédits accordés aux personnes physiques pour des besoins non
professionnels.
Ce fichier est géré par la Banque de France, laquelle est seule habilitée à centraliser ces informations.
Il est soumis à la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés. »
120
Article L752-1 du Code Monétaire et Financier : « Les entreprises mentionnées au premier alinéa de
l'article L. 751-2 sont tenues de déclarer à la Banque de France, dans des conditions précisées par arrêté, les
incidents de paiement caractérisés dans les conditions précisées par l'arrêté mentionné à l'article L. 751-6.
Dès la réception de cette déclaration, la Banque de France inscrit immédiatement les incidents de paiement
caractérisés au fichier et, dans le même temps, met cette information à la disposition de l'ensemble des
entreprises ayant accès au fichier. Les frais afférents à cette déclaration ne peuvent être facturés aux personnes
physiques concernées.
Les informations relatives à ces incidents sont radiées immédiatement à la réception de la déclaration de
paiement intégral des sommes dues effectuée par l'entreprise à l'origine de l'inscription au fichier. Elles ne
peuvent en tout état de cause être conservées dans le fichier pendant plus de cinq ans à compter de la date
d'enregistrement par la Banque de France de l'incident ayant entraîné la déclaration. »
121
Article L312-16 du Code de la Consommation : « Avant de conclure le contrat de crédit, le prêteur vérifie
la solvabilité de l'emprunteur à partir d'un nombre suffisant d'informations, y compris des informations
fournies par ce dernier à la demande du prêteur. Le prêteur consulte le fichier prévu à l'article L. 751-1, dans
les conditions prévues par l'arrêté mentionné à l'article L. 751-6, sauf dans le cas d'une opération mentionnée
au 1 de l'article L. 511-6 ou au 1 du I de l'article L. 511-7 du Code Monétaire et Financier. »
107. Le Fichier des Comptes Bancaires et Assimilées, dit FICOBA, lui, centralise
l’intégralité des comptes ouverts auprès de banques, ainsi que la date des opérations
d’ouverture et de clôture et l’identité de leurs détenteurs 123 . Si contrairement aux deux
fichiers précédents, l’inscription dans ce fichier ne fait pas suite à un incident et n’a en
principe pas d’effet discriminatoire, ce fichier est surtout connu pour son rôle dans le cadre
des procédures de recouvrement forcé.
108. En effet, outre les héritiers et notaires dans le cadre du règlement d’une succession, les
huissiers de justice font partie des personnes habilitées à consulter ce fichier et ne
manqueront pas de le faire dans le cadre de la recherche de patrimoine saisissable en cas de
procédure de recouvrement forcée.124
109. Ces trois fichiers ne représentent qu’une partie de l’intégralité des fichiers comportant
des informations bancaires sur les individus, illustrant effectivement cette tendance au
« traçage » que semblent reprocher aux États et entreprises beaucoup d’individus se tournant
vers les cryptoactifs comme le bitcoin, espérant retrouver le semblant de confidentialité dont
ils estiment disposer avec l’espèce.
110. La crise sanitaire mondiale liée à la Covid 19 a incité les institutions et les États à
accélérer leurs travaux portant sur le numérique. En effet, si l’on pouvait parfois considérer,
avant cette pandémie, que la possibilité de réaliser des actes de gestion à distance grâce aux
outils numériques, relevait du confort, les périodes de confinement successives ainsi que les
nombreux couvre-feux qu’ont connu les individus en 2020 et 2021 forcent un constat : le
122
LASSERRE CAPDEVILLE J., Notes sous Cour de cassation 1ère chambre civile, 26 janv. 2012, no 10-
25345, LEDB mars 2012, n° EDBA-812021-81203, p. 2
123
Articles 1649 A et suivants du Code Général des Impôts
124
Arrêté du 25 juillet 2016 modifiant l'arrêté du 14 juin 1982 relatif à l'extension d'un système automatisé de
gestion du fichier des comptes bancaires
111. En dépit des circonstances, les banques ont continué à fonctionner pendant des
semaines avec très peu voire aucune personne présente dans leurs locaux. Et les individus
ont pu continuer à se procurer les biens nécessaires à leur vie quotidienne et professionnelle,
sans avoir besoin de sortir de chez eux, ni avoir le moindre contact physique ni même
téléphonique avec leurs conseillers. Une étude réalisée conjointement par l’IFOP et la
Fédération Bancaire Française en 2020 indiquait d’ailleurs que la bonne gestion de la crise
sanitaire par les banques, a fait progresser la confiance des clients dans celles-ci125.
125
IFOP et FBF, « Les Français, leur banque, leurs attentes », Site internet de l’IFOP, 2021, page 9, disponible
à l’adresse suivante :https://www.ifop.com/wp-content/uploads/2021/02/POUR-PUBLI-SITE-IFOP-ETUDE-
FBF-IFOP-Les-FR_leur-banque_leurs-attentes.pdf, consulté le 11/03/2022.
En 2021, 68 millions d’individus détenaient un portefeuille de cryptoactifs d’après le site internet spécialité
126
Techjury.
127
Site official de PayPal, disponible à l’adresse : https://www.paypal.com/fr/home, consulté le 11/03/2022.
Article L54-10-1 du Code Monétaire et Financier : « Pour l'application du présent chapitre, les actifs
128
numériques comprennent :
1° Les jetons mentionnés à l'article L. 552-2, à l'exclusion de ceux remplissant les caractéristiques des
instruments financiers mentionnés à l'article L. 211-1 et des bons de caisse mentionnés à l'article L. 223-1 ;
2° Toute représentation numérique d'une valeur qui n'est pas émise ou garantie par une banque centrale ou
par une autorité publique, qui n'est pas nécessairement attachée à une monnaie ayant cours légal et qui ne
possède pas le statut juridique d'une monnaie, mais qui est acceptée par des personnes physiques ou morales
comme un moyen d'échange et qui peut être transférée, stockée ou échangée électroniquement. »
129
LEGEAIS D., « Actifs numériques et prestataires sur actifs numériques », J. Cl. Commercial, Fasc. 535,
2019 ; Le Ministère de l’économie, des finances et de la relance définit la blockchain comme un « registre de
transactions qui permet de garder la trace d'un ensemble de transactions, de manière décentralisée, sécurisée et
transparente, sous forme d'une chaîne de blocs
114. Dans sa communication sur une stratégie en matière de paiements de détail pour l’UE
du 24 septembre 2020134, la Commission européenne introduisait justement ses propos par
le constat suivant : « Les grandes entreprises technologiques (les « BigTechs ») se sont
implantées dans le secteur des paiements. Profitant d’importantes économies de réseau, elles
sont désormais en mesure de défier les fournisseurs établis. En outre, avec l’essor des
cryptoactifs (dont les jetons de valeur stable ou « stable coins »), elles pourraient bientôt
offrir des solutions de paiement de rupture, fondées sur le cryptage et la technologie des
registres distribués (DLT). »
130
L’article L552-2 du Code Monétaire et Financier auquel renvoie l’article L54-10-1 du Code Monétaire et
Financier définit les jetons comme : « tout bien incorporel représentant, sous forme numérique, un ou plusieurs
droits pouvant être émis, inscrits, conservés ou transférés au moyen d'un dispositif d'enregistrement
électronique partagé permettant d'identifier, directement ou indirectement, le propriétaire dudit bien. »
131
La Loi du 22 mai 2019 relative à la croissance et la transformation des entreprises, dite Loi PACTE, a
notamment institué le statut de Prestataire de services sur actifs numériques, JORF n°0119 du 23 mai 2019
132
L’Ordonnance n° 2020-1544 du 9 décembre 2020 renforçant le cadre de la lutte contre le blanchiment de
capitaux et le financement du terrorisme applicable aux actifs numériques a été prise sur le fondement de
l’article 203 de la Loi PACTE. Ella a notamment étendu l’obligation d’enregistrement auprès de l’AMF aux
plateformes d’échanges d’actifs numériques contre d’autres actifs numériques (crypto to crypto) et aux
plateformes de négociation d’actifs numériques. Elle a par ailleurs rendu l’application des mesures
d’identification obligatoires aux plateformes d’échanges d’actifs numériques contre d’autres actifs numériques
(crypto to crypto) et aux plateformes de négociation d’actifs numériques, alors que l’application de ces mesures
n’était alors que facultatives pour ces plateformes.
133
L’anagramme BATX désigne les géants du numérique chinois Baidu, Alibaba, Tencent et Xiaomi.
134
Communication de la commission au parlement européen, au conseil, au comité économique et social
européen et au comité des régions sur une stratégie en matière de paiements de détail pour l’UE du 24
septembre 2019,page 1 disponible en ligne à l’adresse suivante : https://eur-lex.europa.eu/legal-
content/FR/TXT/PDF/?uri=CELEX:52020DC0592&from=EL,consulté le 11/03/2022.
116. En 2020, dans le cadre du forum FinTech ACPR-AMF, un groupe de travail constitué
d’acteurs de la place et des autorités publiques avait été constitué pour étudier l’application
des règles relatives à la lutte contre le blanchiment de capitaux et le financement du
terrorisme aux activités liées aux cryptoactifs. Le rapport de ce groupe de travail136 avait
conclu à une bonne application des règles de LCB-FT par les acteurs français du secteur des
cryptoactifs, mais également que le recours à la blockchain permettait d’assurer la traçabilité
des transactions, sauf bien sûr en ce qui concerne les cryptoactifs conçus spécifiquement
pour assurer l’anonymat des individus, et que les acteurs du secteur des cryptoactifs avaient
mis en place des outils permettant de détecter efficacement les comportements anormaux
pouvant justifier un signalement. Le Groupe de travail rappelait par ailleurs l’importance de
l’établissement de conditions minimales permettant l’application efficace des règles de
transparence des virements électroniques137 en la matière.
117. Consciente des failles persistantes dans le dispositif existant de lutte contre le
blanchiment d’argent et le financement du terrorisme, notamment en ce qui concerne les
cryptoactifs, le 7 mai 2020, la Commission Européenne a présenté un plan d’action pour une
politique globale de l'Union en matière de prévention du blanchiment de capitaux et du
135
La première version des recommandations du GAFI sont consultables à l’adresse suivante :
https://www.fatf-gafi.org/media/fatf/documents/recommendations/RBA-VA-VASPs.pdf,consulté le
11/03/2022. En octobre 2021, le GAFI a mis à jour ses recommandations, ces dernières sont consultables à
l’adresse suivante : https://www.fatf-gafi.org/media/fatf/documents/recommendations/Updated-Guidance-
VA-VASP.pdf
136
Le rapport du Groupe de travail sur l’application des règles de LCB-FT au secteur des cryptoactifs Compte-
rendu des travaux est disponible à l’adresse suivante :
https://acpr.banque-france.fr/sites/default/files/medias/documents/20200929_forum_FinTech_gt_lcb-
ft_crypto_-_rapport_final.pdf
137
ROZIER G., « ACPR et AMF : publication d'un rapport sur l'application des règles de LCB/FT au secteur
des cryptoactifs dans le cadre du Forum FinTechs ACPR-AMF », RD bancaire et fin. n°6, Novembre 2020,
alerte 85
119. L’UE entend ainsi clairement rendre les dispositifs de lutte contre le blanchiment
d’argent et le financement du terrorisme plus efficaces et plus adaptés aux nouveaux usages
138
Communication de la Commission européenne du 7 mai 2020 relative à son plan d'action pour une
politique globale de l'Union en matière de prévention du blanchiment de capitaux et du financement du
terrorisme, disponible en ligne à l’adresse suivante :
https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=PI_COM:C(2020)2800&from=FR,consulté le
11/03/2022.
139
Les réglementations européennes relatives étant des directives, il existe malheureusement des divergences
de transposition entre les États membres.
140
Proposition de Règlement du Parlement et du Conseil relative à la prévention de l’utilisation du système
financier aux fins du blanchiment de capitaux ou du financement du terrorisme du 20 juillet 2021.
141
Proposition de Règlement du parlement européen et du conseil instituant l’Autorité de lutte contre le
blanchiment de capitaux et le financement du terrorisme et modifiant les règlements (UE) nº 1093/2010, (UE)
nº 1094/2010 et (UE) nº 1095/2010
142
Proposition de Règlement du Parlement européen et du Conseil sur les informations accompagnant les
transferts de fonds et de certains cryptoactifs du 20 juillet 2021
121. Issus de la jonction des termes crypto, qui vient du grec ancien « Kruptos » pour
« caché »145 et du terme « actif », les cryptoactifs sont des actifs reposant sur une technologie
de chiffrement permettant d’en garantir l’authenticité, la fiabilité, ainsi que dans certains cas,
la confidentialité, voir l’anonymat.
122. Le plus célèbre des cryptoactifs, le Bitcoin, créé en 2009 par un individu dont l’identité
réelle reste à ce jour inconnue, a conduit à la mise en lumière de ces actifs, jusqu’ici surtout
connus des informaticiens146. Sa notoriété est d’ailleurs telle que le Bitcoin est devenu, en
2021, une devise légale au Salvador, au même titre que le dollar américain147.
143
Propos introductifs de la Proposition de Règlement du Parlement européen et du Conseil sur les
informations accompagnant les transferts de fonds et de certains cryptoactifs du 20 juillet 2021
144
Communication de la commission au Parlement européen, au Conseil, au Comité économique et social
européen et au comité des régions sur une stratégie en matière de paiements de détail pour l’UE du 24
septembre 2020, disponible en ligne à l’adresse suivante : https://eur-lex.europa.eu/legal-
content/FR/TXT/PDF/?uri=CELEX:52020DC0592&from=EL,consulté le 11/03/2022.
145
Dictionnaire de l’académie française
146
Site internet Bitcoin.org, disponible à l’adresse suivante : https://bitcoin.org/fr/, consulté le 11/03/2022.
147
ANONYME, “Le bitcoin devient une monnaie légale au Salvador”, Le Monde, 2021
124. Une monnaie doit en effet répondre à trois critères : pouvoir servir d’intermédiaire des
échanges, d’unité de compte et de réserve de valeur, or, les cryptoactifs n’ont
généralement149 pas de cours légal et ne peuvent donc pas servir de monnaie d’échange.
Elles sont extrêmement volatiles 150 et ne peuvent donc pas être considérées comme des
unités de compte. Elles ne peuvent de plus pas être épargnées et dégager des intérêts, elles
ne constituent donc pas des réserves de valeur151.
125. Il existerait à ce jour plusieurs milliers de cryptoactifs, chacun ayant été créé à
l’initiative privée d’une communauté d’informaticiens dans le cadre d’une blockchain152. La
création d’actifs est conditionnée au minage153 des contributeurs, qui peuvent se voir allouer
des actifs, plus communément appelés « tokens » ou « jetons », qu’ils peuvent ensuite
dépenser auprès d’un vendeur qui les accepte comme moyen de paiement, comme c’est de
plus en plus le cas pour le Bitcoin, ou les échanger contre leur équivalent en euros sur des
plateformes telles que Coinbase154 et E-toro155.
148
MARTUCCI F., « Union monétaire », J. Cl Europe Traité, Fasc.1035,2020, BOURDEAUX G., « Propos
sur les « crypto-monnaies » », RD bancaire et fin. n° 6, Novembre 2016, dossier 39 ; KLEINER C., « Aspects
juridiques internationaux - Réflexion renouvelée en raison des « cryptomonnaies », RD bancaire et fin. n° 4,
Juillet 2019, dossier 34 ; LEGEAIS D., « Monnaies, aspects juridiques », RD bancaire et fin. n° 4, Juillet 2019,
dossier 33
149
La seule exception connue à ce jour concerne le Bitcoin, qui est désormais la monnaie légale du Salvador.
150
CHARREL M., Le cours du bitcoin frôle son sommet historique à 66 000 dollars, Le Monde, 2021
151
Site internet Economie.gouv
152
Le Ministère de l’économie, des finances et de la relance définit la blockchain comme un « registre de
transactions qui permet de garder la trace d'un ensemble de transactions, de manière décentralisée, sécurisée et
transparente, sous forme d'une chaîne de blocs
153
Le minage consiste en le fait de faire tourner un algorithme définit sur une machine, le résultat de cet
algorithme est alors un actif, appelé, dans ce cadre, un token ou jeton en français.
154
Coinbase est une plateforme d’achat et échanges de cryptoactifs. Voir son site internet à l’adresse :
https://www.coinbase.com/fr/
155
E-toro est une plateforme de trading d’actions et de cryptoactifs. Voir son site internet à l’adresse :
https://www.etoro.com/fr/
127. La CNIL, quant à elle émet un avis différent dans son livre blanc sur les moyens de
paiements, puisqu’elle estime que l’anonymat est « une condition essentielle du
fonctionnement des sociétés démocratiques 157 ». Si la monnaie fiduciaire, venait à
totalement disparaître, les cryptoactifs pourraient bien devenir les seuls moyens de paiement
offrant une possibilité d’anonymat.
128. Les cryptoactifs ne sont évidemment pas toujours liés à une activité malveillante mais
ils posent question sur le plan monétaire en lui-même158. En effet, comme indiqué plus haut,
ces derniers n’étant pas de vraies monnaies, ils ne bénéficient pas de la sécurité des avoirs
et sont très volatils159. Un investisseur peu averti pourrait ainsi tout perdre en investissant
dans des cryptoactifs, c’est pourquoi l’AMF et la DGCCRF ne manquent pas d’appeler les
individus à la prudence160.
129. Enfin, sur le plan écologique, les cryptoactifs sont également pointés du doigt en raison
de l’énergie nécessaire pour le minage, on estimerait en effet que la validation de chaque
156
A ce sujet, lire POLROT S., « La régulation LCB-FT face à l'émergence des cryptomonnaies », Revue
Internationale de la Compliance et de l'Éthique des Affaires n° 1, Février 2020, étude 38 ; BOURSIER M-E.,
« L'encadrement renforcé des prestataires de services sur actifs numériques en matière de LCB-FT », JCP N
n° 4, 29 Janvier 2021, act. 175
157
CNIL, « Livre Blanc de la CNIL « Quand la confiance paie – Les moyens de paiement d’aujourd’hui et de
demain au défi de la protection des données », publié le 6 octobre 2021, page 18
158
A ce sujet lire DE VAUPLANE H., « Les défis juridiques du Libra et plus généralement
des cryptomonnaies », RD bancaire et fin. n° 1, Janvier 2020, étude 2
159
En 2013, un bitcoin valait treize dollars, fin mai 2021 il en valait trente milles (source cryptonaute.fr)
160
Page du site de l’AMF « Investir dans les cryptoactifs (Bitcoin, etc.) », disponible à l’adresse suivante :
https://www.amf-france.org/fr/espace-epargnants/proteger-son-epargne/cryptoactifs-bitcoin-etc,consulté le
11/03/2022. ; L’influenceuse française Nabilla BENATTIA VERGARA avait notamment été condamnée à
verser une amande de 20 000 euros par la DGCCRF pour pratique commerciale déloyale après avoir fait la
promotion d’un cryptoactif sur Twitter sans indiquer qu’elle était rémunérée pour le faire. Cette condamnation
avait été saluée par l’AMF. Voir le communiqué de presse de la DGCCRF du 28 juillet 2021, disponible en
ligne à l’adresse suivante :
https://www.economie.gouv.fr/files/files/directions_services/dgccrf/presse/communique/2021/cp-nabilla-
benattia-vergara.pdf,consulté le 11/03/2022.
130. Plus récemment, des cryptoactifs dont la valeur est directement dépendante de celle
d’une véritable monnaie ont vu le jour sous l’appellation de « Stablecoins162». Comme leur
nom l’indique, elles ont vocation à être stables, du moins aussi stable que la ou les monnaies
nationales dont elles dépendent. La plus connue est très certainement le Diem, anciennement
Libra, que le géant Facebook prévoyait de lancer en 2021 avant d’y renoncer163.
131. Sans surprise, en raison de la concurrence que ce type d’actif présente pour les
monnaies de banques centrales, ces dernières ont presque toutes accéléré leurs projets de
Monnaies Numériques de Banques Centrales, dites MNBC ou CBDC, pour « Central Bank
Digital Currency »164. À ce titre, la BCE a réalisé une consultation publique réalisée en 2020
afin d’évaluer les attentes des Européens en matière de monnaie numérique165. Sans grande
surprise, cette consultation a mis en exergue un désir de protection de la vie privée et
d’intégration d’un euro numérique dans les systèmes bancaires et de paiement existant166.
La mise en circulation de cet Euro numérique devrait cependant mettre encore quelques
années, ce qui permettra à l’Union Européenne d’observer le succès des autres MNBC avant
la sienne, notamment la MNBC chinoise, le e-yuan, qui est, au moment où nous écrivons
ces lignes, en 2021, en cours d’expérimentation dans certaines villes de Chine pour un
lancement national prévu en 2022167.
161
BLOCH R., « La phénoménale consommation d'énergie du bitcoin », Les Echos, 2017
162
Littéralement des monnaies stables en Français.
163
JANSON N., « Les stablecoins : un électrochoc pour les banques centrales », Banque & Stratégie n°400,
2021
164
Discours du 29 octobre 2020 de Denis Beau, Premier sous-gouverneur de la banque de France,
« Cryptoactifs, stablecoins et banques centrales : risques, enjeux et perspectives »
Voir le Communiqué de presse de la BCE sur les résultats de la consultation publique relative à un Euro
165
Numérique .
166
A ce sujet, lire STORRER P, « À propos du Rapport de la BCE sur un euro numérique », Revue Banque
n°856, 2021
LEMAITRE F., “La Chine teste sa monnaie virtuelle pour un lancement prévu en février 2022 », Le Monde,
167
2021 ; BOUNIE D, DIE N. ET VERDIER M., « La Chine à l’avant-garde des MNBC de détail », Revue
Banque n°854, 2021
134. Ce chantier, qui s’annonce de grande ampleur, est élaboré autour de quatre priorités
pour l’Union Européenne : la fragmentation du marché unique numérique des services
financiers, l’adaptation du cadre réglementaire de l’UE en vue de faciliter l’innovation
numérique, la création d’un espace européen des données financières et la résilience de l’UE
face aux nouveaux défis et risques liés à la transformation numérique.
135. Ces enjeux ne sont pas nouveaux, la fragmentation du marché numérique Européen
était notamment déjà présentée comme l’un des objectifs principaux de l’UE dans sa
stratégie numérique pour l’Europe présentée le 26 Aout 2010, soit quelques années avant
l’adoption du Règlement eIdas, du RGPD et de la DSP 2170.
136. Si ces trois réglementations ont beaucoup apporté à l’Union Européenne en matière de
confiance numérique, il faut reconnaître qu’elles n’ont pas toutes atteint les objectifs
annoncés, particulièrement le Règlement eIdas, dont l’application par les États n’a pas
permis, notamment en France, d’exploiter pleinement ses dispositions.
Économique et Social Européen et au Comité des régions sur une stratégie en matière de finance numérique
pour l'UE
169
Proposition de Règlement du Parlement européen et du Conseil sur les marchés de cryptoactifs, et modifiant
la directive (UE) 2019/1937
170
Communication de la commission au parlement européen, au conseil, au comité économique et social
européen et au comité des régions du 26 Aout 2010 relative à une Stratégie Numérique pour l’Europe
139. Nous suivrons bien évidemment ces travaux de près, car ils offriront
vraisemblablement une avancée majeure en matière de confiance numérique,
particulièrement en ce qui concerne l’authentification et le KYC175. L’authentification et
l’identification à distance sont en effet des problématiques centrales pour les banques, dont
la rigueur en la matière est essentielle à la sécurisation de la relation bancaire distante entre
un client et sa banque. À ce titre, les banques peuvent s’appuyer sur des moyens
d’identification à distance dits « de confiance ».
171
MOUY. S., « Enfin une stratégie européenne de finance numérique centrée sur l’identité !”, Revue Banque
n°849, 2020. MOUY. S., « Le KYC partagé, bientôt une réalité ? », Banque & Stratégie n°388, 2020
172
Communiqué de Presse de la Commission Européenne du 3 juin 2020, "La Commission propose une identité
numérique fiable et sécurisée pour tous les Européens"
173
Proposition de Règlement du parlement européen et du conseil modifiant le règlement (UE) no 910/2014
en ce qui concerne l’établissement d’un cadre européen relatif à une identité́ numérique
174
Proposition d’article 6 bis 2. de la proposition de Règlement du parlement européen et du conseil modifiant
le règlement (UE) no 910/2014 en ce qui concerne l’établissement d’un cadre européen relatif à une identité
numérique : « Les portefeuilles européens d’identité numérique permettent à l’utilisateur: (a) de demander et
d’obtenir, de stocker, de sélectionner, de combiner et de partager en toute sécurité, d’une manière qui soit
transparente pour l’utilisateur et traçable par ce dernier, les données légales nécessaires d’identification
personnelle et l’attestation électronique d’attributs pour s’authentifier en ligne et hors ligne en vue d’utiliser
des services publics et privés en ligne; (b) de signer au moyen de signatures électroniques qualifiées. »
175
Lire à ce sujet LACROIX DE SOUSA S., « Le renouveau technologique du dispositif Know Your
Customer », RD bancaire et fin. n° 6, Novembre 2020, étude 17
143. Le cadre réglementaire relatif aux outils d’authentification numérique a été marqué
par de grandes évolutions ces dernières années, tant dans les rapports de droit public176que
dans les rapports de droit privé177. Le domaine de l’identification et de l’authentification
numérique n’a par ailleurs pas échappé à la tendance générale de l’européanisation du droit
176
C’est-à-dire les règles de droit applicables aux personnes de droit public telles que l’État, ses collectivités
et agents, ainsi qu’à leurs rapports avec les particuliers.
177
C’est-à-dire l’ensemble des règles de droit applicables aux rapports entre particuliers personnes physiques
ou morales.
144. Les justificatifs d’identité physiques, tels que les Cartes Nationales d’Identité ou les
passeports, ont rapidement montré leurs limites lorsqu’il s’est agi de s’assurer de l’identité
d’une personne physique sans que cette dernière ne soit physiquement présente.
145. En effet, sans avoir l’original du justificatif, ni être en présence de celui qui s’en
prétend titulaire, comment, alors, vérifier que le document est authentique et qu’il appartient
bien à celui qui le présente ? Dans ce contexte, choisir la facilité consisterait à demander une
simple copie numérique du document, ce qui faciliterait grandement la fraude du client peut
scrupuleux qui pourrait fournir la copie du justificatif d’un tiers.
146. Lorsqu’il s’agit d’entrer en relation avec un établissement bancaire, l’article L561-5
du code monétaire et financier, impose à ces derniers de vérifier l’identité du prospect en
s’appuyant sur plusieurs justificatifs. Il faut comprendre ici les termes « écrit » et
« document » au sens large puisque l’article R561-5-2 du même code 178 liste, parmi les
documents acceptables, les moyens d’identification électronique présumés fiables ou
délivrés dans le cadre d’un schéma d’identification électronique notifié à la Commission
Européenne par un État membre de l’Union Européenne. Ces dispositions font directement
référence au Règlement Européen n°910/2014 du 23 Juillet 2014 sur l’identification
électronique et les services de confiance pour les transactions électroniques au sein du
marché intérieur dit Règlement eIdas179. Grâce au cadre juridique établi, un large éventail
178
L’article R.561-5-1 du Code Monétaire et Financier fait en effet notamment référence à un moyen
d’identification électronique.
179
Règlement (UE) no 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l’identification
électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et
abrogeant la directive 1999/93/CE, dit Règlement eIdas, JOUE L257, du 28 aout 2014 ; A ce sujet, lire
DOUVILLE T, « Le Règlement européen sur l'identification électronique et les services de confiance
(eIDAS) », JCP E n° 1, 5 Janvier 2017, 1005
147. En 2014, lors de l’adoption du Règlement eIdas, tout laissait espérer que le cadre ainsi
mis en place permettrait aux entreprises françaises de développer leurs usages en la matière
grâce au cadre qu’établissait le Règlement eiDAS au niveau européen. L’une des conditions
à ce déploiement était cependant que la France, en s’appuyant sur le Règlement eIdas, crée
une identité numérique 180 régalienne et qu’elle la notifie ensuite à la Commission
Européenne pour offrir le plein potentiel rendu possible par ce Règlement181.
148. Sept ans après l’adoption de ce texte, nous ne pouvons malheureusement que déplorer
qu’aucune de ces conditions ne se soit réalisée, laissant tous ceux espérant ainsi bénéficier
des nouveaux outils de confiance sans possibilité de le faire pleinement, parmi lesquels bien
sûr les banques et autres prestataires de services de paiement.
150. En effet, en ce qui concerne la signature électronique 182 , seule une signature
électronique avancée ou qualifiée reposant sur un certificat qualifié et délivré par un
180
EYNARD J., L'identité numérique : quelle définition pour quelle protection ? Larcier, 2020, Création
Information Communication, 212 p
181
Lire DOUVILLE T, « Le Règlement européen sur l'identification électronique et les services de confiance
(eIDAS) », JCP E n° 1, 5 Janvier 2017, 1005
182
Article 1367 du code civil : « La signature nécessaire à la perfection d'un acte juridique identifie son auteur.
Elle manifeste son consentement aux obligations qui découlent de cet acte. Quand elle est apposée par un
officier public, elle confère l'authenticité à l'acte.
Lorsqu'elle est électronique, elle consiste en l'usage d'un procédé fiable d'identification garantissant son lien
avec l'acte auquel elle s'attache. La fiabilité de ce procédé est présumée, jusqu'à preuve contraire, lorsque la
signature électronique est créée, l'identité du signataire assurée et l'intégrité de l'acte garantie, dans des
conditions fixées par décret en Conseil d'Etat. »
151. Peu d’individus disposant, à titre individuel, d’un certificat électronique qualifié, sorte
d’équivalent numérique d’une carte d’identité qui est délivré par un organisme de
certification, cela suppose que les banques soient en mesure de proposer, outre le service de
signature électronique, un service de remise de certificat électronique183.
152. Or, si la plupart des banques proposent effectivement des services de signature
électronique de bout en bout à distance, les certificats délivrés dans ce cadre ne sont en
principe utilisables qu’une seule et unique fois, souvent pour la signature du contrat, et ne
répondent pas aux critères nécessaires à la qualification des signatures qui en sont issues de
signatures électroniques qualifiées184.
183
AGOSTI P., SCHIANG N., BADINA R., « Guide de la signature électronique », Fédération Nationale des
Tiers de Confiance, 2013
184
La proposition de proposition de Règlement du Parlement Européen et du Conseil modifiant le règlement
(UE) nº 910/2014 en ce qui concerne l’établissement d’un cadre européen relatif à une identité numérique, qui
sera évoqué plus tard dans cette étude, devrait résoudre cette problématique, le futur Règlement établissant les
conditions de délivrance de certificats électroniques qualifiés à la volée comme indiqué dans l’exposé des
motifs « Le chapitre III comporte un nouvel article 29 bis visant à définir les exigences applicables à un
service qualifié de gestion des dispositifs de création de signatures électroniques à distance. Le nouveau
service de confiance qualifié serait directement lié à des mesures répertoriées et évaluées dans l’analyse
d’impact et s’appuierait sur celles-ci, notamment des mesures relatives à l’ « harmonisation du processus de
certification pour la signature électronique à distance» et d’autres mesures appelant à l’harmonisation des
pratiques de contrôle des États membres. ». ; Article 29 bis de la Proposition de Règlement : « «Article 29 bis
Exigences applicables aux services qualifiés de gestion d’un dispositif de création de signature électronique à
distance
1. La gestion d’un dispositif de création de signature électronique qualifié à distance en tant que service
qualifié ne peut être confiée qu’à un prestataire de services de confiance qualifié qui :
(a) génère ou gère des données de création de signature électronique pour le compte du signataire ;
154. Ainsi, les dispositions du Règlement eIdas sont quelque peu compliquées, et
nécessitent par ailleurs des investissements importants pour y recourir, ce qui explique
certainement qu’elles soient aujourd’hui encore peu utilisées pour identifier la clientèle187.
Il n’est donc pas étonnant que les banques se détournent de ces outils, censés véhiculer la
confiance numérique dans le cadre de l’application des règles de KYC à distance, au profit
de techniques souvent moins sécurisées mais plus fluides pour les clients.
155. Depuis quelques années, les systèmes biométriques se sont fortement développés et
font désormais partie intégrante du quotidien de beaucoup d’individus, si tant est que ces
(b) sans préjudice de l’annexe II, point 1 d), reproduit les données de création de signature électronique
exclusivement à des fins de sauvegarde, sous réserve du respect des exigences suivantes :
Le niveau de sécurité des ensembles de données reproduits doit être équivalent à celui des ensembles de
données d’origine ;
Le nombre d’ensembles de données reproduits n’excède pas le minimum nécessaire pour assurer la continuité
du service.
(c) respecte les exigences énoncées dans le rapport de certification du dispositif de création de signature
électronique qualifié à distance concerné, établi conformément à l’article 30.
2. Dans un délai de douze mois à compter de l’entrée en vigueur du présent règlement, la Commission
détermine, au moyen d’actes d’exécution, les spécifications techniques et les numéros de référence des normes
aux fins du paragraphe 1. » ; »
185
Le Règlement prévoit trois niveaux de schémas d’identification électronique : faible, substantiel et élevé.
186
FranceConnect+ et l’Identité numérique La Poste n’ont en effet été notifiés qu’en février 2021.
187
MOUY S., « Identité numérique et règles LCB-FT : une délicate conciliation », Revue Banque n°836, 2019
157. Ces systèmes, bien que très utiles et souvent plus sécurisés que le recours à simple
facteur de connaissance, comme un mot de passe, présentent cependant quelques défauts.
Tout d’abord, le cadre juridique applicable à l’authentification biométrique pose question.
En effet, le Règlement eIdas ne donne aucune définition de la biométrie, seul son Règlement
d’Exécution n°2015/1502190 y fait référence. La biométrie est simplement mentionnée en
tant qu’élément éligible aux vérifications nécessaires à l’attribution d’un moyen
d’identification électronique. Par ailleurs, aucune disposition légale n’autorise expressément
les banques à recourir à la biométrie pour authentifier leurs clients, les privant ainsi d’un
cadre juridique de confiance.
188
Lire à ce sujet BOURGEOIS M., « L'irrésistible ascension de la biométrie : aspects juridiques », Revue
pratique de la prospective et de l'innovation n° 1, Mai 2020, dossier 3
189
Règlement (UE) 2016/ 679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des
personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces
données, et abrogeant la directive 95/ 46/ CE (Règlement général sur la protection des données) (europa.eu)
190
Règlement d'exécution (UE) 2015/ 1502 de la commission du 8 septembre 2015 fixant les spécifications
techniques et procédures minimales relatives aux niveaux de garantie des moyens d'identification électronique
visés à l'article 8, paragraphe 3, du règlement (UE) no 910/ 2014 du parlement européen et du conseil sur
l'identification électronique et les services de confiance pour les transactions électroniques au sein du marché
intérieur
159. Il faut également noter que les systèmes d’authentification biométriques mis en place
par les banques sont souvent délégués aux systèmes d’exploitation ou fabricants des
smartphones et tablettes des individus plutôt que gérés directement par les banques. La
banque va ainsi simplement demander au système d’exploitation du smartphone si
l’empreinte digitale ou le visage qui lui est présenté correspond bien à l’empreinte
préalablement enregistrée dans le smartphone, elle va rarement demander elle-même à
l’individu d’enregistrer une empreinte ou son apparence, pour ne pas avoir à la traiter et
échapper ainsi aux dispositions assez contraignantes en la matière.
160. En effet, le RGPD191, et les lignes directrices du G29 du 4 avril 2017 pourtant sur les
analyses d’impact relatives à la protection des données, dites AIPD 192 imposent aux
responsables de traitement souhaitant traiter des informations biométriques de procéder à
une « analyse d’impact sur la protection des données », qui suppose une analyse relativement
poussée des impacts de la solution mise en place et, en fonction du résultat de l’analyse, d’en
191
Règlement (UE) 2016/ 679 du parlement européen et du conseil du 27 avril 2016 relatif à la protection des
personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces
données, et abrogeant la directive 95/ 46/ CE (Règlement général sur la protection des données)
192
Extrait de l’article 35 du RGPD : « Lorsqu'un type de traitement, en particulier par le recours à de nouvelles
technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement, est susceptible
d'engendrer un risque élevé pour les droits et libertés des personnes physiques, le responsable du traitement
effectue, avant le traitement, une analyse de l'impact des opérations de traitement envisagées sur la protection
des données à caractère personnel. Une seule et même analyse peut porter sur un ensemble d'opérations de
traitement similaires qui présentent des risques élevés similaires... »
161. Les systèmes d’authentification de confiance prévus par le Règlement eIdas sont en
pratique peu utilisés par les banques et clients en raison, notamment, de leur complexité.
Outre les difficultés liées au manque de clarté des dispositions du Règlement eIdas en ce qui
concerne les conditions de qualification des signatures électroniques et moyens
d’identification électronique, l’utilisation de ces outils suppose une étape préalable plus ou
moins longue et difficile à mettre en œuvre.
162. En effet, qu’il s’agisse de s’appuyer sur un moyen d’identification électronique ou sur
une signature électronique, il faut préalablement que l’individu concerné se soit fait
préalablement attribuer un moyen d’identification électronique ou un certificat de signature
électronique. Or, les conditions dans lesquelles cette attribution intervient auront une
conséquence directe sur le niveau de confiance de la signature électronique ou du moyen
d’identification électronique dont disposera l’individu (A), c’est pourquoi il est nécessaire
de fédérer, déléguer, ou rendre interopérables par d’autres moyens les identités numériques
pour qu’un individu puisse utiliser un même certificat ou moyen d’identification
électronique auprès de plusieurs établissements. (B)
163. Bien que le Règlement eIdas ai le mérite de poser un cadre réglementaire unifié au
niveau européen en ce qui concerne les outils de confiance numérique tels que la signature
électronique et les moyens d’identification électronique, il présente néanmoins l’indéniable
défaut d’être peu accessible et de renvoyer vers les États membres en ce qui concerne
l’établissement des référentiels précisant les conditions à remplir pour chaque niveau de
193
Ibid.
164. Par ailleurs, les dispositions nationales relatives à certains outils de confiance prévus
par le Règlement eIdas peuvent prêter à confusion. L’article 1367 du Code Civil 194 par
exemple, indique que la signature électronique est présumée fiable « lorsque la signature
électronique est créée, l’identité du signataire assurée et l’intégrité de l’acte garantie dans
des conditions fixées par décret en Conseil d’État ». Aucun des termes de signature
électronique simple, avancée ou qualifiée n’apparaît, quid alors de la cohérence de ces
dispositions avec celles du Règlement eIdas ? C’est en lisant les deux textes en parallèle que
l’on finit par comprendre que la signature présumée fiable que présente le Code Civil
correspond à une signature électronique qualifiée selon le Règlement eIdas…
165. Outre ces difficultés de forme, le fond des dispositions issues du Règlement eIdas est
lui aussi relativement obscure. La notion d’équivalent au face-à-face notamment, condition
à la délivrance d’un certificat électronique qualifié ou d’un moyen d’identification
électronique de niveau élevé prête beaucoup à confusion. Face à cette confusion, beaucoup
fondaient leurs espoirs dans l’ANSSI, dont les consignes en la matière restaient très
attendues. La pandémie de la COVID 19 a accéléré les choses puisque le 1er mars 2021,
l’ANSSI a publié le premier référentiel présentant les exigences applicables aux prestataires
de vérification d’identité à distance195.
166. À ce jour196, un seul moyen d’identification électronique français figure sur la liste
des services qualifiés par l’ANSSI 197 : l’Identité Numérique La Poste, de niveau
194
Article 1367 du code civil : « La signature nécessaire à la perfection d'un acte juridique identifie son auteur.
Elle manifeste son consentement aux obligations qui découlent de cet acte. Quand elle est apposée par un
officier public, elle confère l'authenticité à l'acte.
Lorsqu'elle est électronique, elle consiste en l'usage d'un procédé fiable d'identification garantissant son lien
avec l'acte auquel elle s'attache. La fiabilité de ce procédé est présumée, jusqu'à preuve contraire, lorsque la
signature électronique est créée, l'identité du signataire assurée et l'intégrité de l'acte garantie, dans des
conditions fixées par décret en Conseil d'Etat. »
195
Voir le référentiel de l’ANSSI des exigences applicables aux Prestataires de vérification d’identité à distance
196
Décembre 2021
197
Liste des produits et services qualifiés par l’ANSSI (Liste n°38, éditée le 10 mai 2021)
168. C’est ainsi que le principe de fédération d’identités a peu à peu fait son chemin, au
travers, notamment, des services publics grâce à la plateforme FranceConnect. Placé sous la
responsabilité de la DINSIC (Direction Interministérielle du Numérique et du Système
d'Information et de Communication de l’État), depuis, renommée DINUM (Direction
Interministérielle du Numérique), lors de sa création en 2016 par l’Arrêté du 24 juillet 2015
portant création d'un traitement de données à caractère personnel par la direction
interministérielle des systèmes d'information et de communication d'un téléservice
198
Voir la décision de l’ANSSI n°1017 du 29 Avril 2020, disponible en ligne à l’adresse suivante :
https://www.ssi.gouv.fr/uploads/2020_1017_np.pdf,consulté le 11/03/2022.
199
Voir la décision de l’ANSSI n°1226 du 18 mai 2021, disponible en ligne à l’adresse suivante :
https://www.ssi.gouv.fr/uploads/2021_1226_np.pdf,consulté le 11/03/2022.
169. Ce n’est que depuis l’Arrêté du 8 novembre 2018201 qu’il est possible d’utiliser un
compte FranceConnect pour s’authentifier auprès de certains acteurs privés proposant des
« services en ligne dont l'usage nécessite, conformément à des dispositions législatives ou
réglementaires, la vérification de l'identité de leurs utilisateurs ou de celle de certains de
leurs attributs et uniquement pour les services qui nécessitent cette vérification202 ».
170. Les banques sont habilitées depuis lors à authentifier leurs clients via la plateforme
FranceConnect, qui compte à ce jour plus de 30 millions d’utilisateurs203, soit plus de la
moitié de la population française adulte204. Pour ce faire, il est néanmoins nécessaire que
ledit client ait créé une identité numérique La Poste, la simple détention d’une identité
fédérée dans FranceConnect obtenue auprès d’un des autres fournisseurs d’identité existant,
soit, pour le moment, Impots.gouv.fr, La Poste, Ameli, MobileConnect&Moi ou la Mutualité
Sociale Agricole ne suffit pas, ces dernières n’étant pas de niveau au moins substantiel.
200
Arrêté du 24 juillet 2015 portant création d'un traitement de données à caractère personnel par la direction
interministérielle des systèmes d'information et de communication d'un téléservice dénommé « FranceConnect
», NOR : PRMJ1518229A, JORF n°0180 du 6 août 2015, Texte n° 4
201
Arrêté du 8 novembre 2018 relatif au téléservice dénommé « FranceConnect » créé par la direction
interministérielle du numérique et du système d'information et de communication de l'Etat, NOR :
PRMJ1819224A, JORF n°0264 du 15 novembre 2018
202
Article 4 de l’arrêté du 8 novembre 2018 relatif au téléservice dénommé « FranceConnect » créé par la
direction interministérielle du numérique et du système d'information et de communication de l'Etat : « Les
destinataires ou catégories de destinataires des informations enregistrées par le traitement sont les autorités
administratives partenaires habilitées à traiter les démarches et formalités des usagers en vertu d'un texte
législatif ou réglementaire; les personnes morales mentionnées au II et au III de l'article 1er de l'ordonnance
du 28 avril 2005 susvisée qui proposent des services en ligne liés à la démarche de changement d'adresse et
uniquement pour ces services; les personnes morales de droit privé qui proposent des services en ligne dont
l'usage nécessite, conformément à des dispositions législatives ou réglementaires, la vérification de l'identité
de leurs utilisateurs ou de celle de certains de leurs attributs et uniquement pour les services qui nécessitent
cette vérification. »
203
ANONYME, « 30 millions d’utilisateurs conquis par FranceConnect ! », Site internet numerique.gouv,
2021
204
« Population par sexe et groupe d'âges », Site internet de l’INSEE, 2022
205
CE, 4 novembre 2020, Décision n°432656
206
Arrêté du 11 mai 2020 relatif à l'expérimentation visant à étendre le périmètre des partenaires du téléservice
« FranceConnect », NOR : PRMJ2003891A, JORF n°0124 du 21 mai 2020, Texte n° 4
207
Décret n° 2021-1538 du 29 novembre 2021 relatif à l'expérimentation du téléservice dénommé « Mon
FranceConnect » (MFC), NOR : TFPJ2131758D, JORF n°0278 du 30 novembre 2021
Texte n° 20
Page 73 sur 317
CONCLUSION DU CHAPITRE
174. Le fameux adage « On the internet, nobody knows you’re a dog208» qui peut se traduire
par « Sur internet, personne ne sait que vous êtes un chien » nous semble tout à fait approprié
pour qualifier le sentiment de certains en la matière : comment s’assurer que la personne
avec qui l’on est en contact est bien la personne qu’elle prétend être ?
175. La question étant particulièrement importante pour les banques, qui sont par ailleurs
tenues par de nombreuses obligations légales en la matière, il n’est pas étonnant qu’elles
montrent un tel intérêt dans les systèmes d’authentification électroniques et notamment ceux
reposant sur la biométrie.
176. Cependant, le déploiement de ces outils en France est relativement lent en raison de
certaines circonstances, telles que les difficultés liées à l’attribution initiale des moyens
d’identification électronique.
208
Cet adage est issu du dessin de P. STEINER paru dans le quotidien américain le New Yorker en 1993. Dans
ce dessin, on observe un chien utilisant un ordinateur.
179. Aujourd’hui, la connaissance client dépasse largement le simple cadre des exigences
réglementaires puisqu’elle présente par ailleurs un « intérêt business » majeur pour les
banques et autres prestataires de services de paiements209. En effet la fourniture d’un service
personnalisé, d’un « conseil augmenté », ainsi que la réalisation d’opérations marketing
ciblées passent elles aussi par une connaissance client très avancée, ce qui implique des
traitements de données à caractère personnel important mais aussi le recours à de
l’intelligence artificielle. Or, la confiance des individus est justement mise à mal par les
inquiétudes relatives au Big Data210, ce phénomène de données massives que l’on observe
ces dernières années.
180. Les banques se retrouvent ainsi elles aussi à prendre parti à cette « guerre de la data »
que l’on peut observer entre les entreprises du numérique et particulièrement les GAFAM
que sont Google, Apple, Facebook, Amazon et Microsoft. La clientèle bancaire étant dans
la grande majorité des cas également cliente d’une ou plusieurs des GAFAM, les banques se
209
L’ACPR fait également ce constat dans son étude sur la révolution numérique du secteur bancaire français,
réalisée en 2017. L’étude est disponible à l’adresse suivante:
https://acpr.banquefrance.fr/sites/default/files/medias/documents/as_88_etude_revolution_numerique_secteur
_bancaire_francais.pdf
210
La CNIL propose la définition suivante du Big Data : "On parle depuis quelques années du phénomène de
Big Data, que l’on traduit souvent par « données massives ». Avec le développement des nouvelles
technologies, d’internet et des réseaux sociaux ces vingt dernières années, la production de données
numériques a été de plus en plus nombreuse : textes, photos, vidéos, etc. Le gigantesque volume de données
numériques produites combiné aux capacités sans cesse accrues de stockage et à des outils d’analyse en temps
réel de plus en plus sophistiqués offre aujourd’hui des possibilités inégalées d’exploitation des informations.
Les ensembles de données traités correspondant à la définition du Big Data répondent à trois caractéristiques
principales : volume, vélocité et variété."
181. Si certains apprécient grandement ces services sur mesure, d’autres les perçoivent
comme une intrusion dans leur vie privée et expriment ainsi un comportement relativement
paradoxal en manifestant un fort désir pour un service personnalisé pour répondre au mieux
à leur besoin, voire, pour les anticiper, tout en étant réticents à ce que les entreprises traitent
leurs données par crainte pour leur vie privée. La mauvaise presse qu’ont pu recevoir
certaines entreprises sur le sujet, conjuguée aux diverses théories du complot sur le sujet des
données à caractère personnel et aux risques d’actes de cyber-malveillance est certainement
à blâmer au moins en partie.
182. Le cadre réglementaire applicable aux banques dans le domaine de la protection des
données bancaires en particulier les place dans une position que certaines entreprises non
bancaires pourraient aisément jalouser (Section I) et grâce auquel les perspectives offertes à
ce secteur en termes d’algorithmes et intelligence artificielle sont extrêmement poussées, ce
qui suscite la crainte de certains clients (Section II)
211
LEGEAIS D., « Open Banking : menace ou opportunité pour les banques ?”, RD bancaire et fin. n° 5,
Septembre 2017, repère 5
183. La sensibilité des individus concernant le sujet des données à caractère personnel a
connu un tournant important ces dernières années suite aux nombreux scandales et faits
divers mis en lumière par la presse en la matière, mais aussi et surtout, suite à la refonte du
cadre juridique applicable et les actions de communication et sensibilisation en la matière
opérées par la Commission Nationale de l’Informatique et des Libertés (CNIL).
184. Lors de sa création il y a plus de 40 ans par la Loi du 6 Janvier 1978 relative à
l’informatique et aux libertés, époque à laquelle internet existait mais pas le WEB, le
législateur et la CNIL ne pouvaient qu’imaginer que l’environnement juridique qu’ils
commençaient alors à établir deviendrait un jour à ce point essentiel. Rappelons que la CNIL
a été créée au lendemain d’un scandale lié à la mise en lumière d’un projet du gouvernement
français, le projet SAFARI, qui avait pour objet d’interconnecter les différents fichiers
nationaux autour du fleuron des identifiants français : le Numéro d’Inscription au Registre
des Personnes, connu de tous sous le nom de NIR ou plus communément le numéro de
sécurité sociale.
185. Il s’agissait alors, pour le législateur, d’instaurer un garde-fou à l’État Français pour
garantir la protection de la vie privée des individus, mais aussi et surtout, de rassurer ces
derniers face au développement inéluctable du numérique, qui n’était alors qu’à ses
prémices. Si 40 ans plus tard, la CNIL a toujours cette mission, elle fait aujourd’hui surtout
parler d’elle en raison de son rôle, là aussi de garde-fou, auprès des entreprises privées, avec,
en première ligne de ces dernières, les GAFAM que sont les américains Google, Apple,
Facebook, Amazon et Microsoft, ainsi que les BATX : les chinois Baidu, Alibaba, Tencent
et Xiaomi.
186. Or, les GAFAM et BATX ne cachent pas leurs ambitions dans le secteur bancaire et
celui des paiements212, ce qui a conduit les banques à s’essayer aux mêmes pratiques que ces
dernières. L’adoption, puis l’entrée en application du Règlement 2016/679 du Parlement
européen et du Conseil du 27 Avril 2016, dit « RGPD » a conduit les institutions, publiques,
212
Citons par exemple les services de paiement Apple Pay et Google Pay des géants Apple et Google, ou encore
le projet de cryptoactif « Diem », anciennement Libra, du géant Facebook pour ne citer qu’eux.
187. Les banques occupent une place relativement centrale dans la vie des individus et sont
à ce titre amenées à avoir connaissance de nombreuses informations sur leurs clients, que
celles-ci soient fournies à la demande de la banque, ou qu’elles soient fournies spontanément
pas les clients. En effet, que ce soit pour la tenue de leurs comptes, ou pour l’obtention d’un
financement, les banques connaîtront, de fait, beaucoup de détails de la vie privée de leurs
clients, tels que leurs moments de vie au travers du financement du permis de conduire et du
premier véhicule ou la primo accession immobilière.
188. À ce titre, la CNIL a publié en octobre 2021 un livre blanc sur les données de paiement,
intitulé « Quand la confiance paie – Les moyens de paiement d’aujourd’hui et de demain au
défi de la protection des données », dans lequel la Présidente de la CNIL, Marie-Laure
DENIS, rappelle très justement en introduction, que « les données de paiement sont des
données à caractère personnel : données d’achat, données financières données
contextuelles, elles concernent bien des aspects de l’existence des individus. Elles peuvent
permettre de « tracer » leurs activités personnelles, de cerner leurs comportements ; elles
peuvent être utilisées pour commettre des fraudes. En outre, le recours à tel ou tel moyen de
213
IFOP et FBF, « Les Français, leur banque, leurs attentes », Site internet de l’IFOP, 2021, page 23,
disponible à l’adresse suivante :https://www.ifop.com/wp-content/uploads/2021/02/POUR-PUBLI-SITE-
IFOP-ETUDE-FBF-IFOP-Les-FR_leur-banque_leurs-attentes.pdf, consulté le 11/03/2022.
189. Le devoir de discrétion des banquiers concourt très certainement à ce que les clients
se confient facilement à leurs banquiers (A), et si cela est très bénéfique aux banques, dans
leur quête de personnalisation de la relation, cela pose néanmoins l’épineux problème de la
sélection des données qu’elles sont habilitées à traiter selon chaque finalité parmi toutes
celles auxquelles elles ont accès B).
CNIL, « Livre Blanc de la CNIL « Quand la confiance paie – Les moyens de paiement d’aujourd’hui et de
214
192. La notion de tiers est ici à comprendre au sens strict. Une banque n’aura par exemple
pas le droit de communiquer des informations sur son client au conjoint de celui-ci, quand
bien même ce dernier serait également client de la même banque exception faite bien
évidemment des comptes joints dont les deux époux seraient titulaires ensemble. À ce titre,
on peut d’ailleurs s’interroger sur l’intérêt du secret bancaire quand on sait que, s’agissant
de données personnelles, le partage de données avec des tiers est de toute façon soumis au
consentement explicite de l’individu concerné conformément au RGPD223.
193. Les clients peuvent partager des informations, parfois très intimes, avec leurs
banquiers, en étant rassurés quant au fait que ces informations resteront secrètes224, du moins
en quelque sorte puisque comme nous l’indiquions précédemment, le secret bancaire est
soumis à un certain nombre d’exceptions, notamment vis-à-vis de l’administration fiscale.
À ce jour, les exceptions sont d’ailleurs si nombreuses qu’elles entraînent parfois des
difficultés opérationnelles pour les banques.
221
Voir la délibération de la CNIL n° 2005-197 du 8 septembre 2005 portant autorisation de mise en œuvre
par la société FINAREF d'un traitement automatisé des données à caractère personnel ayant pour finalité la
prévention du surendettement par les filiales de crédit à la consommation du groupe Crédit agricole ; et la
délibération de la CNIL n° 2005-196 du 8 septembre 2005 portant autorisation de mise en œuvre par la société
SOFINCO d'un traitement automatisé de données à caractère personnel ayant pour finalité la prévention du
surendettement par les filiales de crédit à la consommation du Groupe Crédit Agricole
222
Article 226-13 du Code pénal : « La révélation d'une information à caractère secret par une personne qui en
est dépositaire soit par état ou par profession, soit en raison d'une fonction ou d'une mission temporaire, est
punie d'un an d'emprisonnement et de 15 000 euros d’amende ».
223
ROUSSILLE M, « Le secret bancaire entre actualité et archaïsme », RD bancaire et fin. n° 6, Novembre
2020, alerte 83 ; Rapport du 6 juillet 2020 du Haut Comité Juridique de la Place financière (HCJP) appelle à
ce titre les pouvoirs publics à faire évoluer les dispositions relatives au secret bancaire pour résoudre la
complexité amenée par la coexistence de celui-ci avec les dispositions du RGPD et de la DSP 2.
224
A ce titre, la synthèse du rapport du 6 juillet 2020 du Haut Comité Juridique de la Place financière (HCJP)
concernant le secret bancaire rappelle que « Le devoir de discrétion du banquier vis-à-vis des affaires de son
client est un principe ancien et majeur de la profession bancaire. Le banquier tient, dans ses relations avec son
client, un rôle de « confident nécessaire » au regard des informations d’ordre financier et patrimonial, mais
également d’ordre personnel, qu’il est amené à connaître le concernant. Le secret constitue, dans ces
conditions, un élément essentiel de cette relation et la sauvegarde de l’intérêt privé de son client fonde en
grande partie l’obligation de discrétion auquel le banquier doit rester tenu à son égard. »
225
Lire à ce sujet LASSERRE CAPDEVILLE J., « Rapport du HCJP sur le secret bancaire : présentation et
réflexions personnelles », JCP E n° 49, 3 Décembre 2020, 1509. Le rapport du HCJP du 6 juillet 2020 est
consultable sur son site internet à l’adresse suivante : https://www.banque-
france.fr/sites/default/files/rapport_33_f.pdf,consulté le 11/03/2022.
226
HCJP, « Rapport sur le secret bancaire », 2020, page 3
227
Extrait de l’article 4 de la Loi informatique et libertés, identique à l’article 5 du RGPD : « Les données à
caractère personnel doivent être :
« a) traitées de manière licite, loyale et transparente au regard de la personne concernée (licéité, loyauté,
transparence) ;
b) collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d'une
manière incompatible avec ces finalités ; le traitement ultérieur à des fins archivistiques dans l'intérêt public,
à des fins de recherche scientifique ou historique ou à des fins statistiques n'est pas considéré, conformément
à l'article 89, paragraphe 1, comme incompatible avec les finalités initiales (limitation des finalités) ;
c) adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont
traitées (minimisation des données) »
197. Consciemment ou non, le client d’une banque fournit un nombre très élevé
d’informations le concernant. Ses paiements par carte bancaire sont par exemple
susceptibles de dévoiler sa localisation géographique, l’endroit où il a l’habitude de faire ses
courses, ses restaurants et cinémas favoris, ses lieux de vacances, le budget qu’il attribue à
chacune de ces activités, les heures auxquelles il les pratique. La carte bancaire est utilisée
quotidiennement ou presque par une majorité d’individus, ce qui en fait l’outil de traçage
idéal. La simple évocation de la disparition de la monnaie fiduciaire effraie bon nombre
d’entre eux pour cette même raison : les paiements effectués par carte bancaire, virements
ou prélèvements étant nécessairement traçables.
198. Riches d’un patrimoine informationnel très étendu en ce qui concerne leurs clients, les
banques pourraient techniquement proposer des services personnalisés à un niveau
certainement proche de ce qui peut être évoqué dans les œuvres de l’auteur de science-fiction
Philip K. Dick 228 . Le cadre juridique établit par le RGPD et la nécessité d’obtenir le
consentement explicite des clients dans de nombreux cas y fait cependant obstacle, et les
banques sont en principe obligées de ne traiter que les données strictement nécessaires aux
traitements de données auxquels les clients ont consenti, nécessaires au respect de leurs
obligations légales ou nécessaires à l’exécution du contrat qui les lient à leurs clients
conformément aux articles 5 et 6 du RGPD229.
199. En complément de ces trois bases légales, il en existe trois autres et notamment, une,
que les banques utilisent assez largement : l’intérêt légitime, qui permet aux responsables de
traitement d’effectuer un traitement dans la seule limite de la légalité et si l’individu faisant
228
Auteur de Science-Fiction notamment connu pour ses romans « Ubik », « The Minority Report » ou encore
« Les androïdes rêvent-ils de moutons électriques »
229
Extrait de l’article 6 du RGPD : « Le traitement n'est licite que si, et dans la mesure où, au moins une des
conditions suivantes est remplie :
a) la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs
finalités spécifiques ;
b) le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à
l'exécution de mesures précontractuelles prises à la demande de celle-ci ;
c) le traitement est nécessaire au respect d'une obligation légale à laquelle le responsable du traitement est
soumis »
200. Les principes généraux231 posés à l’article 5 du RGPD imposent ainsi aux banques, à
l’heure du Big Data, des investissements humains et matériels très poussés au risque d’être
en non-conformité. Les principes de minimisation et de pertinence des données à caractère
personnel sont d’autant plus délicats à appliquer dans le secteur bancaire que certaines
données pourront être pertinentes à un moment donné de la relation, puis cesser de l’être peu
de temps après, ce qui implique une vérification permanente de la pertinence des données
détenues concernant les clients.
201. Lors d’une demande de souscription de crédit par exemple, la banque va vérifier que
le demandeur n’est pas inscrit au FICP et devra conserver la preuve de cette vérification
pendant un temps relativement long allant jusqu’à 35 ans dans certains cas232, dans le cas
contraire, elle pourra être privée de ses droits aux intérêts233. Le résultat de cette consultation
ne devra pour autant, lui, pas être conservé en base active. En effet, l’arrêté du 26 octobre
2010 relatif au fichier national des incidents de remboursement des crédits aux particuliers234
dispose que le résultat ne doit être accessible que pour « l'instruction du dossier de demande
de crédit, de reconduction annuelle d'un contrat de crédit renouvelable ou d'attribution de
moyens de paiement dans le cadre de laquelle la consultation a été effectuée235 ».
202. Une fois la vérification faite, les banques devront donc archiver ce résultat qui ne sera
accessible qu’à des fins d’audit ou à des fins de preuve dans le cadre d’un litige. Elles devront
par ailleurs résister à la tentation d’utiliser ce résultat à d’autres fins, comme l’étude d’une
demande de crédit d’un membre du foyer de la personne concernée ou l’étude d’une
230
PERRAY R., « L'intérêt légitime, une base légale du RGPD pas vraiment comme les autres”, Comm. com.
électr. n° 6, Juin 2021, étude 11
231
PERRAY R., « Données à caractère personnel – Principes fondamentaux relatifs aux traitements de données
à caractère personnel. Loyauté, licéité et transparence », J. Cl. Communication, Fasc.932-10, 2020
232
Voir l’article 13 de l’Arrêté du 26 octobre 2010 relatif au fichier national des incidents de remboursement
des crédits aux particuliers, NOR : ECET1024001A, JORF n°0253 du 30 octobre 2010, Texte n° 22.
233
TI Saint-Brieuc, 17 juin 2013, Gaz. Pal., 4-8 août 2013, p. 13, note G. Poissonnier
234
Arrêté du 26 octobre 2010 relatif au fichier national des incidents de remboursement des crédits aux
particuliers, NOR : ECET1024001A, JORF n°0253 du 30 octobre 2010, Texte n° 22
235
Article 13 de l’arrêté du 26 octobre 2010 relatif au fichier national des incidents de remboursement des
crédits aux particuliers
203. Outre ces aspects réglementaires, la bonne sélection des données représente un enjeu
business pour éviter le phénomène de « bad data », qui désigne le fait, pour un responsable
de traitement de détenir des données de mauvaise qualité, souvent parce qu’elles sont
fausses, incomplètes ou sans intérêt236. Au regard de l’ampleur des travaux qui se sont avérés
nécessaires pour la mise en conformité des banques au RGPD avant l’entrée en application
de celui-ci, il était craint que certaines d’entre elles ne soient pas prêtes à temps237. Les
sanctions de la CNIL à l’égard des banques restant à ce jour relativement rares238, il faut
croire que la majorité d’entre elles ont fait le nécessaire à temps.
204. Au-delà de leur conformité, les banques ne peuvent cependant pas ignorer le désir
grandissant des individus de maîtriser leurs données à caractère personnelles, invitant les
responsables de traitements à fournir des efforts supplémentaires pour conserver leur attrait.
Ironiquement, il est d’ailleurs de plus en plus fréquent que les GAFAM et BATX eux-mêmes
utilisent cet argument pour attirer des clients239.
205. Le développement du Big Data a mis en exergue le besoin de renforcer la maîtrise des
individus sur leurs données à caractère personnel, non seulement en ce qui concerne les
données traitées en elles-mêmes, mais aussi en ce qui concerne la finalité de leur traitement.
Le laboratoire de recherche de la CNIL, le LINC, publie régulièrement depuis 2015 les
résultats d’une étude intitulée « le baromètre générique sur les pratiques numériques et la
maîtrise des données personnelles ». Les résultats de l’étude de 2019 mettent en effet en
236
FONTAINE M., « La protection des données », JCP N n° 1, 4 Janvier 2019, 1003
237
VETRIAK N., DUVAL G. et FRENEL C., « Mise en conformité au RGPD : l’état d’avancement des
établissements financiers », Revue Banque n° 819, 2018
238
KOVAR J-P et LASSERE CAPDEVILLE J., « Première banque sanctionnée pour des manquements liés
au RGPD », Revue Banque n°851, 2020
239
SIX N., « Apple affine le blocage du suivi publicitaire sur iPhone et iPad », Le Monde, 2021 ; PIQUARD
A., « Google va renoncer aux cookies, ces fichiers qui traquent les internautes, une annonce qui ne convainc
pas », Le Monde, 2021
206. Si la Loi informatique et libertés prévoyait bien avant l’adoption du RGPD241 une
obligation générale de transparence quant aux données traitées et instaurait déjà un grand
nombre de droits en faveur des individus sur leurs données, le RGPD a largement renforcé
le socle établi par celle-ci en associant des sanctions bien plus élevées aux manquements à
la réglementation242.
208. Les PIMS permettent aux entreprises et individus de gérer plus facilement leurs
données à caractère personnel, en simplifiant par exemple la fourniture et la révocation des
autorisations de traitement de leurs données par des tiers. En France, c’est ce que permettent
par exemple les entreprises telles que Fair and Smart246 et Didomi.
240
Le baromètre générique sur les pratiques numériques et la maîtrise des données personnelles, édition 2019
241
Article 40-5 - Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés
242
Voir par exemple la sanction prononcée par la CNIL à l’égard de GOOGLE : Délibération SAN-2020-012
du 7 décembre 2020
243
LASSALLE M., « La réparation des atteintes au droit à l'autodétermination informationnelle », Comm. com.
électr. n° 2, Février 2021, étude 4
244
Systèmes de gestion des données personnelles
245
L’entreprise française COZY CLOUD par exemple offre un service de domicile numérique, c’est-à-dire un
cloud privé et personnel à l’individu qui peut choisir avec qui ses données seront partagées.
246
Le site internet de la société Fair and Smart est disponible à l’adresse suivante :
https://wp.fairandsmart.tech,consulté le 11/03/2022.
210. Grace au cadre que le Data Governance Act a vocation à établir, les données pourront
plus simplement circuler entre les administrations, les entreprises et les individus tout en
garantissant les droits des individus et entreprises sur les données concernées. L’altruisme
en matière de données est également encouragé grâce à la création d’un registre national des
organismes reconnus en la matière. Ainsi, les individus pourront simplement choisir de
partager les données les concernant avec ces organismes, à des fins, par exemple, de
recherche. Avec le Data Governance Act, l’objectif de l’UE quant à la simplification des
échanges de données tout en renforçant la maîtrise des personnes concernées sur leurs
données est ainsi clairement affiché, contribuant par la même occasion au self data.
211. Le self-data ne désigne pas un type d’entreprise en particulier mais plutôt une approche
de la donnée que peuvent adopter les entreprises et administrations de domaines diverses.
Le self-data est un concept popularisé par la FING 249 , Fondation Internet Nouvelle
Génération, qui consiste à assurer aux individus la possibilité d’obtenir simplement la
restitution de leurs données et la possibilité de les réutiliser comme ils l’entendent. Il s’agit
plus globalement de permettre aux individus de capitaliser sur leurs données, et non plus
247
Proposition de Règlement du Parlement européen et du Conseil du 25 novembre 2021 sur la gouvernance
européenne des données dit « Data governance act ».
248
Directive (UE) 2019/1024 du Parlement européen et du Conseil du 20 juin 2019 concernant les données
ouvertes et la réutilisation des informations du secteur public
249
La Fondation Internet Nouvelle Génération est une association créée en 2000 par Daniel KAPLAN, Jacques-
François MARCHANDISE et Jean-Michel CORNU. (Site internet de la FING, consultable à l’adresse
suivante : https://fing.org/a-propos.html)
213. Les banques sont habilitées à traiter les données de leurs clients en vertu de
nombreuses bases légales, principalement, du consentement exprès du client, de l’exécution
du contrat, du respect d’une obligation légale ou de l’intérêt légitime de la banque. En
pratique, ce n’est qu’en prenant le soin de lire attentivement les formulaires qui lui sont remis
et la politique de confidentialité de la banque que le client pourra avoir une idée de l’étendue
250
Les villes de Lyon, Nantes et La Rochelle ont notamment toutes des expérimentations en cours autour du
self-data comme le souligne le site gouvernemental “Labo société numérique”, disponible à l’adresse suivante :
https://labo.societenumerique.gouv.fr/2019/07/18/lyon-nantes-et-la-rochelle-jettent-les-bases-du-self-data-
territorial/,consulté le 11/03/2022. La caisse des dépôts et consignations a d’ailleurs dédié un rapport au sujet
du self data intitule “Données personnelles, Le Monde d’après : Etat des lieux de l’écosystème du self data”,
publié le 20 novembre 2020. Ce rapport est consultable à l’adresse suivante :
https://www.banquedesterritoires.fr/sites/default/files/202103/Données%20personnelles_le%20modèle%20d
%27après_Selfdata.pdf,consulté le 11/03/2022.
251
La société Apple met notamment en avant les paramètres de confidentialité du système d’exploitation de
ses iPhones sur son site internet, disponible à l’adresse suivante : https://www.apple.com/fr/ios/ios-
15/,consulté le 11/03/2022. Le 26 avril 2021, à l’occasion de la publication de la version 14.5 du système
d’exploitation iOS, la presse avait largement relayé la fonctionnalité visant à empêcher facilement le traçage
des applications installées sur l’iPhone. Lire par exemple SIX N., « Apple affine le blocage du suivi publicitaire
sur iPhone et iPad », Le Monde, 2021, disponible à l’adresse suivante :
https://www.lemonde.fr/pixels/article/2021/04/28/apple-affine-le-blocage-du-suivi-publicitaire-sur-iphone-
et-ipad_6078379_4408996.html,consulté le 11/03/2022. ; voir également celui du quotidien Les Echos du 17
mars 2021 par BALENIERI R. et DUMOULIN S., « Ciblage publicitaire : 6 questions sur les nouvelles
restrictions imposées par Apple », Les Echos, 2021, disponible à l’adresse suivante :
https://www.lesechos.fr/tech-medias/hightech/ciblage-publicitaire-6-questions-sur-les-nouvelles-restrictions-
imposees-par-apple-1299194,consulté le 11/03/2022.
214. Si nous les prenons une par une, on ne peut que constater que le client a un niveau de
maîtrise a priori très limité sur les données traitées car s’il peut effectivement ne pas donner
son consentement exprès aux traitements reposant sur cette base, ou se prévaloir d’un intérêt
légitime supérieur à celui de la banque pour s’opposer aux traitements que cette dernière
effectue sur la base de l’un de ses propres intérêts légitimes, il ne pourra échapper aux
traitements de données effectués sur la base de l’exécution du contrat ou du respect d’une
obligation légale qu’en s’abstenant de contractualiser avec la banque252.
215. La faible marge de manœuvre a priori de la conclusion du contrat dont disposent les
individus dans l’acceptation ou non des traitements effectués par les banques est cependant
contrebalancée, si l’on peut dire, par l’obligation qui leur est faite de s’assurer que les
individus soient bien en mesure de comprendre les traitements effectués et leurs implications
conformément à l’article 13 du RGPD253. La première sanction rendue par la CNIL à l’égard
d’une banque pour manquement aux dispositions du RGPD sanctionnait d’ailleurs un tel
manquement de la part de Carrefour Banque254. Les dispositions du RGPD visant à assurer
une maîtrise a posteriori des individus sur leurs données contribuent elles aussi à ce
rééquilibrage des forces entre individus et responsables de traitements.
216. Les articles 15 et suivants du RGPD255 offrent aux individus de nombreux droits sur
leurs données à caractère personnel, permettant à ces derniers d’avoir une meilleure maîtrise
a posteriori sur les données traitées par les banques. Pour en garantir l’effectivité, les banques
BANCK A., « Neuf idées préconçues sur le Règlement européen relatif à la protection des données », Revue
252
Banque n°810, 2017 ; MATTATIA F., RGPD et droit des données personnelles, Eyrolles, 5e édition, 2021
253
Voir l’article 13 du RGPD.
Délibération de la formation restreinte n° SAN-2020-009 du 18 novembre 2020 concernant la société
254
CARREFOUR BANQUE
255
Règlement (UE) 2016/ 679 du parlement européen et du conseil du 27 avril 2016 relatif à la protection des
personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces
données, et abrogeant la directive 95/ 46/ CE (Règlement général sur la protection des données
217. C’est ainsi que les clients peuvent notamment obtenir de leur banque le détail des
informations connues à leur sujet en vertu du droit d’accès, demander la suppression de
certaines informations les concernant ou s’opposer à certains traitements. À réception de la
demande, la banque dispose alors d’un délai d’un mois pour y répondre, sauf si la demande
est complexe ou si la banque a reçu un trop grand nombre de demandes, dans quel cas la
banque doit le préciser à l’individu concerné. En tout état de cause le délai maximum de
traitement de la demande est de trois mois257.
218. Précisons que, dans le cadre de l’exercice de leurs droits sur leurs données
personnelles, les individus ont la possibilité de prouver leur identité, si la situation le justifie,
grâce à des données d’identité numérique et qu’ils peuvent également, s’ils le souhaitent,
mandater une personne physique ou morale pour exercer leurs droits en leur nom258. Dans
256
Carrefour Banque a également été sanctionnée sur ce point par la CNIL : Délibération de la formation
restreinte n° SAN-2020-009 du 18 novembre 2020 concernant la société CARREFOUR BANQUE
257
Extrait de l’article 12 du RGPD : « Le responsable du traitement fournit à la personne concernée des
informations sur les mesures prises à la suite d'une demande formulée en application des articles 15 à 22, dans
les meilleurs délais et en tout état de cause dans un délai d'un mois à compter de la réception de la demande.
Au besoin, ce délai peut être prolongé de deux mois, compte tenu de la complexité et du nombre de demandes.
Le responsable du traitement informe la personne concernée de cette prolongation et des motifs du report dans
un délai d'un mois à compter de la réception de la demande. Lorsque la personne concernée présente sa
demande sous une forme électronique, les informations sont fournies par voie électronique lorsque cela est
possible, à moins que la personne concernée ne demande qu'il en soit autrement. »
258
Article 77 du décret n° 2019-536 du 29 mai 2019 pris pour l'application de la loi n° 78-17 du 6 janvier 1978
relative à l'informatique, aux fichiers et aux libertés : « Lorsque la personne concernée forme une demande, y
compris par voie électronique, tendant à la mise en œuvre des droits prévus aux articles 48, 49, 50, 51, 53, 54,
55 et 56 de la loi du 6 janvier 1978 susvisée, elle justifie de son identité par tout moyen. Elle peut exercer ses
droits en utilisant des données d'identité numériques lorsque ces données sont nécessaires et estimées
suffisantes par le responsable du traitement pour authentifier ses utilisateurs.
Lorsque le responsable du traitement ou le sous-traitant a des doutes raisonnables quant à l'identité de cette
personne, il peut demander les informations supplémentaires apparaissant nécessaires, y compris, lorsque la
situation l'exige, la photocopie d'un titre d'identité portant la signature du titulaire.
219. Si à première lecture, ces droits sont effectivement susceptibles de rassurer le client en
lui donnant un sentiment de maîtrise sur ses données, dans les faits, leur efficacité est quelque
peu artificielle quand il s’agit de les exercer auprès d’une banque.
220. Prenons l’exemple du droit à l’effacement des données prévu à l’article 17 du RGPD.
Ce droit, permet à tout individu d’obtenir du responsable de traitement l’effacement de ses
données pour six motifs énumérés, mais prévoit presque autant d’exceptions (cinq)260. Parmi
les motifs susceptibles de donner droit à l’effacement des données figure notamment le fait
que les données ne soient plus nécessaires au regard des finalités du traitement ou que
l’individu ait retiré son consentement sur lequel était fondé le traitement.261
221. Cette disposition semble relativement vide de sens puisqu’en réalité, les responsables
de traitements ont l’obligation de spontanément effacer les données dans ces circonstances
au risque d’être en non-conformité avec les principes de pertinence et licéité des traitements,
Les délais prévus au 3 de l'article 12 du règlement (UE) 2016/679 du 27 avril 2016 susvisé sont suspendus
lorsque le responsable du traitement ou le sous-traitant a sollicité des informations supplémentaires
nécessaires pour identifier la personne concernée.
Lorsqu'il existe un doute raisonnable sur l'identité du demandeur ou sur l'adresse postale à laquelle la
personne concernée a demandé la transmission par écrit d'informations la concernant, la réponse peut être
expédiée sous pli recommandé sans avis de réception, la vérification de l'adresse et de l'identité s'effectuant
lors de la délivrance du pli.
Lorsque le responsable du traitement, le sous-traitant ou le délégué à la protection des données n'est pas connu
du demandeur, celui-ci peut adresser sa demande au siège ou à l'adresse électronique fonctionnelle de la
personne morale, de l'autorité publique, du service ou de l'organisme dont le traitement relève. La demande
est transmise immédiatement au responsable du traitement.
La demande peut être également présentée par une personne spécialement mandatée à cet effet par le
demandeur, si celle-ci justifie de son identité et de l'identité du mandant, de son mandat ainsi que de la durée
et de l'objet précis de celui-ci. Le mandat doit également préciser si le mandataire peut être rendu destinataire
de la réponse du responsable du traitement ou du sous-traitant ».
259
La CNIL a récemment publié ses recommandations en ce qui concerne l’exercice des droits sur les données
personnelles par mandat. Voir la délibération de la CNIL n°2021-070 du 27 mai 2021 portant adoption d’une
recommandation relative à l’exercice des droits par l’intermédiaire d’un mandataire. Il y est précisé qu’une
pièce d’identité peut être demandé lorsque le prestataire connait le client sous son identité régalienne, comme
c’est le cas des banques.
260
Voir l’article 17 du Règlement (UE) 2016/ 679 du parlement européen et du conseil du 27 avril 2016.
BANCK A., « Neuf idées préconçues sur le Règlement européen relatif à la protection des données », Revue
261
222. Si nous regardons cette fois-ci les exceptions au droit à l’effacement des données,
figurent notamment le fait que les données soient nécessaires au respect d’une obligation
légale et le fait qu’elles soient nécessaires à la constatation, la défense ou l’exercice de droits
en justice262.
223. En ce qui concerne les banques, ces deux exceptions font donc obstacle à ce qu’un
client puisse obtenir la suppression des données liées à ses paiements et revenus, à son
identité, à ses coordonnées, à sa situation patrimoniale, à ses correspondances avec sa
banque. L’exercice est bien plus aisé dans l’autre sens, seules les données qui pourraient
être utilisées pour des services annexes ayant supposé le consentement du client pourront en
réalité être effacées, du moins tant que ce dernier reste client de la banque, et le cas échéant
jusqu’à cinq ans après la fin de la relation contractuelle.
224. Le rapport annuel de la CNIL concernant 2019263 fait état d’une hausse de 27% des
plaintes par rapport à 2018 pour un total de 14137 plaintes reçues en 2019. Sachant que le
rapport précédent indiquait déjà une hausse de 32% des plaintes264, il semblerait donc qu’en
dépit du peu de marge de manœuvre offert en ce qui concerne le droit de suppression, les
individus ont bien compris que l’entrée en application du RGPD leur offrait une réelle
opportunité de rééquilibrer leurs rapports de force avec les responsables de traitement.
225. Le recours aux algorithmes semble exacerber cette prise de conscience des individus
quant à la nécessité de protection de leur vie privée comme le souligne la CNIL dans son
rapport annuel 2020. En effet, grâce à cette pratique, certains acteurs sont désormais en
262
Article 17 du RGPD.
263
CNIL, « Rapport annuel 2020 concernant l’année 2019 », 2020. Le rapport est disponible en ligne à
l’adresse suivante :
https://www.cnil.fr/sites/default/files/atoms/files/cnil_-_41e_rapport_annuel_-_2020.pdf, consulté le
11/03/2022.
264
CNIL, « Rapport annuel 2019 oncernant l’année 2018 », 2019. Le rapport est disponible à l’adresse
suivante : https://www.cnil.fr/sites/default/files/atoms/files/cnil-40e_rapport_annuel_2019.pdf,consulté le
11/03/2022.
265
Extrait du rapport 2020 de la CNIL page 37 : « De nombreux acteurs sont désormais en mesure d’accumuler
suffisamment d’informations pour créer des profils individuels très détaillés, en particulier grâce à la
multiplication des sources de collecte. Ces profils peuvent produire, au fil du temps, une « image » complète
et plus ou moins exacte des internautes, voire révéler des informations qu’ils n’auraient pas choisi d’exposer.
»
226. Riches d’un patrimoine informationnel conséquent au sujet de leur clientèle, les
banques ont rapidement été confrontées à la problématique de l’exploitation des données
contenues dans leurs bases de données, et se sont tournées pour ce faire vers les algorithmes
et l’intelligence artificielle266.
227. Dans le cadre d’une étude sur la révolution numérique dans le secteur bancaire
français, réalisée en 2017, l’ACPR267 indiquait que les algorithmes représentaient alors les
investissements les plus importants des banques françaises268. Parmi les techniques les plus
utilisées figurent sans surprise les solutions de traitement automatique de documents par
reconnaissance du texte et le traitement automatique du langage naturel pour l’analyse
automatique de documents, ainsi que les expérimentations autour de la blockchain, que les
banques ont pourtant longtemps considérées comme une menace269.
228. Si ces solutions permettent aux banques de gagner en efficacité et, souvent,
d’améliorer l’expérience client, leur développement exponentiel en l’absence d’un cadre
juridique clair engendre de nombreux questionnements notamment sur l’éthique de
l’intelligence artificielle et la gouvernance des algorithmes270. C’est dans ce contexte que
l’ACPR a initié en 2018 des travaux sur la gouvernance des algorithmes d’intelligence
artificielle dans le secteur financier ayant donné lieu à un premier document de réflexion en
2018271 puis un rapport en juin 2020 en vue d’une consultation272.
266
BLANC P., « L’IA et les banques, entre foisonnement et interrogations », Revue Banque n°825, 2018
267
ACPR, « Étude sur la révolution numérique dans le secteur bancaire français », 2018, disponible à l’adresse
suivante : https://acpr.banque-france.fr/communique-de-presse/lacpr-publie-les-resultats-de-son-etude-sur-la-
transformation-numerique-dans-les-secteurs-francais,consulté le 11/03/2022.
268
ACPR, « Étude sur la révolution numérique dans le secteur bancaire français », actualisée en 2018, page 6
269
CAPRIOLI E., « La blockchain ou la confiance dans une technologie », Lexisnexis Revue JCP G Semaine
Juridique numéro 23 pages 1162-1163, 2016 ; DOUVILLE T. et VERBIEST T, « Blockchain et tiers de
confiance : incompatibilité ou complémentarité ? », Recueil Dalloz 2018 p.1144
270
WILSON S., « Quand l’algorithme pêche la donnée personnelle », Banque & Stratégie n°360, 2017
271
ACPR, « Intelligence artificielle : enjeux pour le secteur financier », site de l’ACPR, 2018, disponible à
l’adresse suivante:
https://acpr.banquefrance.fr/sites/default/files/medias/documents/2018_12_20_intelligence_artificielle_fr_0.p
df,consulté le 11/03/2022.
DE RAVEL D’ESCLAPON T., « La gouvernance des algorithmes dans le secteur financier - Le point de
272
§ 1 - LE PROFILAGE
230. La notion de profilage est définie par le RGPD à son article 4273 comme « toute forme
de traitement automatisé de données à caractère personnel consistant à utiliser des données
à caractère personnel pour évaluer certains aspects personnels relatifs à une personne
physique, notamment pour analyser ou prédire des éléments concernant le rendement au
travail, la situation économique, la santé, les préférences personnelles, les intérêts, la
fiabilité, le comportement, la localisation ou les déplacements de cette personne physique ».
231. Plus simplement, il s’agit d’établir automatiquement le profil d’un individu sur la base
d’un certain nombre de ses données à caractère personnel. Comme toujours en matière de
données, plus les données seront volumineuses, plus le profil sera, en principe, fiable.
Comme beaucoup d’entreprises, les banques s’appuient beaucoup sur des techniques
d’analyse et de prédiction, principalement à des fins marketing, pour segmenter leur clientèle
et leur adresser des contenus et offres personnalisés par segment ou, pour certaines banques,
par personne, mais aussi à des fins d’analyse de risque, pour identifier si tel individu est un
profil à risque ou non avant de lui octroyer un crédit.
273
Règlement (UE) 2016/ 679 du parlement européen et du conseil du 27 avril 2016 relatif à la protection des
personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces
données, et abrogeant la directive 95/ 46/ CE (Règlement général sur la protection des données)
274
Lignes directrices du G29 sur le profilage et les décisions automatisées du 6 février 2018, disponibles en
ligne à l’adresse suivante : https://www.cnil.fr/sites/default/files/atoms/files/wp251_profilage-fr.pdf,consulté
le 11/03/2022.
A - LE PARADOXE DU PROFILAGE
233. Pour constituer le profil d’un client, la banque va s’appuyer sur de nombreuses
données qui auront soit été fournies directement par le client, par le biais de formulaires, de
pièces justificatives ou d’échanges avec son conseiller. Soit issues de l’analyse de son
comportement, en analysant les contenus qu’il consulte le plus dans son espace personnel
bancaire ou sa fréquence de connexion par exemple. La tentation d’utiliser les données issues
des profils de réseaux sociaux des individus peut également être forte, mais les banques n’y
sont pas autorisées, quand bien même les données seraient publiques275.
234. Ces techniques ont vocation à établir un profil le plus fiable possible du client pour
que la banque puisse ensuite optimiser et personnaliser les parcours et offres qui lui sont
adressés, ou, dans le cadre de l’analyse de risque, pour déterminer si le client est éligible à
un produit276.
235. Comme dans beaucoup de secteurs, les clients sont donc tiraillés entre leur volonté de
préserver la confidentialité de certaines informations les concernant et obtenir un service des
plus personnalisé. Pour ces nombreuses raisons, le recours au profilage est fortement encadré
par la réglementation au travers de deux mesures censées garantir la protection de la vie
privée des individus.
236. Au regard des propos de la CNIL au sujet du profilage277, il semble que le principal
risque qu’elle y associe concerne les prédictions qui en sont issues et les conséquences
qu’elles peuvent avoir pour les individus. En effet, sans parler à ce stade des conséquences
275
MARTIAL BRAZ N., « L'apport de l'intelligence artificielle à la banque - Enjeux et contraintes en matière
de données à caractère personnel », RD bancaire et fin. n° 6, Novembre 2019, dossier 53
276
BASDEVANT A., MIGNARD J. P., « Big Data et intelligence artificielle Les algorithmes deviennent les
nouveaux oracles », Banque et Droit n°HS-2018-2, 2018
277
CNIL, « Profilage et décision entièrement automatisées », site internet de la CNIL, 2018
237. La diminution des échanges directs entre le client et son conseiller rend presque
impossible l’établissement d’une confiance individuelle entre le client et sa banque puisque
dans une configuration distante, le client va généralement chercher à être autonome dans la
gestion de son dossier en réalisant lui-même ses actes de gestion depuis son espace
personnel. La banque va néanmoins avoir besoin, d’une manière ou d’une autre, de connaître
au mieux son client si elle souhaite être en mesure de lui proposer un service optimisé et
personnalisé. Pour ce faire, elle va s’appuyer sur son profil client, constitué grâce aux
informations issues des formulaires qu’il aura complétés, des correspondances entre celui-
ci et sa banque. Dans les cas les plus extrêmes, la personne du client se résumera, pour la
banque, à son profil.
239. La pratique du profilage dans un contexte distant a ainsi une conséquence inévitable :
la confiance de la banque va être attachée au profil établi et non plus au client lui-même.
Réciproquement, le client pourra donc légitimement se méfier des décisions prises par sa
banque sur la base de son profil.
278
PERRAY R., « Données à caractère personnel. Principes fondamentaux relatifs aux traitements de données
à caractère personnel. Exactitude », J. Cl. Communication, Fasc. 932-40, 2020
241. Pour autant, le respect du principe d’exactitude ne signifie cependant pas que toutes
les données personnelles relatives à un individu soient effectivement exactes ou à jour à tout
moment, un certain délai pouvait s’écouler entre un changement de situation et
l’actualisation des données à la demande du responsable de traitement ou spontanément par
l’individu concerné. Certains individus peuvent d’ailleurs délibérément choisir de renseigner
des informations fausses.
242. La banque a donc tout intérêt à être extrêmement rigoureuse dans le contrôle de la
qualité des données traitées, particulièrement lorsqu’il s’agit d’utiliser des outils visant à
prendre des décisions automatisées.
279
CNIL, « Rapport annuel 2020 concernant l’année 2019 », 2020, page 37. Le rapport est disponible en ligne
à l’adresse suivante :
https://www.cnil.fr/sites/default/files/atoms/files/cnil_-_41e_rapport_annuel_-_2020.pdf, consulté le
11/03/2022.
280
Ce principe impose aux responsables de traitement de faire en sorte que les données traitées soient exactes
et maintenues à jour.
281
Lignes directrices n°4/2019 du CEPD relatives à l’article 25 - Protection des données dès la conception et
protection des données par défaut adoptées le 20 octobre 2020, page 27 : « Les exigences doivent être
considérées au regard des risques et des conséquences associés à l’utilisation concrète des données. Des
données à caractère personnel inexactes pourraient constituer un risque pour les droits et libertés des
personnes concernées, par exemple lorsqu’elles conduisent à un diagnostic erroné ou à un traitement injustifié
dans un protocole de santé, ou si l’image incorrecte d’une personne peut donner lieu à des décisions fondées
sur une base erronée, que ces décisions soient prises manuellement, par un système de décision automatisé ou
par une intelligence artificielle. »
244. Les décisions automatisées sont elles aussi à l’origine d’une certaine méfiance de la
clientèle bancaire au regard des conséquences qu’elles peuvent avoir sur leurs droits. En
effet, le fait qu’un individu se voit opposer un refus à une demande de crédit, ou à une
demande de mise à disposition d’un moyen de paiement par un ordinateur revient à ce qu’une
machine le prive d’un droit, et ce pour des raisons potentiellement erronées. Les risques de
discrimination associés à l’intelligence artificielle, qu’ils soient volontaires, au travers d’un
paramétrage discriminatoire, ou accidentels, font d’ailleurs parti des risques principaux mis
en exergue par le débat public mené par la CNIL en 2017 intitulé « comment permettre à
l’homme de garder la main ? les enjeux éthiques des algorithmes et de l’intelligence
artificielle283 ».
245. Dans l’hypothèse où un individu se verrait opposer une décision discriminatoire issue
d’une IA, il pourra être particulièrement difficile pour ce dernier de contester la décision s’il
n’a pas connaissance de la logique sous-jacente qui a conduit à la décision qui lui est imposée
(A). Ces mêmes logiques sous-jacentes pourraient aussi, dans certains cas, augmenter ses
chances d’obtenir une décision favorable(B).
282
Ibid.
283
Le rapport du débat public mené par la CNIL en 2017 intitulé « comment permettre à l’homme de garder la
main ? les enjeux éthiques des algorithmes et de l’intelligence artificielle » est disponible à l’adresse suivante :
https://www.cnil.fr/sites/default/files/atoms/files/cnil_rapport_garder_la_main_web.pdf,consulté le
11/03/2022.
246. Les responsables de traitement sont tenus de dévoiler « des éléments utiles »
concernant la logique sous-jacente de leurs algorithmes conformément à l’article 13 du
RGPD, portant sur l’obligation de transparence 284 . De manière générale, contester une
décision suppose, en effet, pour celui à qui elle est opposée, de connaître les raisons de cette
décision pour pouvoir réfuter la validité des arguments. Quand cette décision a été prise par
un individu, sans l’assistance d’un algorithme quelconque, les données prises en compte
dans cette décision sont en principe limitées par les capacités humaines de ce dernier et la
logique retenue pour aboutir à ladite décision est rarement très compliquée.
248. Si le dossier est également étudié par un conseiller, il est possible que des éléments
non compris dans le dossier conduisent à l’acceptation du dossier malgré un score limité, ce
qui ne sera pas le cas si la décision est entièrement prise automatiquement. Pour éviter une
284
DE RAVEL D’ESCLAPON t., « Transparence et intelligence artificielle – Libres propos en droit
bancaire ? », Banque et Droit n°192, 2020 ; La CADA avait été amenée à se prononcer concernant la
plateforme « Admissions Post Bac » dans un avis du 10 janvier 2019 (n° 20184400). A cette occasion, il avait
été rappelé que même les services de l’éducation sont concernés par cette obligation et se doivent donc de
renseigner les étudiants qui demandent des renseignements sur le traitement de leur dossier : « La commission
estime toutefois, d’une part, que si ces dispositions du cinquième alinéa de l’article L612-3 du code de
l’éducation dispensent les établissements concernés de l’obligation de diffusion en ligne des règles définissant
les principaux traitements algorithmiques utilisés dans l'accomplissement de leurs missions lorsqu'ils fondent
des décisions individuelles par les établissements dispensant une formation d'enseignement supérieur, elles
n’interdisent pas que ces établissements en assurent une diffusion spontanée. Elle estime également, d’autre
part, que le droit d’accès spécial instauré par le législateur, au bénéfice des candidats qui en font la demande,
aux informations relatives aux critères et modalités d'examen de leurs candidatures ainsi qu'aux motifs
pédagogiques qui justifient la décision prise, doit leur permettre de connaître de façon complète et effective
ces critères, modalités et motifs, ce qui peut inclure, le cas échéant, une information relative à un ou plusieurs
éléments du traitement algorithmique. »
249. En cas de refus de crédit, il nous semble logique que l’individu cherche à connaître le
motif de ce refus, notamment pour que ce dernier puisse améliorer sa situation avant de
renouveler sa demande. Cependant, la CNIL rappelle aux individus concernés que les
banques sont libres de contractualiser ou non avec tout individu en vertu du principe général
de liberté contractuelle prévu par l’article 1101 du Code Civil286 et qu’elles ne sont donc pas
non plus tenues de dévoiler le motif de leur refus en cas de décision défavorable287.
250. Bien que largement popularisée par les œuvres de sciences-fictions depuis des
décennies, l’intelligence artificielle est une réalité encore trop récente pour que la plupart
des individus puissent s’en faire une opinion exempte des biais induits par les œuvres telles
que celles d’Isaac ASIMOV, l’auteur du cycle des fondations. Dans ces mêmes œuvres,
d’ailleurs, si l’on passe outre le fait que l’intelligence artificielle ait presque toujours
l’annihilation de l’humanité comme dessein, on trouve certains éléments très intéressants au
285
Règlement (UE) 2016/ 679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des
personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces
données, et abrogeant la directive 95/ 46/ CE (Règlement général sur la protection des données)
286
Article 1101 du Code Civil : « Le contrat est un accord de volontés entre deux ou plusieurs personnes
destiné à créer, modifier, transmettre ou éteindre des obligations ».
287
CNIL, « Le refus de crédit en question », site internet de la CNIL, 2018
251. De la même manière, les décisions entièrement automatisées semblent être souvent
associées à un risque de discrimination, mais qu’en est-il réellement ? En matière de crédit,
le crédit scoring prend en compte un nombre de critères prédéterminés. Si le client a de
mauvais résultats au regard de ces critères, son dossier sera très probablement refusé, ou, s’il
est accepté, sera conditionné à un taux d’intérêt très élevé.
252. Pourtant, il est possible qu’au regard d’autres critères, non pris en compte dans le crédit
scoring en question, son dossier emprunteur soit en réalité bien meilleur. Il n’est d’ailleurs
pas rare qu’un même individu présente le même dossier à des banques différentes et que
certaines l’acceptent alors que d’autres le refusent, précisément en raison de ces divergences
de critères pris en compte. Les algorithmes ayant des capacités de traitement de données
virtuellement illimitées, on pourrait imaginer que ces derniers soient améliorés pour prendre
en compte davantage de données dans ce score, fiabilisant par la même occasion leurs
décisions.
288
En 2018, la faculté de droit de La Rochelle et son laboratoire de droit, le Centre d’Études Juridiques et
Politiques (CEJEP) avait justement organisé un colloque sur le thème « Numérique, éthique et droit » traitant
de ces problématiques. Le programme est disponible en ligne à l’adresse suivante : https://univ-
droit.fr/actualites-de-la-recherche/manifestations/25743-numerique-ethique-et-droit,consulté le 11/03/2022.
289
Les trois lois de la robotique énoncées par Isaac ASIMOV dans sa nouvelle « Cycles fermés » publiée en
1942 sont les suivantes : « Un robot ne peut porter atteinte à un être humain ni, restant passif, laisser cet être
humain exposé au danger ; Un robot doit obéir aux ordres donnés par les êtres humains, sauf si de tels ordres
entrent en contradiction avec la première Loi ; Un robot doit protéger son existence dans la mesure où cette
protection n'entre pas en contradiction avec la première ou la deuxième Loi. »
290
Proposition de Règlement du Parlement européen et du Conseil établissant des règles harmonisées
concernant l’intelligence artificielle (législation sur l’intelligence artificielle) et modifiant certains actes
législatifs de l’union, du 21 avril 2021
255. En synthèse, il est indéniable que l’IA offre de nombreuses perspectives au secteur
bancaire, tant aux banques qu’à leurs clients, sous réserve d’un encadrement juridique et de
pratiques qui soient vecteurs de confiance. À ce titre, la nouvelle proposition de Règlement
Européen pour un cadre juridique harmonisé sur l’Intelligence Artificielle s’avéra
291
Extrait de l’exposé des motifs de la Proposition de Règlement, page 2 : « La proposition établit une méthode
solide d’évaluation du risque permettant de recenser les systèmes d’IA dits « à haut risque » qui présentent des
risques importants pour la santé, la sécurité ou les droits fondamentaux des personnes. Les systèmes d’IA en
question devront satisfaire à un ensemble d’exigences obligatoires horizontales garantissant une IA digne de
confiance et faire l’objet de procédures d’évaluation de la conformité avant de pouvoir être mis sur le marché
de l’Union. » ; Article 43 de la proposition de règlement : « Pour les systèmes d’IA à haut risque énumérés à
l’annexe III, point 1, lorsque, pour démontrer la conformité d’un système d’IA à haut risque avec les exigences
énoncées au chapitre 2 du présent titre, le fournisseur a appliqué les normes harmonisées visées à l’article 40
ou, le cas échéant, les spécifications communes visées à l’article 41, il suit l’une des procédures suivantes:
(a) la procédure d’évaluation de la conformité fondée sur le contrôle interne visée à l’annexe VI ;
(b) la procédure d’évaluation de la conformité fondée sur l’évaluation du système de gestion de la qualité et
l’évaluation de la documentation technique, avec l’intervention d’un organisme notifié, visée à l’annexe VII.
Lorsque, pour démontrer la conformité d’un système d’IA à haut risque avec les exigences énoncées au
chapitre 2 du présent titre, le fournisseur n’a pas appliqué ou n’a appliqué qu’en partie les normes
harmonisées visées à l’article 40, ou lorsque ces normes harmonisées n’existent pas et que les spécifications
communes visées à l’article 41 font défaut, le fournisseur suit la procédure d’évaluation de la conformité
prévue à l’annexe VII.
Aux fins de la procédure d’évaluation de la conformité visée à l’annexe VII, le fournisseur peut choisir
n’importe lequel des organismes notifiés. Toutefois, lorsque le système est destiné à être mis en service par les
autorités répressives, les services de l’immigration ou les autorités compétentes en matière d’asile ainsi que
les institutions, organes ou agences de l’UE, l’autorité de surveillance du marché visée à l’article 63,
paragraphe 5 ou 6, selon le cas, agit en tant qu’organisme notifié »
292
Extrait de l’exposé des motifs de la Proposition de Règlement, page 12 : « La présente proposition établit
des obligations qui s’appliqueront aux fournisseurs et aux utilisateurs de systèmes d’IA à haut risque. Pour
les fournisseurs qui développent de tels systèmes et les mettent sur le marché de l’Union, elle créera une
sécurité juridique et garantira qu’aucun obstacle ne puisse empêcher la fourniture transfrontière de services
et de produits liés à l’IA. Pour les entreprises qui ont recours à l’IA, elle contribuera à instaurer un climat de
confiance auprès de leurs clients. »
256. Le sujet de la connaissance client, autrefois purement réglementaire, prend une tout
autre dimension dans l’environnement numérique actuel, où la personnalisation est un levier
business important pour les banques.
257. En effet, les différents traitements de données mis en place par les banques en vue de
mieux connaître leur clientèle, peuvent, outre le fait de répondre à des exigences
réglementaires, permettent aux banques de personnaliser leurs services et d’ainsi offrir un
service sur mesure à leur clientèle, ainsi que d’anticiper efficacement des moments de vie à
l’occasion desquels elles peuvent mettre en avant leurs propres produits avant que leur
clientèle ne se rapproche de la concurrence.
258. La tentation est donc naturellement forte, pour les banques, de saisir les opportunités
dont elles disposent en matière de traitements de donnée à caractère personnel, d’autant plus
au regard du large éventail de données qu’elles sont à même de récolter grâce à la nature de
leur relation avec leurs clients, qui est par ailleurs protégée par le secret bancaire.
260. À ce titre, il semble important que les individus conservent la pleine maîtrise de leurs
données, en étant correctement informés quant aux différents traitements établis, et en restant
libre de consentir ou non aux traitements de données que souhaitent mettre en place leurs
banques.
261. Cependant, le consentement n’est qu’une des six bases légales pouvant justifier un
traitement de données en vertu du RGPD, et il semble que dans le cadre de leur relation
contractuelle, les clients n’aient que peu de marge de manœuvre en la matière, peu de
traitements reposant finalement sur un consentement exprès, sauf bien sûr à ce que les
banques acceptent de conditionner certains traitements à un consentement, quand bien même
elles pourraient s’appuyer sur une autre base légale.
263. En effet, dans une telle situation, tout ce que connaît la banque de son client peut être
réduit à son profil, aussi est-il essentiel pour les banques de prendre grand soin à s’assurer
que les données à la base desdits profils soient justes. Moyennant le respect de ce prérequis
essentiel, et la fourniture des informations requises au client, le profil d’un individu pourrait,
demain, constituer son jumeau numérique et offrir de vraies opportunités pour les clients et
leurs banques en environnement numérique.
265. La question de la confiance numérique entre la banque et son client au stade de l’entrée
en relation semble bel et bien être primordiale dans un contexte numérique sans échange en
face-à-face, d’autant plus au regard des obligations légales qui pèsent sur les banques en
matière d’identification de leurs clients.
266. Aussi, il est naturel que les banques s’intéressent de près aux outils d’identification
numérique et aux différents travaux de l’Union Européenne en la matière. En effet, si des
solutions existent aujourd’hui, tels que les moyens d’identification électronique encadrés par
le règlement eIdas, les espoirs que pouvaient nourrir les banques en la matière ne semblent
pas encore avoir trouvé leur réponse, notamment en raison des difficultés liées à l’attribution
initiale des moyens d’identification électronique.
267. Outre la question de l’identification électronique, le fait que les banques soient par
ailleurs tenues de bien connaître leurs clients au titre du KYC nécessite la mise en place, par
ces dernières, de nombreux traitements de données à caractère personnel et le recours au
profilage.
268. Or, il semble que ces techniques, qui visent à renforcer la confiance des banques dans
leurs clients, soient-elles même source, au contraire, de méfiance des clients envers leurs
banques, qui peuvent avoir l’impression de perdre la maîtrise de leurs données à caractère
personnel, qui sont, dans ce contexte, amenées à figurer dans de nombreux fichiers.
269. Les efforts des banques pour rassurer leurs clients et leur offrir autant de maîtrise que
possible sur leurs données à caractère personnel sont donc essentiels pour générer de la
confiance numérique au stade de l’entrée en relation.
271. À l’inverse, on pourrait considérer que le fait que la banque accepte, compte tenu des
justificatifs fournis, de contractualiser avec un individu, est une manifestation là aussi de la
confiance de la banque dans ce dernier. Cependant, l’existence du droit au compte293 instauré
par l’article L312-1 du code monétaire et financier294 limite grandement ce constat dans la
mesure où la Banque de France peut imposer à un établissement d’ouvrir un compte pour un
individu295.
272. Que l’entrée en relation intervienne à distance ou en face-à-face, les banques remettent
à leurs clients et prospects un certain de nombre de documents comportant une quantité
relativement importante d’informations dont ces derniers doivent prendre connaissance.
Dans le cadre de l’ouverture d’un compte de dépôt par exemple, les articles L312-1-1296 et
293
Le droit au compte a été instauré par la Loi bancaire du 24 janvier 1984. Il vise à permettre à tout individu
d’obtenir l’ouverture d’un compte bancaire.
294
Voir les dispositions du III de l’article L312-1 du Code Monétaire et Financier.
CASSON P. et TOUFFLET J., “Compte bancaire. Généralités. Compte de dépôt », J. Cl. Banque-Crédit-
295
Bourse, Fasc. 200, 2021 ; MAYMONT A., « La liberté contractuelle du banquier : un droit fondamental ? »,
RD bancaire et fin. n° 6, dossier 37, Novembre 2018
296
Extrait de l’article L312-1 du Code Monétaire et Financier : « I. – Les établissements de crédit sont tenus
de mettre à la disposition, sur support papier ou sur un autre support durable, de leur clientèle et du public
les conditions générales et tarifaires applicables aux opérations relatives à la gestion d'un compte de dépôt,
selon des modalités fixées par un arrêté du ministre chargé de l'économie.
II. – La gestion d'un compte de dépôt des personnes physiques n'agissant pas pour des besoins professionnels
est réglée par une convention écrite, sur support papier ou sur un autre support durable, passée entre le client
et son établissement de crédit.
Les principales stipulations que la convention de compte de dépôt doit comporter, notamment les conditions
générales et tarifaires d'ouverture, de fonctionnement et de clôture, sont précisées par un arrêté du ministre
chargé de l'économie.
Avant que le client ne soit lié par cette convention, l'établissement de crédit lui fournit lesdites conditions sur
support papier ou sur un autre support durable. L'établissement de crédit peut s'acquitter de cette obligation
en fournissant au client une copie du projet de convention de compte de dépôt.
Si, à la demande du client, cette convention est conclue par un moyen de communication à distance ne
permettant pas à l'établissement de crédit de se conformer au précédent alinéa, ce dernier satisfait à ses
obligations aussitôt après la conclusion de la convention de compte de dépôt.
L'acceptation de la convention de compte de dépôt est formalisée par la signature du ou des titulaires du
compte… »
Dans le cadre d’un crédit, les articles L312-12300, L312-28301, L312-29302 et R312-10303 du
Code de la consommation listent également de nombreuses informations à fournir. Les
297
Article R312-1 du Code Monétaire et Financier : « Les établissements de crédit sont tenus de mettre à
disposition de leur clientèle et du public les conditions générales de banque qu'ils pratiquent pour les
opérations qu'ils effectuent.
Lorsqu'ils ouvrent un compte, les établissements de crédit doivent fournir à leurs clients, sur support papier
ou sur un autre support durable, les conditions d'utilisation du compte, le prix des différents services auxquels
il donne accès et les engagements réciproques de l'établissement et du client. »
298
Les conditions tarifaires du Crédit Agricole sont disponibles à l’adresse suivante :
https://www.credit-agricole.fr/content/dam/assetsca/cr835/npc/documents/conditions-
generales/CAL_2020_tarifs_particuliers_2020.pdf,consulté le 11/03/2022.
299
La convention de compte de la Société Générale est disponible à l’adresse suivante :
https://particuliers.societegenerale.fr/static/Particuliers/Medias/Home/Banque/Comptes_bancaires_et_formul
es/Ouvrir_un_compte/Compte-individuel/cg_convention_compte.pdf,consulté le 11/03/2022.
300
Article L312-12 du code de la consommation : « Préalablement à la conclusion du contrat de crédit, le
prêteur ou l'intermédiaire de crédit fournit à l'emprunteur, sous forme d'une fiche d'informations, sur support
papier ou sur un autre support durable, les informations nécessaires à la comparaison de différentes offres et
permettant à l'emprunteur, compte tenu de ses préférences, d'appréhender clairement l'étendue de son
engagement.
La liste et le contenu des informations devant figurer dans la fiche d'informations à fournir pour chaque offre
de crédit ainsi que les conditions de sa présentation sont fixés par décret en Conseil d'Etat.
Cette fiche comporte, en caractères lisibles, la mention indiquée à l'article L. 312-5.
Lorsque le consommateur sollicite la conclusion d'un contrat de crédit sur le lieu de vente, le prêteur veille à
ce que la fiche d'informations mentionnée au premier alinéa lui soit fournie, sur le lieu de vente, sur support
papier, ou tout autre support durable.
Lorsque le prêteur offre à l'emprunteur ou exige de lui la souscription d'une assurance, le prêteur ou
l'intermédiaire de crédit informe l'emprunteur du coût de l'assurance en portant à sa connaissance les éléments
mentionnés à l'article L. 312-7. »
301
Article L312-28 du code de la consommation : « Le contrat de crédit est établi sur support papier ou sur
un autre support durable. Il constitue un document distinct de tout support ou document publicitaire, ainsi que
de la fiche mentionnée à l'article L. 312-12. Un encadré, inséré au début du contrat, informe l'emprunteur des
caractéristiques essentielles du crédit.
La liste des informations figurant dans le contrat et dans l'encadré mentionné au premier alinéa est fixée par
décret en Conseil d'Etat. »
302
Voir l’article L312-29 du code de la consommation.
303
Voir l’article R312-10 du code de la consommation.
273. Pour que le client s’engage en toute confiance dans une relation contractuelle avec une
banque, il est néanmoins essentiel qu’il dispose des informations nécessaires à la prise d’une
décision éclairée. L’information est à ce titre un vecteur de confiance indéniable, mais à la
condition évidente que celles-ci soient lues et comprises. (Chapitre I). S’agissant cependant
d’informations à fournir obligatoirement par toute banque, quel facteur de confiance
différentiel reste-t-il à disposition de ces dernières, si ce n’est leur réputation ou autres
preuves de confiance accordées par des tiers de confiance ? C’est dans ce contexte que les
banques, tiers de confiance historiques, peuvent être amenées à faire appel, à leur tour, à des
tiers de confiance numérique (Chapitre II).
304
Article L312-5 du code de la consommation : « Toute publicité, à l'exception des publicités radiodiffusées,
contient, quel que soit le support utilisé, la mention suivante : " Un crédit vous engage et doit être remboursé.
Vérifiez vos capacités de remboursement avant de vous engager " »
305
ARCELIN L., « La redondance informative ou le bon sens oublié », Contrats concurrence consommation
n° 5 étude 9, 2011
274. Le banquier est tenu de fournir de nombreuses informations à ses prospects et clients
au titre de ses devoirs d’information et de conseil306. Ceci en vue de garantir un engagement
du client en toute connaissance de cause sans que ce futur engagement ne soit entaché d’un
quelconque vice de consentement307.
275. L’idée générale semble pleine de bon sens. Le client doit pouvoir avoir confiance dans
sa banque et à ce titre, celle-ci se doit de lui fournir toutes les informations utiles à sa prise
de décision. Cette intention n’est d’ailleurs absolument pas exclusive du domaine bancaire
puisque des dispositions mettant à la charge d’un professionnel une obligation d‘information
sont omniprésentes, de manière générale, dans tous les secteurs régis par le droit de la
consommation308 et en matière contractuelle.
276. Dans le cadre d’une entrée en relation à distance, la plupart des établissements
bancaires se conforment à leurs obligations d’information de manière exclusivement écrite,
demandant à leurs prospects et clients de prendre connaissance, puis de donner leur
consentement à des conditions contenues dans des documents qui dépassent très
fréquemment la dizaine de pages, ce qui peut les dissuader de les lire. Davantage encore
quand l’entrée en relation à distance a été préférée par le client ou prospect dans un objectif
de simplicité et de rapidité309.
306
BOUCARD F., « Les devoirs généraux du banquier », J. Cl Commercial, Fasc. 343, 2002 ; A la différence
de l’obligation d’information, qui concerne la délivrance d’une information objective qui n’est par définition
pas personnalisée, l’obligation de conseil elle tend à éclairer le créancier de l’obligation de conseil quant à sa
propre situation. ; Précisons que si les banques doivent prouver qu’elles ont bien transmises les informations,
elles n’ont pas à prouver qu’elles ont bien été reçues (Cass. Com., 7 janv. 1997 ; Cass. 1re civ., 9 déc. 1997 :
Bull. civ. I, n° 356)
307
CHAUVEL P., « Vices du consentement », J. Cl Contrats – Distribution, Fasc. 45, 2021
308
Voir l’article L111-1 du code de la consommation.
309
PARLEANI G. et ROUAUD A., Digitalisation des banques - Impact de la digitalisation sur la relation
contractuelle – L'entrée en relation, RD bancaire et fin. n° 6, Novembre 2019, dossier 51
278. Les banques sont confrontées à un enjeu de personnalisation de plus en plus important
face à la concurrence des FinTechs et GAFAM, ainsi que l’évolution des attentes des
individus en termes de personnalisation de la relation. Les banques se trouvent ainsi dans
une situation paradoxale dans laquelle leurs clients souhaitent être autonomes grâce aux
outils digitaux, tout en bénéficiant d’une relation personnalisée telle qu’ils pourraient
l’espérer avec un conseiller qui les connaîtrait bien, ce qui implique naturellement de
nombreux traitements de données.
310
Directive 2004/39/CE du Parlement européen et du Conseil du 21 avril 2004 concernant les marchés
d'instruments financiers, modifiant les directives 85/611/CEE et 93/6/CEE du Conseil et la directive
2000/12/CE du Parlement européen et du Conseil et abrogeant la directive 93/22/CEE du Conseil ; BONNEAU
T., « Transposition de la directive « MIF » du 21 avril 2004 », Droit des sociétés n° 10, Octobre 2007, comm.
183 ; DUPONT LASSALLE J., « Directive 2004/39/CE concernant les marchés d'instruments financiers »,
Europe n° 1, Janvier 2015, comm. 32
311
Directive 2014/65/UE du Parlement européen et du Conseil du 15 mai 2014 concernant les marchés
d’instruments financiers et modifiant la directive 2002/92/CE et la directive 2011/61/UE Texte présentant de
l'intérêt pour l'EEE ; VABRES R., « Transposition de la directive 2014/65/UE (MiFID II) et mise en
conformité avec le règlement (UE) n° 600/2014 (MiFIR) », Droit des sociétés n° 8-9, Août 2016, comm. 148
281. Pour répondre aux attentes de leur clientèle, mais aussi à des fins de réduction des
coûts et d’optimisation, les banques recourent de plus en plus aux parcours autonomes,
appelés parcours « self care » ou « self-service312». Le self care consiste à permettre aux
clients de trouver eux-mêmes réponse à leurs questions, en s’appuyant sur les éléments mis
à leur disposition, ainsi que de leur permettre de réaliser eux-mêmes les actes de gestion et
de consultation pour lesquels ils devaient par le passé faire intervenir un conseiller, comme
c’était par exemple le cas pour la modification du plafond de leur carte, l’initiation d’un
virement, ou l’édition de leurs relevés de comptes.
282. En permettant à leurs clients de réaliser ces actes en toute autonomie, les conseillers
sont ainsi en mesure de se concentrer sur ce que les banques qualifient d’actes à forte valeur
ajoutée, c’est-à-dire les actes contribuant plus directement à la production comme la
promotion d’un produit ou l’accompagnement d’un client qui n’aurait pas souscrit
autrement.
283. Les parcours en self care se sont beaucoup développés ces dernières années. Même les
actes les plus sensibles sont aujourd’hui généralement proposés sous cette forme, laissant la
possibilité aux clients de choisir le canal qui leur est le plus adapté, bien que la fermeture
des agences et la multiplication des banques en ligne limite de plus en plus la possibilité
réelle d’un choix du client. Or, si ces nouvelles modalités relationnelles sont appréciées par
312
MENCARELLI R. et RIVIERE A., « La participation du client dans un contexte de self-service
technologies. Une approche par la valeur perçue”, Revue française de gestion 2014/4 (N° 241), pages 13 à 30,
2014
284. La relation entre un client et son conseiller pouvait souvent, par le passé, aboutir à une
vraie relation de confiance individuelle entre les deux individus. La proximité des agences
et la nécessité de passer par le conseiller pour la majorité des actes multipliaient en effet les
occurrences de contact, et par la même occasion les chances de développer cette relation.
Puis, la fermeture des agences, la diminution de la pratique du conseiller attitré, et enfin, le
développement du self care, ont fait presque intégralement disparaître ces occurrences de
contact, rendant très difficiles le développement ou l’entretien de cette confiance
individuelle entre un client et son conseiller. La manifestation la plus flagrante du
développement du self care est certainement l’existence même des banques en lignes, aussi
appelées « néobanques313 ».
285. Le terme de néobanque est très souvent utilisé à tort, pour qualifier les FinTechs, parmi
lesquelles les établissements de paiement et les établissements de monnaie électronique314
qui ne sont pas des banques. L’ACPR a donc récemment dû rappeler qu’une néobanque
était, avant tout, une banque, et que ce statut nécessite donc la détention d’un agrément
d’établissement de crédit 315 . Si elle peut sembler anodine pour un client profane, cette
distinction est en réalité importante dans les faits, notamment car la garantie des dépôts
prévue par le Fonds de Garantie des Dépôts et Résolutions, dit FGDR, ne concerne que les
établissements de crédit, même si les établissements de paiement et les établissements de
monnaie électronique sont eux aussi contraints de mettre en place des mécanismes de
313
Le terme de néobanque est utilisé pour qualifier les banques dont l’organisation est très différente de celle
des banques traditionnelles, qui fonctionnent en réseau d’agences, en ce qu’elles ne proposent leurs activités
qu’en ligne.
314
LASSERRE CAPDEVILLE J, « Utilisation frauduleuse d’une mention à connotation bancaire : Précision
de l’ACPR à l’égard de l’expression « néobanque », Banque et Droit n°197, 2021
315
Site internet de la Banque de France, « Rappel des règles d’usage du terme « néobanque » », 2021
286. Les premières banques en ligne ont vu le jour au début des années 2000, et
s’adressaient alors principalement aux individus déjà clients d’une banque traditionnelle, qui
cherchaient à ouvrir un second compte sans engager de frais supplémentaires ou à avoir une
banque offrant davantage d’autonomie en ligne. En effet, outre la plus grande autonomie
qu’offrent ces établissements, ils utilisent très régulièrement la gratuité des services comme
argument commercial. Le client ne paiera ainsi ni frais de tenue de compte, ni cotisations
pour la détention d’une carte bancaire… Ne restent alors que quelques frais exceptionnels
ou inhérents au produit tels que les frais de découvert et les intérêts des crédits ce qui pose
d’ailleurs question en ce qui concerne la rentabilité de ces établissements317.
287. La relation entre les néobanques et leurs clients nous enseigne un certain nombre
d’éléments en ce qui concerne la confiance entre les individus et les banques. Premièrement,
316
Article L522-17 du Code Monétaire et Financier : « I. – Les fonds reçus soit des utilisateurs de services de
paiement, soit par le biais d'un autre prestataire de services de paiement pour l'exécution d'opérations de
paiement sont protégés conformément à l'une des deux méthodes suivantes, ce choix étant laissé à
l'appréciation de l'établissement de paiement :
1° Les fonds reçus ne sont en aucun cas confondus avec les fonds de personnes physiques ou morales autres
que les utilisateurs de services de paiement pour le compte desquels les fonds sont détenus.
Les fonds restant sur le compte de l'utilisateur de services de paiement à la fin du jour ouvrable suivant le jour
où ils ont été reçus, tel que défini au d de l'article L. 133-4, sont déposés sur un compte distinct auprès d'un
établissement de crédit habilité à recevoir des fonds à vue du public.
Ils peuvent aussi être investis en instruments financiers conservés dans des comptes ouverts spécialement à cet
effet auprès d'une personne mentionnée aux 2° à 5° de l'article L. 542-1, dans des conditions fixées par arrêté
du ministre chargé de l'économie.
Ces fonds sont protégés dans les conditions prévues à l'article L. 613-30-1 contre tout recours d'autres
créanciers de l'établissement de paiement, y compris en cas de procédures d'exécution ou de procédure
d'insolvabilité ouverte à l'encontre de l'établissement ;
2° Les fonds reçus sont couverts par un contrat d'assurance ou une autre garantie comparable d'une entreprise
d'assurances, d'une société de financement ou d'un établissement de crédit n'appartenant pas au même groupe,
dans les conditions définies par arrêté du ministre chargé de l'économie, qui assure ou garantit les utilisateurs
des services de paiement contre la défaillance de l'établissement de paiement dans l'exécution de ses
obligations financières.
II. – Lorsque les fonds remis peuvent être utilisés d'une part pour exécuter de futures opérations de paiement
et d'autre part pour des services autres que les services de paiement, la partie des fonds reçue pour l'exécution
de futures opérations de paiement est protégée selon les modalités prévues au présent article. Si cette partie
est variable ou ne peut être déterminée à l'avance, les établissements de paiement procèdent à l'évaluation de
la part représentative des fonds reçus pour l'exécution d'opérations de paiement, en respectant les conditions
fixées par un arrêté du ministre chargé de l'économie. La part représentative ainsi déterminée est protégée
dans les conditions prévues au I. »
317
Des néobanques en quête de rentabilité | banque de France (banque-france.fr)
288. Ensuite, on peut se demander si le fait que les individus se tournent de plus en plus
vers ces établissements indique qu’ils n’ont pas besoin d’avoir une relation de proximité
avec un conseiller. Là aussi il est difficile de tenir un discours catégorique. Car s’il est vrai
que certains clients choisissent une néobanque pour cette raison, d’autres le font faute
d’agence à proximité de leurs domiciles ou d’accessibilité de celles qui existent, situation
exacerbée par la pandémie de la Covid 19. Dans ce scénario, on peut aisément comprendre
qu’un client préfère se tourner vers une banque en ligne qui lui assurera, outre une
disponibilité permanente, la gratuité d’une grande partie de ses services.
289. Il est donc en réalité assez difficile de déterminer si la confiance joue un rôle dans le
choix d’une banque en ligne plutôt qu’une autre. Au regard du classement actuel des banques
en lignes françaises, c’est la banque du groupe Société Général, Boursorama, qui a le plus
grand nombre de clients, or il se trouve que c’est aussi la moins chère et l’une des plus
anciennes en France319. Les prix pratiqués sont peut-être, finalement, l’argument principal à
l’heure du choix de sa banque.
318
Classement des banques en ligne 2021 réalisé par le site internet Culture Banque, disponible en ligne à
l’adresse suivante : https://www.culturebanque.com/banques/classement/en-ligne/,consulté le 11/03/2022.
319
Ibid.
290. Si les néobanques et les banques en ligne séduisent de plus en plus d’individus320, la
question de l’accessibilité de ces services pose néanmoins question, d’autant plus pour les
individus qui n’ont pas la possibilité de se rendre en agence. En effet, l’usage du self care
suppose un certain nombre de prérequis tels que la détention d’un smartphone ou d’un
ordinateur mais aussi les compétences nécessaires pour y recourir. Concernant l’équipement,
si le smartphone et l’ordinateur font partie du quotidien de nombreux Français, il reste des
individus qui ne détiennent ni l’un ni l’autre comme le relèvent les études en la matière.
292. Concernant la capacité de réaliser des actes en self care, là aussi, certaines personnes
ne sont pas en mesure d’y recourir, que ce soit en raison d’un handicap, ou en raison d’un
manque de connaissances en informatique.
293. Il est à ce titre regrettable de noter que l’obligation d’accessibilité des sites et
applications mobiles ne s’applique pas à tous les organismes français. En effet, le cadre
juridique sur l’accessibilité numérique, établi par la Loi du 11 Février 2005 pour l'égalité des
droits et des chances, la participation et la citoyenneté des personnes handicapées323, ne
s’applique pas à tous, elle n’est contraignante que pour les administrations et certaines
320
RAYNAL J., « Toujours plus nombreuses, les néobanques imposent leur modèle en France », La tribune,
2020
321
Cette étude a été finalisée en décembre 2021.
322
L’étude de l’ARCEP, « Baromètre du numérique 2019 », est disponible à l’adresse suivante :
https://www.arcep.fr/uploads/tx_gspublication/rapport-barometre-num-2019.pdf,consulté le 11/03/2022.
323
Loi n° 2005-102 du 11 février 2005 pour l'égalité des droits et des chances, la participation et la citoyenneté
des personnes handicapées
294. La plupart des grandes banques françaises dépassent largement les 250 millions
d’euros de produit net bancaire annuel324. La majorité des interfaces WEB et applications
mobiles de banques sont donc tenues, pour être conformes, d’avoir des fonctionnalités
d’accessibilités comme un mode sombre, le grossissement des caractères, ou la commande
vocale, mais rares sont les banques qui vont au-delà de ce que prévoit la réglementation.
296. Si nous déplorons le fait que les banques ne soient pas davantage vigilantes quant au
besoin d’accompagnement en la matière, elles sont en revanche contraintes de l’être quand
il s’agit d’offrir un conseil adapté, ce qui leur impose de perfectionner leurs techniques
d’évaluation des connaissances et besoins de ces derniers.
297. Dans un contexte numérique, la banque et son client seront tout de même amenés à
interagir à plusieurs reprises, souvent de manière asynchrone, au cours de leur relation
contractuelle. Il interviendra notamment très certainement un moment où le client cherchera
à se renseigner sur un produit, un investissement, des conditions….
298. À ce titre, il est primordial pour les banques de bien évaluer les connaissances et
attentes de leurs clients afin d’adopter un discours adéquat et leur fournir le renseignement
recherché. Pour répondre à ce besoin, à défaut d’un échange direct, et si les informations
issues du profil du client déjà établi ne suffisent pas, cette évaluation sera généralement
324
Étude réalisée par KPMG, « Performance des grands groupes bancaires français au 30 juin 2020 », 2020.
L’étude est disponible en ligne à l’adresse suivante : https://assets.kpmg/content/dam/kpmg/fr/pdf/2020/08/fr-
performance-banques-france-juin2020.pdf,consulté le 11/03/2022.
299. Le profil du client est amené à être enrichi en permanence par les données issues de
son comportement dans son espace personnel, ses échanges avec sa banque et les
informations qu’il sera amené à renseigner dans les formulaires qui lui seront transmis ou
mis à disposition dans son espace personnel. Le recours à ces formulaires, en l’absence de
règles liées à leur formalisme et aux questions posées, peut cependant poser un problème en
termes de fiabilité. En effet, comme souvent, la qualité de la réponse sera plus ou moins
influencée par la forme de la question.
300. Par exemple, on peut légitimement penser qu’une interrogation directe, qui ne permet
que deux réponses, oui ou non, apportera une réponse plus claire mais potentiellement moins
précise qu’une interrogation indirecte. Que faut-il privilégier alors ? La clarté de la réponse
ou sa précision ? La commercialisation de produits bancaires en elle-même n’est que très
peu encadrée en ce qui concerne la forme et le fond des formulaires, si ce n’est en ce qui
concerne la commercialisation de produits d’investissement 325 . La commercialisation de
produits d’assurance en revanche dispose bien d’un tel cadre, que les banques se doivent de
maîtriser notamment dans le cadre de la commercialisation de crédits et d’assurances
emprunteur.
301. L’absence d’interactions directes entre la banque et son client va également priver la
banque de beaucoup d’informations que le client aurait pu lui confier spontanément tel que
le fait que ce dernier présente un handicap. Or, ce type d’information a toute son importance
L’ACPR fournit en effet des instructions assez précises sur la forme du questionnaire MIFID à faire
325
303. C’est dans ce contexte que la Loi du 7 octobre 2016 pour une République numérique,
dite « Loi Lemaire »330 et l’Ordonnance du 4 octobre 2017 relative à la dématérialisation des
relations contractuelles dans le secteur financier331 ont été adoptées en vue de renforcer le
cadre juridique applicable au secteur financier. La Loi pour une république numérique est
souvent mise en avant par le gouvernement comme le cadre juridique qui a permis à la
France de « libérer l’innovation », « créer un cadre de confiance clair » et « construire une
République numérique ouverte et inclusive332 ». En pratique, on ne peut en effet pas nier le
fait que cette Loi a effectivement constitué une avancée importante sur le sujet, notamment
en ce qui concerne l’accessibilité numérique, la protection des données à caractère personnel
326
Loi no 2000-230 du 13 mars 2000 portant adaptation du droit de la preuve aux technologies de l'information
et relative à la signature électronique
327
Loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique
328
Règlement (UE) no 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l’identification
électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et
abrogeant la directive 1999/93/CE, dit Règlement eIdas, JOUE L257, du 28 aout 2014
329
AGOSTI P. et CAPRIOLI E., « Digitalisation des services financiers : quels changements ? » Revue Banque
n°814, 2017
330
Loi n° 2016-1321 du 7 octobre 2016 pour une République numérique, JORF n°0235 du 8 octobre 2016
331
Ordonnance n° 2017-1433 du 4 octobre 2017 relative à la dématérialisation des relations contractuelles dans
le secteur financier, JORF n°0233 du 5 octobre 2017
332
« Innover pour retrouver de la croissance. Pour une République numérique », Site internet gouvernement.fr,
disponible à l’adresse suivante : https://www.gouvernement.fr/action/pour-une-republique-numerique,
consulté le 11/03/2022.
333
La notion de support durable est apparue dans de nombreux textes européens avant d’être clairement définie.
Elle est aujourd’hui définie à l’article L314-1 du code de la consommation comme « tout instrument permettant
à l’utilisateur de services de paiement de stocker les informations qui lui sont personnellement adressées d’une
manière telle que ces informations puissent être consultées ultérieurement pendant une période adaptée à leur
finalité et reproduites à l’identique ». Y font notamment référence, la directive 97/7/CE du 20 mai 1997 sur la
protection des consommateurs en matière de vente à distance, la directive 2002/65/CE Commercialisation à
distance des services financiers et la directive 2011/83/UE relative aux droits des consommateurs .
334
DOUVILLE T, « La dématérialisation des relations contractuelles dans le secteur financier - À propos de
l'ordonnance n° 2017-1433 du 4 octobre 2017 », JCP E n° 43-44, 26 Octobre 2017, act. 765
306. Au stade de la perfection du contrat, il est essentiel pour la banque d’être en mesure
de s’assurer que le prospect prenne la décision de contractualiser en toute connaissance de
cause et qu’il n’y ait pas de vice du consentement335 qui pourrait remettre la validité du
contrat en cause par la suite. De manière générale, on pourrait considérer que la décision de
contractualiser, si prise de manière éclairée, signifie que la confiance est accordée, puisqu’au
regard des éléments qui ont été présentés, les parties ont considéré qu’elles pouvaient
s’engager sereinement dans une relation contractuelle.
307. Si cette supposition se confirme sans doute dans le cadre d’un contrat ayant fait l’objet
d’une négociation de gré à gré, dont les stipulations sont par définition négociables, la
réponse est moins certaine quand il s’agit de contrats d’adhésions336. Or, la majorité des
contrats proposés par les banques à leur clientèle sont des contrats d’adhésion, il n’est par
exemple, en principe, impossible de négocier le contenu d’une convention de compte. Dans
une telle situation, le prospect ou client peut légitimement se demander si le temps qu’il va
passer à prendre connaissance des très nombreuses informations précontractuelles que va lui
fournir la banque est à la hauteur du risque qu’il prend en signant sans en prendre
connaissance. En effet, le contrat qui lui est proposé étant, par définition, le même que celui
qui est proposé à tous les autres clients de la banque pour le même produit à quelques détails
près, le client peut, et va souvent, se contenter de la notoriété de la banque ou du produit et
335
Article 1130 du code civil : « L'erreur, le dol et la violence vicient le consentement lorsqu'ils sont de telle
nature que, sans eux, l'une des parties n'aurait pas contracté ou aurait contracté à des conditions
substantiellement différentes.
Leur caractère déterminant s'apprécie eu égard aux personnes et aux circonstances dans lesquelles le
consentement a été donné. »
336
Les notions de contrat d’adhésion et contrat de gré à gré sont toutes deux définies à l’article 1110 du Code
Civil depuis la réforme de 2016 :« Le contrat de gré à gré est celui dont les stipulations sont négociables entre
les parties.
Le contrat d'adhésion est celui qui comporte un ensemble de clauses non négociables, déterminées à l'avance
par l'une des parties. »
308. Nous nous attacherons ainsi, dans cette section, à étudier si la transparence, est une
stratégie efficace pour véhiculer de la confiance numérique dans le domaine bancaire (§1)
et si les mécanismes actuels visant à faciliter la prise de connaissance d’informations peuvent
contribuer à la solution (§2)
BANCAIRE
309. La transparence est très certainement la stratégie la plus employée par le législateur
quand il s’agit de véhiculer de la confiance337. Le code de la consommation y dédie d’ailleurs
un titre entier338, de même que le Code de commerce339. La réglementation applicable au
secteur bancaire n’y fait pas exception, les réglementations imposant aux banques d’être
transparentes en portant toujours davantage d’informations à l’attention des clients n’ont pas
cessé de voir le jour ces dernières années, jusqu’à arriver à une liste d’informations à fournir
si longue, qu’elle décourage beaucoup de personnes de s’aventurer dans leur lecture…. Pour
un client profane en matière de produits bancaires et des conditions associées, on peut
d’ailleurs aisément imaginer qu’une telle quantité d’information soit anxiogène.
337
ARCELIN L., « La redondance informative ou le bon sens oublié », Contrats concurrence consommation
n° 5 études 9, 2011
338
Code de la consommation, Titre 1 du Livre 1 « Information des consommateurs »
339
Code de commerce, Titre 4 du Livre 4 « De la transparence, des pratiques restrictives de concurrence et
d'autres pratiques prohibées. »
311. Si les banques sont tenues de faire preuve d’un maximum de transparence au titre de
leur devoir d’information et de loyauté, ce principe semble tout de même être en
contradiction avec certains autres de leurs devoirs340, notamment en ce qui concerne la lutte
contre le blanchiment d’argent et le financement du terrorisme, et le devoir de non-
immixtion des banques.
312. En effet, les banques étant tenues de contribuer à la lutte contre le blanchiment d’argent
et le financement du terrorisme, elles se doivent d’être attentives à tout comportement
suspicieux de leurs clients pour le signaler, si besoin, à Tracfin. Pour ce faire, il est évident
que les banques doivent faire preuve d’un minimum de subtilité pour ne pas effrayer leurs
clients potentiellement innocents ou mettre à mal les enquêtes dans le cadre de suspicions
de fraudes qui se trouveraient avérées.
313. Ensuite, si les banques sont effectivement tenues d’informer leurs clients de manière
adaptée pour leur permettre de disposer de toutes les informations nécessaires à une prise de
décision éclairée, et de faire preuve de vigilance, elles sont également tenues de ne pas
s’immiscer dans leur vie privée341. L’équilibre est relativement délicat à identifier, et la
crainte d’une sanction pour non-respect du devoir de non-immixtion ou de vigilance, peut
conduire les banques à limiter la transparence dont elles pourraient faire preuve en l’absence
de ces obligations342.
340
BOUCARD F., « Les devoirs généraux du banquier”, J. Cl. Commercial, fasc. 343, 2002
BOUTEILLER P., “Service de dépôt de fonds, de domiciliation, d'encaissement et de recouvrement”, J.Cl.,
341
2016 ; LASSERRE CAPDEVILLE J., Notes sous CA Pau, 5 nov. 2020, n° 19/01523, JCP E n° 7, 18 Février
2021, 1100
LASSERRE CAPDEVILLE J., Notes sous CA Rennes, 10 févr. 2016, no 14/00931, LEDB mai 2016, n°
342
EDBA-816072-81605, p. 2
315. Pour optimiser cette phase de « prise de connaissance d’informations » qui peut
s’avérer très lourde, le droit de la consommation prévoit quelques mécanismes permettant
au client de prendre le temps de bien réfléchir et de lire l’étendue des informations dont il
est destinataire. Le délai de réflexion et le délai de rétractation pourraient en effet apporter
un premier niveau de solution à cette problématique volumétrique d’information, mais la
pratique nous fait douter de leur efficacité.
316. Concernant le délai de réflexion d’abord, il s’agit d’un délai prévu par le code de la
consommation à son article L313-34343, réservé à la souscription d’un crédit immobilier
auprès d’une banque. Le délai de réflexion impose aux clients de ne pas accepter l’offre de
prêt reçue d’une banque avant l’écoulement d’un délai de dix jours calendaires à compter de
sa réception. Le client peut ainsi profiter de ces dix jours pour prendre connaissance de
l’intégralité des conditions de l’offre qui lui est faite et choisir en toute connaissance de
cause de l’accepter ou non à l’issue de ce délai.
317. Le délai de rétractation, lui, prend plusieurs formes dans le secteur bancaire. Dans le
cadre de la souscription d’un prêt à la consommation, il est de 14 jours calendaire à compter
de la signature de l’offre de prêt344, dans le cadre de la renégociation d’un prêt, il est de 10
343
Article L313-34 du code de la consommation : « L'envoi de l'offre oblige le prêteur à maintenir les
conditions qu'elle indique pendant une durée minimale de trente jours à compter de sa réception par
l'emprunteur.
L'offre est soumise à l'acceptation de l'emprunteur et des cautions, personnes physiques, déclarées.
L'emprunteur et les cautions ne peuvent accepter l'offre que dix jours après qu'ils l'ont reçue. L'acceptation
est donnée par lettre, le cachet de l'opérateur postal faisant foi, ou selon tout autre moyen convenu entre les
parties de nature à rendre certaine la date de l'acceptation par l'emprunteur. »
344
Article L312-19 du Code de la Consommation : « L'emprunteur peut se rétracter sans motifs dans un délai
de quatorze jours calendaires révolus à compter du jour de l'acceptation de l'offre de contrat de crédit
comprenant les informations prévues à l'article L. 312-28. »
318. Ces deux mécanismes semblent utiles et nécessaires à la prise de connaissance des
nombreuses informations communiquées. Il est cependant regrettable qu’ils ne soient pas
accompagnés d’obligations d’actes plus concrets de la part de la banque visant à s’assurer,
pendant ce délai ou à son issue, que les emprunteurs ont bien compris ce à quoi ils s’apprêtent
à s’engager, au moyen, par exemple, de questionnaires visant à vérifier les connaissances
des emprunteurs sur ladite offre mais aussi, plus largement, sur les risques liés aux crédits
tels que le surendettement et les conséquences d’une telle situation.
319. Une telle démarche pourrait par ailleurs indiquer au client que la banque n’a rien à
cacher et qu’il est important que la décision de contractualiser parte sur une base saine. Ces
345
Article L313-39 du Code de la Consommation : « En cas de renégociation de prêt, les modifications au
contrat de crédit initial sont apportées sous la seule forme d'un avenant établi sur support papier ou sur un
autre support durable.
Cet avenant comprend, d'une part, un échéancier des amortissements détaillant pour chaque échéance le
capital restant dû en cas de remboursement anticipé et, d'autre part, le taux annuel effectif global ainsi que le
coût du crédit, calculés sur la base des seuls échéances et frais à venir. Pour les prêts à taux variable ou
révisable, l'avenant comprend le taux annuel effectif global ainsi que le coût du crédit, calculés sur la base des
seuls échéances et frais à venir jusqu'à la date de la révision du taux, ainsi que les conditions et modalités de
variation du taux.
L'emprunteur dispose d'un délai de réflexion de dix jours à compter de la réception des informations
mentionnées au deuxième alinéa.
L'acceptation doit être donnée par lettre, le cachet de l'opérateur postal faisant foi, ou selon tout autre moyen
convenu entre les parties de nature à rendre certaine la date de l'acceptation par l'emprunteur. »
346
Article L132-5-1 du Code des Assurances : « Toute personne physique qui a signé une proposition ou un
contrat d'assurance sur la vie ou de capitalisation a la faculté d'y renoncer par lettre recommandée ou par
envoi recommandé électronique, avec demande d'avis de réception, pendant le délai de trente jours calendaires
révolus à compter du moment où elle est informée que le contrat est conclu. Ce délai expire le dernier jour à
vingt-quatre heures. S'il expire un samedi, un dimanche ou un jour férié ou chômé, il n'est pas prorogé.
La renonciation entraîne la restitution par l'entreprise d'assurance ou de capitalisation de l'intégralité des
sommes versées par le contractant, dans le délai maximal de trente jours calendaires révolus à compter de la
réception de la lettre recommandée ou de l'envoi recommandé électronique. Au-delà de ce délai, les sommes
non restituées produisent de plein droit intérêt au taux légal majoré de moitié durant deux mois, puis, à
l'expiration de ce délai de deux mois, au double du taux légal.
Les dispositions du présent article sont précisées, en tant que de besoin, par arrêté ministériel.
Elles ne s'appliquent pas aux contrats d'une durée maximale de deux mois. »
320. Il est peu probable que le législateur revienne sur sa stratégie de transparence, les
marges de manœuvre semblent donc être très limitées pour les banques en ce qui concerne
l’amélioration de cette situation. Par ailleurs, le fait que les réglementations issues de la
digitalisation des banques partagent cette stratégie de transparence, comme l’illustre par
exemple l’article 13 du RGPD347 qui liste un nombre important d’informations à fournir aux
clients, en complément de toutes les informations qu'ils reçoivent déjà en vertu de la
réglementation bancaire et du droit de la consommation, complique davantage la
problématique.
321. Toutes ces réglementations semblent, par ailleurs, presque systématiquement imposer
une transmission d’information sous un seul format : l’écrit, y compris sous forme
numérique. Or, le numérique n’empêche en aucun cas la délivrance d’informations sous un
autre format (A). Dans ce contexte, le recours, de plus en plus courant, au Legal Design nous
semble prometteur (B).
322. Pour l’accomplissement des nombreuses obligations d’information à leur charge, les
banques disposent d’un éventail de technologie qui pourrait leur permettre de les exécuter
347
Voir l’article 13 du RGPD.
323. S’il est vrai qu’un client peut souvent, dans ce même scénario, choisir d’échanger avec
un conseiller pour obtenir des explications, il ne s’agit pas d’un contenu que le client pourra
réécouter à sa guise pour être sûr d’avoir toutes les informations fournies. Comment
expliquer que presque aucune banque ne propose par exemple de vidéo présentant les
informations dont le client doit avoir connaissance ? La faute est sans doute à chercher dans
notre droit de la preuve, prévu aux articles 1353 et suivants du Code civil349. En effet, l’écrit
a depuis toujours été considéré comme la preuve ultime d’un acte juridique 350 , ce qui
explique sans doute pourquoi les banques s’obstinent à recourir à l’écrit plutôt qu’une autre
forme pour accomplir leurs obligations d’informations. Pourtant, un fichier multimédia tel
qu’un enregistrement audio et une vidéo, pourrait, techniquement, répondre à la définition
de l’écrit électronique s’agissant finalement d’une suite de 0 et de 1351…
324. Nous conviendrons que l’essence même de cette obligation d’information étant de
protéger le client en lui garantissant la possibilité de prendre connaissance de ces
informations, il est étonnant que la priorité soit donnée à la preuve de l’accomplissement de
cette obligation plutôt qu’à son efficacité. Le législateur viendra peut-être remédier à cette
situation dans les années à venir. En attendant, il nous semble important de rappeler que si
l’écrit est effectivement la meilleure preuve de l’accomplissement d’une obligation
d’information, aucun texte n’indique qu’il doit être exclusif. Les établissements peuvent
348
L’écrit électronique entre bien dans la définition de l’article 1365 du code civil : « L'écrit consiste en une
suite de lettres, de caractères, de chiffres ou de tous autres signes ou symboles dotés d'une signification
intelligible, quel que soit leur support. ». L’écrit électronique n’est cependant équivalent à un écrit papier que
s’il répond aux exigences d’imputabilité et d’intégrité prévues à l’article 1366 du code civil : « L'écrit
électronique a la même force probante que l'écrit sur support papier, sous réserve que puisse être dûment
identifiée la personne dont il émane et qu'il soit établi et conservé dans des conditions de nature à en
garantir l'intégrité. » ; A ce sujet lire, HUET J., « Synthèse - Contrats électroniques », J. Cl Contrats –
Distribution
349
Articles 1353 et suivants du Code Civil
350
L’article 1364 du Code Civil dispose en effet que : « La preuve d'un acte juridique peut être préconstituée
par un écrit en la forme authentique ou sous signature privée ».
351
Les fichiers électroniques ne sont qu’une suite d’instruction écrites en binaire pour être lues par un
ordinateur.
325. Pour faciliter la compréhension des informations, la pratique du « Legal Design » est
de plus en plus utilisée par les établissements352. Cette pratique consiste à optimiser non pas
le fond mais la forme des informations juridiques en recourant, par exemple, à un ton plus
léger, à des icônes ou à d’autres formes permettant de véhiculer plus simplement une
information.
327. Outre l’exemple des fiches synthèses, la CNIL encourage également fortement les
responsables de traitement à recourir à des techniques de legal design et propose au travers
de son laboratoire d’innovations, le LINC 353 , des articles et guides à destination de ces
derniers 354 . Parmi les propositions se trouvent notamment le recours plus fréquent aux
pictogrammes et la vulgarisation des termes. Certains établissements, comme Boursorama
proposent également des contenus éditoriaux de sensibilisation sur le fonctionnement et
risques des différents produits bancaires et assurantiels, mais ils sont rarement présentés au
sein même des parcours de souscription.
328. La pratique du Legal Design est encore très jeune et peu répandue chez les entreprises,
ce qui explique sans doute que si peu de personnes lisent réellement les conditions générales
avant de souscrire. En effet, une étude réalisée par le Cabinet Opinion Way pour l’Internet
352
BRENAS G., « L'intérêt du legal design pour les professionnels du droit », Revue pratique de la prospective
et de l'innovation n° 2, Octobre 2019, 1 ; DONDERO B., « Parler de design à propos du droit a-t-il un sens
? », JCPG 2019, doctr. 85
353
Le LINC est le Laboratoire d’Innovation Numérique de la CNIL
354
Le dossier design du LINC est consultable à l’adresse suivante : https://linc.cnil.fr/fr/dossier-
design,consulté le 11/03/2022.
329. Dans le domaine bancaire, ce sont là aussi les nouveaux acteurs du secteur, comme
Lydia, qui se démarquent le plus clairement en la matière, en abordant les sujets juridiques
de manière très accessible et sur un ton souvent teinté d’humour, dans le cadre des
newsletters et courriels adressés à leur clientèle. Parallèlement à ces initiatives
d’optimisation du format des informations juridiques, un second mouvement vecteur de
confiance numérique se développe également : celui des visas de confiance.
355
Opinion Way et Internet society, « Sondage OpinionWay pour l‘Internet Society France : 7 français sur 10
ne lisent pas ou rarement les CGU », 2018. L’étude est disponible en ligne à l’adresse suivante :
https://www.isoc.fr/cgu-opinionway/,consulté le 11/03/2022.
330. Au regard de nos développements, nous pouvons affirmer que la transparence, comme
vecteur de confiance numérique, a un potentiel certain, mais à la seule condition que les
informations soient intelligibles, accessibles, et fournies dans un format qui en simplifie la
prise de connaissance par les individus.
331. En effet, dans le cadre d’une souscription autonome à distance, le prospect ou client
ne bénéficie pas de l’accompagnement que peut lui offre un conseiller lors d’une
souscription en face-à-face ou au téléphone. Il est donc primordial que les informations qui
lui sont transmises soient conditionnées spécifiquement en vue de leur compréhensibilité par
un individu potentiellement profane du sujet.
333. Le legal design est une pratique qu’il nous semble souhaitable de développer en la
matière, et le recours presque exclusif à l’écrit devrait certainement être remis en question
au regard du volume et de la nature, parfois complexe à appréhender, des informations
fournies.
334. La question de la confiance peut prêter à confusion quand on l’examine d’un point de
vue contractuel. Le contrat, par exemple, est-il un acte formalisant la confiance que les
parties s’accordent l’une à l’autre ? Ou ne serait-il pas plutôt la réponse à un manque de
confiance que l’on atténuerait en formalisant les obligations de chacun pour s’en prévaloir
en cas de litige ? Il peut en être dit autant de la notion de preuve dans le cadre de contentieux
contractuels. L’exigence, dans certains cas d’une preuve formelle, ne sous-entendrait-elle
pas que la seule parole ne suffit pas et que les parties ne peuvent donc pas se faire confiance
?
335. Les autorités de contrôle jouent un rôle primordial en matière de confiance, notamment
quand il s’agit de générer la confiance de la clientèle bancaire dans un contexte numérique.
En effet, en délivrant une autorisation, une certification ou un label, une autorité permet aux
clients de l’entreprise concernée d’être assurés que cette dernière est digne de confiance
puisqu’elle respecte les critères exigés par l’autorité. À ce titre, les décisions des autorités
peuvent être qualifiées de visas de confiance.
356
Voir l’article L312-4-1 du Code Monétaire et Financier.
339. Dans un contexte à distance, lorsqu’il s’agit d’accorder sa confiance à une entreprise
ou un individu que l’on ne connaît pas, la confiance n’est généralement accordée que pour
des raisons superficielles, telles que la réputation dudit tiers ou d’autres signes extérieurs
comme l’apparence sérieuse de son site. Les mauvaises expériences restent néanmoins
nombreuses en la matière, notamment en matière de e-commerce357.
340. Lorsqu’il s’agit d’accorder sa confiance à tiers, qui se présente comme étant une
banque ou autre établissement financier, la confiance ainsi accordée peut être
potentiellement dommageable pour l’individu, si ledit tiers n’était en fait pas digne de
confiance.
341. Dans le cadre de l’ouverture d’un compte par exemple, si les individus ne sont pas en
mesure de se faire leur propre avis sur une banque avec laquelle ils envisagent d’entrer en
relation, que peuvent-ils faire alors ?
342. À défaut de trouver des signes de confiance inhérents à une banque, les individus
peuvent rechercher des signaux extérieurs issus de tiers fiables tels que des autorités de
contrôle. En effet, les autorités de contrôle génèrent des signaux de réassurance, et par
extension, de confiance, très forts pour les individus au travers des autorisations, labels,
certifications et autres décisions concernant les établissements qu’elles contrôlent. Nous
proposons d’étudier dans cette partie l’influence des autorités financières (A) et du
numérique (B) en la matière.
357
TUAL M., « Plusieurs centaines de clients de Cdiscount victimes d’une arnaque en ligne », Le Monde,
2017 ; ANONYME., « Amour sur Internet : "Quand on est naïf, on en fait les frais" », Le Monde, 2012
343. Beaucoup d’individus pensent, de manière erronée, que tous les établissements
proposant des services de paiement ou d’investissement sont nécessairement des banques ou
néobanques, or, comme l’a rappelé récemment l’ACPR au sujet des néobanques, c’est faux,
seuls les établissements de crédits agréés peuvent prétendre à cette qualification358. En effet,
dans l’écosystème financier coexistent une grande variété d’établissements, dont la
qualification dépend en réalité des activités qu’ils sont autorisés à exercer en vertu de leur
statut, qui peut être vérifié grâce à leur agrément359, enregistrement360, ou immatriculation361.
Il existe par ailleurs un certain nombre d’établissements qui exercent des activités bancaires
sans y être autorisés362, privant leurs clients des nombreuses garanties et règles de protection
de la clientèle dont ils pensent bénéficier.
344. Dans ce cadre, deux autorités semblent jouer un rôle particulièrement important :
l’Autorité de Contrôle Prudentiel et de Résolution (A) et l’Autorité des Marchés Financiers
(B).
358
Dossier ACPR sur le rappel des règles d’usage du terme "néobanque", 2021
359
Les établissements de crédits sont par exemple autorisés à exercer leurs activités en vertu d’un agrément
par la BCE sur proposition de l’ACPR (Article L511-10 du Code Monétaire et Financier), de même que les
établissements de paiement (Article L522-6 du Code Monétaire et Financier).
Les prestataires de services d’information sur les comptes doivent s’enregistrer auprès de l’ACPR (Article
360
banque et de l'assurance
346. L’ACPR est en effet chargée de veiller à “la préservation de la stabilité du système
financier et à la protection des clients, assurés, adhérents et bénéficiaires des personnes
soumises à son contrôle » en vertu des articles L612-1 et suivants du Code Monétaire et
Financier365. Que ce soit au stade de la création de l’institution en elle-même ou lors de
l’exercice de son activité, l’avis de l’ACPR est crucial pour l’existence même des
établissements financiers.
347. Au stade de la création d’abord, l’ACPR est chargée de l’étude des demandes
d’autorisation d’exercice qui lui sont adressées, qu’il s’agisse de demandes d’agréments
d’établissements de crédit, d’établissements de paiement, ou d’établissements de monnaie
électronique, d’autorisations d’organismes de microcrédit, d’immatriculation des
Intermédiaires en Opérations de Banques et en Services de Paiements (IOBSP)… La liste
des établissements qui ne peuvent exercer leurs activités qu’avec l’accord de l’ACPR est
relativement longue, ce qui peut, en soi, rassurer la clientèle puisque cela signifie que
l’ACPR a considéré que ces établissements étaient dignes de sa confiance.
364
Article L612-1 du Code Monétaire et Financier.
365
Articles L612-1 et suivants du Code Monétaire et Financier.
366
Article L612-1 IV du Code Monétaire et Financier
350. Cependant, la confiance générée par le visa de l’ACPR n’est en réalité pas infaillible.
D’abord car elle suppose que le client vérifie que l’établissement avec lequel le client fait
affaire a bien été autorisé par l’ACPR à exercer son activité, ce qui suppose qu’il fasse un
minimum de recherches. Ensuite, parce qu’un manquement aux règles de protection de la
clientèle ou plus largement à la réglementation ne sera souvent détecté par l’ACPR que si
elle décide de contrôler ledit établissement. Or, les contrôles de l’ACPR ne sont, en l’absence
de soupçons de cette dernière, pas systématiques. Il peut donc se passer plusieurs années
avant que le manquement d’un établissement ne soit sanctionné par l’ACPR.
351. Si l’on peut considérer que le visa de l’ACPR traduit la confiance de cette autorité
dans l’établissement et indique à la clientèle que cet établissement est reconnu comme fiable
par une autorité nationale, cela ne semble donc pas pouvoir constituer un vecteur de
confiance numérique suffisant pour le client.
352. Outre l’ACPR, une autre autorité agit comme garante de la protection de la clientèle
des établissements financiers : l’Autorité des Marchés Financiers, instituée en 2003 par la
Loi de sécurité financière 367 . Son périmètre est toutefois différent de celui de l’ACPR
puisque l’AMF se focalise principalement sur la protection d’un type de clients, les
367
Loi n° 2003-706 du 1 août 2003 de sécurité financière
353. Comme l’ACPR, l’AMF assure cette protection en s’assurant de la bonne information
des clients et en contrôlant le respect des règles relatives à la commercialisation de produits
financiers, notamment celles prévues par les codes de conduite homologués. Les offres
d’investissement frauduleuses étant relativement fréquentes, l’AMF a également mis en
place une « liste noire » des sociétés et sites proposant des services financiers qui ont fait
l’objet d’une mise en garde de l’AMF ou qui usurpent l’identité d’un autre acteur de la place
financière qui, lui, est autorisé à exercer369.
354. En outre, l’AMF contribue fortement à la sensibilisation des épargnants pour renforcer
leur maîtrise du sujet de l’investissement, et ainsi les rendre à même de choisir avec soin les
acteurs financiers auxquels ils peuvent accorder leur confiance. Pour ce faire, l’AMF
procède principalement au travers de fiches pratiques, de quiz, de guides ou de FAQ370.
L’AMF met également à disposition des investisseurs deux applications mobiles leur
permettant de vérifier la fiabilité des acteurs avec lesquels ils entendent faire affaire et
développer leurs connaissances en matière d’investissement : « AMF Protect Épargne 371 »
et l’application « FINQUIZZ 372 ».
368
Le premier alinéa de l'article L621-1 du Code Monétaire et Financier dispose que: « L'Autorité des marchés
financiers, autorité publique indépendante, veille à la protection de l'épargne investie dans les instruments
financiers, les unités mentionnées à l'article L. 229-7 du code de l'environnement et les actifs mentionnés au
II de l'article L. 421-1 du présent code donnant lieu à une offre au public ou à une admission aux négociations
sur un marché réglementé et dans tous autres placements offerts au public. Elle veille également à l'information
des investisseurs et au bon fonctionnement des marchés d'instruments financiers, d'unités mentionnées à
l'article L. 229-7 du code de l'environnement et d'actifs mentionnés au II de l'article L. 421-1 du présent code.
Elle apporte son concours à la régulation de ces marchés aux échelons européen et international. Elle veille
à la qualité de l'information fournie par les sociétés de gestion pour la gestion de placements collectifs sur
leur stratégie d'investissement et leur gestion des risques liés aux effets du changement climatique. »
369
La liste des établissement sur liste noire de l'AMF est disponible à l'adresse suivante :
https://www.amf-france.org/fr/espace-epargnants/proteger-son-epargne/listes-noires-et-mises-en-garde
,consulté le 11/03/2022.
370
Frequently Asked Questions », qui se traduit en français pas « questions fréquemment posées » ou
simplement « questions fréquentes »
371
Voir la page dédiée à AMF Protect Epargne sur le site officiel de l'AMF, disponible à l’adresse suivante :
https://www.amf-france.org/fr/espace-epargnants/application-protect-epargne,consulté le 11/03/2022.
372
Voir la page dédiée au Finquizz sur le site officiel de l'AMF, disponible à l’adresse suivante :
https://www.amf-france.org/fr/espace-epargnants/application-finquiz,consulté le 11/03/2022.
NUMERIQUE
356. Si le fait qu’un établissement soit légalement autorisé à exercer son activité par
l’ACPR, et qu’il ne figure pas sur une quelconque liste noire de l’AMF, est certainement un
élément de réassurance important, il faut tout de même reconnaître que ces deux autorités
ne bénéficient pas d’une très grande notoriété auprès des clients profanes. Dans la plupart
des cas, la réalité de l’agrément ou de l’enregistrement de l’établissement ne sera donc pas
vérifiée par le client. De même, les décisions de l’AMF étant très peu mises en avant en
dehors de son propre site internet, leur efficacité est grandement limitée.
357. En complément de la confiance générée par l’autorisation d’exercer une activité que
peut accorder l’ACPR ou par les actions de l’AMF, l’influence des décisions, certifications
et labels de la CNIL (A) et de l’ANSSI (B) peuvent également être perçues comme des
vecteurs de confiance, ou au contraire de méfiance numérique, vis-à-vis de certains
établissements. D’autant plus en raison de la notoriété grandissante de la CNIL auprès du
grand public depuis l’entrée en application, en 2018, du RGPD et la médiatisation qui l’a
entourée.
358. Bien que créée en 1978 par la Loi Informatique et Libertés, la CNIL est restée
relativement inconnue du grand public pendant près de 40 ans, sans doute, en partie en raison
du faible pouvoir de sanction dont elle disposait alors. L’adoption du RGPD et
l’augmentation considérable du pouvoir de sanction de la CNIL à cette occasion a ainsi fait
découvrir à beaucoup d’individus l’existence et le rôle de cette autorité373, souvent présentée
373
TRAN C., « La CNIL dans l'environnement européen de la protection des données personnelles : renouveau
d'une autorité administrative indépendante », Droit Administratif n° 1, Janvier 2022, étude 1
359. Si les décisions de la CNIL peuvent être source de méfiance à l’égard des
établissements sanctionnés, elle dispose également d’outils lui permettant au contraire de
générer la confiance des individus. En effet, l’article 42 du RGPD378 encourage les États à
mettre en place des mécanismes de certification. Dans ce cadre, le CNIL a mis fin à ses
pratiques de labélisation pour mettre en place un mécanisme de certification.
360. Contrairement aux labels qu’elle a pu délivrer par le passé en revanche, la CNIL ne
délivre pas directement les certifications, elle ne fait qu’agréer les organismes de
certifications, qui se chargeront à leur tour de délivrer les certifications aux établissements
ou personnes qui souhaitent être certifiés379. Par ailleurs, la liste des établissements certifiés
n’est pas disponible sur le site de la CNIL contrairement à celle des organismes labellisés,
ce qui réduit leur publicité auprès du grand public.
361. Bien que ces certifications ne soient pas obligatoires, et qu’elles soient finalement peu
visibles, en dehors du macaron que l’établissement ou la personne certifiée apposera sur son
propre site, elles connaissent un certain succès auprès des responsables de traitement qui
considèrent la détention de ces certifications comme un véritable facteur de différentiation
362. Créé en 2009 par le Décret du 7 Juillet 2009 portant création d’un service à compétence
nationale dénommé « Agence Nationale de la Sécurité des Systèmes d’Information 380 »,
l’ANSSI se présente comme garante de la protection des systèmes d’information,
indispensable face à la recrudescence des actes de cyber-malveillance. Dans le cadre de cette
mission, l’ANSSI met à disposition des administrations et entreprises françaises des
contenus éditoriaux visant à les sensibiliser au sujet de la cybercriminalité, des guides de
bonnes pratiques ou encore des synthèses des principales réglementations applicables en la
matière.
363. À la différence de la CNIL, qui peut être amenée à interagir avec les particuliers dans
le cadre du traitement des plaintes qu’ils lui communiquent, l’ANSSI n’a en principe jamais
l’occasion d’interagir directement avec des derniers, ce qui explique sans doute qu’elle soit
bien moins connue que la CNIL. Pourtant, l’ANSSI tend, petit à petit, à se faire également
une place en tant que garant de la confiance numérique des individus en procédant, comme
la CNIL, à des actions de sensibilisation et de vulgarisation du sujet de la sécurité des
systèmes d’information et de la cybercriminalité. La meilleure illustration de cette démarche
est certainement la mise en ligne en mai 2017 de la plateforme SecNum académie381, qui
vise, au travers d’un MOOC382, à développer les connaissances des individus en la matière.
380
Décret n° 2009-834 du 7 juillet 2009 portant création d'un service à compétence nationale dénommé «
Agence nationale de la sécurité des systèmes d'information », NOR : PRMD0914748D, JORF n°0156 du 8
juillet 2009
381
Voir le site officiel secnumacademie, depuis lequel le MOOC de l’ANSSI peut être réalisé :
https://secnumacademie.gouv.fr,consulté le 11/03/2022.
382
MOOC est l’acronyme de « massive open online course » c’est-à-dire un cours en ligne ouvert à tous
365. Outre ces entités publiques, le développement des visas de confiance numérique est
également notable dans le domaine privé.
366. Dans le contexte numérique actuel, les signes extérieurs de confiance trouvent toute
leur importance. Et si les signaux de confiance issus d’entités publiques sont importants en
la matière, ceux issus d’entités privées tendent également à prendre de l’importance.
367. Conscients du potentiel marché que représente la confiance numérique, des acteurs
privés se sont en effet emparés du sujet, parfois en tant que tiers certifiés par une autorité
publique, parfois en se proclamant eux-mêmes tiers de confiance numérique.
368. Ces acteurs privés proposent ainsi aux personnes et entreprises, contre rémunération,
de leur accorder un signe visible de confiance numérique que ces derniers pourront mettre
en avant auprès de leur clientèle. On peut ainsi dire que le commerce de la confiance est
aujourd’hui une réalité, bien que le fait qu’une rémunération intervienne puisse certainement
remettre en cause la partialité de ces visas de confiance.
369. Dans ce marché privé de la confiance numérique, les acteurs souhaitant bénéficier des
signaux de confiance sur le marché ont principalement deux options : obtenir eux-mêmes le
statut de tiers de confiance numérique (§1) ou utiliser des outils, dits, de confiance
numérique (§2)
383
Le visa de sécurités de l’ANSSI est présenté sur son site officiel, à l’adresse suivante :
https://www.ssi.gouv.fr/entreprise/visa-de-securite/,consulté le 11/03/2022.
370. Le statut de tiers de confiance n’a pas de définition légale, il n’est en effet défini par
aucune réglementation à ce jour. Il est en revanche utilisé comme macrocatégorie regroupant
des acteurs dont certains ont, eux, un statut juridique défini par la réglementation : les
prestataires de services de confiance (A), dont les associations se font une place certaine
dans le secteur de la confiance numérique (B).
371. Dans le cadre de sa stratégie numérique pour l’Europe publiée en 2010384 et en réponse
à la problématique de confiance numérique que la Commission Européenne détectait déjà
chez les consommateurs européens, de nombreuses pistes avaient été identifiées pour
améliorer la situation, parmi lesquelles, la révision du cadre de protection des données à
caractère personnel, la poursuite du décloisonnement des marchés numériques et le
renforcement de l’interopérabilité des outils numériques, notamment ceux utilisés au sein de
l’Union Européenne.
372. Cette stratégie a effectivement donné lieu, entre autres, à l’adoption du RGPD et du
Règlement eIdas. Moins connu du grand public que le RGPD, le Règlement eIdas du 23
Juillet 2014 a pourtant apporté un grand nombre d’évolutions en matière de confiance
numérique385, mettant notamment à jour un cadre juridique vieillissant pour la signature
électronique, le cadre juridique alors en vigueur étant issu de la directive du 13 Décembre
1999 relative à un cadre Communautaire pour les signatures électroniques386, transposée en
France par la Loi du 13 Mars 2000387.
384
Communication de la commission au parlement européen, au conseil, au comité économique et social
européen et au comité des région du 26 Aout 2010 relative à une Stratégie Numérique pour l’Europe
385
Règlement (UE) no 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l’identification
électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et
abrogeant la directive 1999/93/CE, dit Règlement eIdas, JOUE L257, du 28 aout 2014
386
Directive 1999/93/CE du Parlement européen et du Conseil, du 13 décembre 1999, sur un cadre
communautaire pour les signatures électroniques, JOUE L13, du 19 janvier 2000
387
Loi n° 2000-230 du 13 mars 2000 portant adaptation du droit de la preuve aux technologies de l'information
et relative à la signature électronique
375. Bien qu’accessibles par quiconque en fait la recherche, ces listes manquent néanmoins
de visibilité et de notoriété auprès du grand public. C’est pourquoi les associations de tiers
de confiances numériques semblent être une vitrine tout adaptée à la mise en lumière des
entreprises qualifiées en tant que prestataires de services de confiance qualifiés et de ceux
qui, sans être eux-mêmes prestataires de services de confiance qualifiés, ont vocation à
bénéficier de cette bonne image par association.
388
Considérant 28 du Règlement (UE) no 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur
l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché
intérieur et abrogeant la directive 1999/93/CE, dit Règlement eIdas, JOUE L257, du 28 aout 2014
389
La liste des produits et services qualifiés par l’ANSSI est disponible en ligne à l’adresse suivante :
https://www.ssi.gouv.fr/uploads/liste-produits-et-services-qualifies.pdf,consulté le 11/03/2022.
390
La liste des produits et services qualifiés au niveau Européen est disponible sur le site de la Commission
Européenne, à l’adresse suivante : : https://esignature.ec.europa.eu/efda/tl-browser/#/screen/home,consulté le
11/03/2022.
376. En France, il existe depuis maintenant 20 ans une association regroupant un grand
nombre de tiers de confiance numérique connue sous le nom de Fédération Nationale des
Tiers de Confiance du numérique ou FNTC. Cette association regroupe différents
professionnels présentant tous une expertise les rendant susceptibles d’être présentés comme
« tiers de confiance du numérique » ainsi que, depuis 2018, des professionnels qui recourent
à des services de confiance tels que certains grands groupes bancaires français, parmi
lesquels comptent notamment les groupes bancaires BNP, BPCE et Société Générale.391
377. La FNTC compte ainsi aujourd’hui cinq collèges : Un collège regroupant les
opérateurs et prestataires de services de confiance, un collège regroupant les éditeurs et
intégrateurs de solutions de confiance, un collège regroupant les experts et représentants des
utilisateurs, un collège regroupant les institutionnels et professions réglementées et enfin un
collège regroupant les utilisateurs de services de confiance. L’appartenance à cette
association permet à ses adhérents de mettre en avant, là encore, la confiance numérique
qu’ils entendent générer au travers de leurs activités respectives. Depuis 2014, l’activité de
labellisation de la FNTC permet également aux professionnels labellisés de mettre en avant
un visa de confiance numérique privé.
378. Notons par ailleurs les travaux réalisés dans le cadre des différents groupes de travail
de la FNTC, notamment concernant les sujets dont la réglementation applicable peut être
difficile à appréhender, tels que ceux des données à caractère personnel, de la blockchain et
de la signature électronique. En effet, en réunissant des experts du sujet pour établir des
codes de bonnes pratiques et autres documents ayant vocation à aider les adhérents dans
l’application des règles qui leur sont applicables, la FNTC permet à ceux-ci de faire une
application sans doute plus juste de ces dernières en limitant les risques de mauvaise
interprétation.
La liste des adherents de la FNTC est disponible sur son site internet à l’adresse suivante: https://fntc-
391
numerique.com/fr/liste-des-adherents/nos-adherents.html,consulté le 11/03/2022.
380. Nous proposons d’étudier ici la pratique des banques en matière d’outils eIdas de
confiance numérique (A), ainsi que des codes et chartes de bonne pratiques (B).
381. Parmi les nombreux outils, dits, « de confiance », encadrés par le Règlement eIdas, la
signature électronique est très certainement celui dont l’usage est aujourd’hui le plus répandu
dans le secteur financier. Développement de la souscription à distance oblige, aujourd’hui,
les banques proposent presque toutes à leurs clients de signer électroniquement leurs
contrats. Il est intéressant de noter par ailleurs que la signature électronique est également
de plus en plus proposée lors de souscriptions en face-à-face afin d’offrir aux clients la
possibilité de recevoir leurs liasses contractuelles de manière entièrement dématérialisée.
382. Il semble cependant que parmi les trois niveaux de signatures électroniques prévus par
le règlement eIdas, les banques proposent rarement à leurs clients des signatures
électroniques du niveau le plus élevé. En effet, le Règlement eIdas prévoit trois niveaux de
signature, du moins fiable au plus fiable : la signature électronique simple, la signature
électronique avancée et la signature électronique qualifiée.
384. La signature électronique avancée se veut plus fluide, notamment grâce à l’identité
numérique La Poste, que nous évoquions plus tôt dans cette étude, mais elle reste encore
trop peu répandue pour que le recours à la signature électronique avancée soit systématique
lors des parcours de souscription. C’est donc actuellement la signature électronique simple
qui est la plus proposée dans les parcours de souscription, mais peut-être que la
généralisation des identités numériques permettra à moyen terme aux banques de proposer
aux clients de choisir le niveau de signature électronique qu’ils souhaitent utiliser.
385. Outre la signature électronique, les banques proposent également de plus en plus de
s’appuyer sur leur identité numérique fédérée dans FranceConnect pour s’authentifier lors
de la souscription. Là aussi cependant, bien que cette possibilité leur soit offerte depuis
2018, dans le cadre de l’entrée en vigueur de l’arrêté du 8 Novembre 2018 relatif à
FranceConnect394, très peu de banques proposent ce type d’authentification, la première
ayant été Boursorama, qui le propose depuis début 2019395.
386. En dépit de l’éventail d’outils eIdas disponibles à l’usage, ils ne nous semblent pas
être exploités à leur plein potentiel, de même que les codes et chartes de bonnes pratiques.
392
Article 1367 du Code Civil : « La signature nécessaire à la perfection d'un acte juridique identifie son
auteur. Elle manifeste son consentement aux obligations qui découlent de cet acte. Quand elle est apposée par
un officier public, elle confère l'authenticité à l'acte.
Lorsqu'elle est électronique, elle consiste en l'usage d'un procédé fiable d'identification garantissant son lien
avec l'acte auquel elle s'attache. La fiabilité de ce procédé est présumée, jusqu'à preuve contraire, lorsque la
signature électronique est créée, l'identité du signataire assurée et l'intégrité de l'acte garantie, dans des
conditions fixées par décret en Conseil d'Etat. »
Décret n° 2017-1416 du 28 septembre 2017 relatif à la signature électronique, NOR : JUSC1716705D,
393
388. Parmi ces efforts, le plus notable est, ironiquement peut-être, issu justement d’une
réglementation. C’est ainsi que le RGPD, qui, lui, est contraignant, invite les responsables
de traitement à recourir à des codes de conduite, non contraignants, pour « contribuer à la
bonne application du présent Règlement, compte tenu de la spécificité des différents secteurs
de traitement et des besoins spécifiques des micro, petites et moyennes entreprises396 ».
390. La proposition de Loi pour la mise en place d’une certification de cybersécurité des
plateformes numériques destinées au grand public, en cours de seconde lecture400 au Sénat,
semble indiquer que le recours aux preuves de confiance numérique est toujours au cœur de
la stratégie du législateur dans sa quête de confiance numérique.
396
Article 40 du Règlement Général sur la Protection des Données
397
En octobre 2021, le seul Code de conduite approuvé par la CNIL est celui dédié aux fournisseurs
d’infrastructures Cloud porté par Cloud Infrastructure Service Providers Europe (CISPE). A ce sujet, voir la
Délibération de la CNIL 2021-065 du 3 juin 2021 portant approbation du code de conduite européen porté par
Cloud Infrastructure Service Providers Europe (CISPE).
398
Article L612-29-1 du Code Monétaire et Financier
399
Article L223-1 du Code de la Consommation
400
En décembre 2021, la proposition de Loi est toujours débattue au Sénat. Voir le dossier sur le site officiel
du Sénat, disponible à cette adresse : https://www.senat.fr/dossier-legislatif/ppl19-629.html,consulté le
11/03/2022.
392. Comme nous venons de le voir, il semble que la confiance numérique puisse
effectivement être issue d’un tiers, lui attribuant de fait la qualité de tiers de confiance
numérique.
393. Parmi ces tiers de confiance numérique, certaines autorités, telles que l’ACPR, l’AMF,
la CNIL et l’ANSSI jouent un rôle important dans l’établissement de la confiance numérique
des clients dans leurs banques notamment en accordant aux établissements qu’elles jugent
dignes de les recevoir des signes de confiance extérieurs, tels que des autorisations, des
labels ou des certifications.
394. À l’inverse, le refus ou le retrait d’une autorisation, d’un visa, ou d’une certification
sont des signes de méfiance qui indiquent aux individus que ces établissements ne sont pas
dignes de confiance, en tout cas pas en ce qui concerne le périmètre du visa de confiance qui
leur a été refusé.
395. Ces signes de confiance extérieurs semblent également pouvoir être issus de tiers de
confiance privés, ou d’outils de confiance numérique, s’appuyant notamment sur les
dispositions du Règlement eIdas.
396. Si le recours aux preuves de confiance numérique semble être une bonne idée en ce
qu’il s’agit, pour l’individu, d’appuyer sa décision de faire confiance à une banque sur la
décision d’un expert du sujet, qu’il s‘agisse d’une autorité ou d’un tiers de confiance privé,
la confiance que peuvent générer les preuves de confiance est contestable par deux égards.
397. D’abord parce que l’authenticité de la preuve de confiance doit être vérifiée, ce qui est
rarement fait par les individus. Par exemple, bien que les individus puissent consulter le
Registre des agents financiers, le REGAFI, rares sont ceux qui le consultent pour vérifier
que l’établissement est réellement autorisé à exercer son activité.
398. Ensuite, en ce qui concerne les preuves de confiance monnayables, le fait qu’elles
soient subordonnées au versement d’un règlement peut remettre en question la légitimité de
l’établissement qui la reçoit et la neutralité de celui qui la délivre.
399. De même qu’au stade de l’entrée en relation, la confiance numérique semble ainsi
occuper également une place centrale au stade de la perfection du contrat et à juste titre
puisqu’il s’agit de l’étape finale de la conclusion du contrat entre sa banque et son client.
400. Les nombreuses informations que les banques sont contraintes de fournir à leurs clients
à ce stade représentent un sujet qui justifierai la plus grande précaution des banques. En
effet, si les informations à fournir au client ont notamment vocation à permettre à l’individu
de prendre la décision de contractualiser avec la banque en toute confiance, leur grand
nombre peut être en réalité anxiogène et devenir un vecteur de méfiance.
401. C’est pourquoi il est primordial que les banques évaluent bien le niveau de
connaissance de leurs prospects et clients pour adapter en conséquence les informations à
fournir aux individus, notamment en travaillant la forme comme le permet la pratique du
legal design.
402. Il est d’autant plus important pour les banques de veiller à ce que les individus prennent
effectivement connaissance des informations qu’elles fournissent que c’est également à
l’occasion de la prise de connaissance des informations qui lui sont destinées que le prospect
ou client peut également être informé des autorisations, labels ou certifications dont dispose
la banque.
403. À ce titre, ces preuves de confiance peuvent également rassurer les clients quant à la
légitimité de l’établissement avec lequel ils s’apprêtent à contractualiser, de même que
l’appartenance dudit établissement a une association de tiers de confiance ou son recours à
des outils de confiance.
405. En effet, tant au stade de l’entrée en relation, qu’au stade de la perfection du contrat,
il semble que plusieurs pratiques mises en place par le législateur, ou spontanément par les
banques, aient vocation à renforcer la confiance numérique de la banque dans son client et
de son client dans sa banque.
406. Au stade de l’entrée en relation d’abord, nous notons en effet que les différentes
mesures liées à la vérification de l’identité, et plus globalement à la connaissance client,
concourent effectivement à la confiance de la banque dans son client. Inversement, la rigueur
de la banque dans la vérification de l’identité du client peut être un élément rassurant pour
les clients.
407. Il existe tout de même une difficulté inhérente à cette phase d’entrée en relation. Les
mesures prises par la banque pour contrôler l’identité de son client et renforcer sa
connaissance de ce dernier peuvent être anxiogènes pour celui-ci, dont les données peuvent
être amenées à être communiquées à des tiers tels que l’administration fiscale, ou à figurer
dans des fichiers tels que le FICOBA ou le FICOVIE.
408. Par ailleurs, le recours à des techniques telles que le profilage dans un contexte
entièrement distant peut poser question quant à la confiance numérique qui s’établit alors
davantage entre la banque et le profil, potentiellement erroné de son client, qu’entre la
banque et son client.
410. En effet, nous notons, là aussi, une difficulté inhérente à la transparence, qui peut, si
elle n’est pas optimisée en vue de simplifier la prise de connaissance des informations et
411. L’absence d’effort en la matière peut en effet être perçu comme une pratique de la
banque visant à ne pas rechercher à ce que le client lise effectivement les informations, ou,
simplement décourager certains individus de contractualiser de peur de s’engager sans
comprendre ce à quoi ils s’engagent. Les banques ont fort heureusement des perspectives en
la matière, notamment en recourant à la pratique du legal design, qui peut par ailleurs faciliter
la mise en avant de preuves de confiance tels que les autorisations, certifications ou labels
dont dispose la banque, mais aussi les outils de confiance auxquels elle recourt.
414. Cette observation peut également être faite en matière délictuelle, qu’il s’agisse de
traiter de la responsabilité dite du fait personnel 402 ou de la responsabilité dite du fait
d’autrui403 ou du fait d’une chose404. La responsabilité des parents du fait de leurs enfants,
ou celle des gardiens du fait des animaux et des choses sous leur garde ne pourraient-elles
pas être analysées comme trouvant leur source dans la trahison de la confiance que l’on peut
légitimement avoir dans le parent pour surveiller son enfant et dans le gardien pour contrôler
son animal ou sa chose ?
415. En suivant ce raisonnement, on pourrait considérer que dans le cadre d’une relation
entre une banque et son client, les régimes de responsabilité établis à la charge des banques,
que nous étudierons dans cette partie, sont justifiés par la confiance que lui a accordée son
client pour protéger son patrimoine.
416. Nous nous attacherons dans cette partie à étudier dans quelle mesure la perte de
confiance numérique peut être source de responsabilité (Titre I) mais aussi à explorer si, à
l’inverse, la responsabilité ne serait pas un vecteur mal exploité de confiance numérique
(Titre II).
2020
404
CATHELINEAU A., « Droit à réparation - Responsabilité du fait des choses. – Principe général”, J. Cl
Responsabilité civile et Assurances, Fasc.150-1, 2013
418. Si l’incidence de la confiance peut effectivement être perçue quand il s’agit de motiver
la décision d’un individu de contractualiser avec une banque, qu’en est-il quand il s’agit de
le faire rester ? Quels sont les vecteurs de confiance numérique au stade de l’exécution du
contrat liant le client à sa banque et sont-ils efficaces ?
419. Une fois le contrat conclu, le client, toujours dans un environnement numérique, va
prendre en main les différents outils mis à sa disposition pour réaliser des actes de
consultation ou de gestion de manière autonome. On pourrait alors légitimement supposer
que l’utilisation, ou le refus d’utilisation de ces outils, traduit la confiance, ou au contraire
la méfiance, que le client a pour lesdits outils et sa banque.
420. Les différentes affaires mettant en lumière des failles de sécurité ou des actes de cyber
malveillance ont irrémédiablement pour effet de générer l’anxiété de certains clients, qui
craignent alors pour la sécurité de leurs informations et leur patrimoine. C’est pourquoi la
réglementation et la jurisprudence tentent depuis maintenant plusieurs années, d’établir un
environnement juridique censé renforcer la confiance que les clients peuvent avoir dans leurs
banques et les outils que ces dernières leur mettent à disposition405.
405
Citons par exemple le considérant 34 de la Directive 2007/64/CE du Parlement européen et du Conseil du
13 novembre 2007 concernant les services de paiement dans le marché intérieur « Toutefois, les États membres
devraient pouvoir fixer des règles moins contraignantes que celles qui sont mentionnées ci-dessus, afin de
maintenir les niveaux existants de protection des consommateurs et de favoriser la confiance en la sureté́ de
l'utilisation des instruments de paiement électronique » ; et le considérant 7 du Règlement UE 2016/679 du
Parlement européen et du Conseil du 27 avril 2016 : « Ces évolutions requièrent un cadre de protection des
données solide et plus cohérent dans l'Union, assorti d'une application rigoureuse des règles, car il importe
de susciter la confiance qui permettra à l'économie numérique de se développer dans l'ensemble du marché
intérieur. Les personnes physiques devraient avoir le contrôle des données à caractère personnel les
concernant. La sécurité tant juridique que pratique devrait être renforcée pour les personnes physiques, les
opérateurs économiques et les autorités publiques »
406
DUDEZERT F., « De l’existence d’un principe de confiance légitime en droit privé » Thèse de doctorat,
droit privé, sous la direction du Professeur Gérard JAZOTTE, La Rochelle, Université de La Rochelle, 2016
422. Contrairement à une idée souvent véhiculée, « internet » et « web » ne sont pas
synonymes. Le second n’est en réalité qu’une des applications du premier, Internet étant
apparu dans les années 70 et ayant d’abord été exploité au travers du courriel, qui a été sa
première application407, alors que le web n’existe que depuis les années 90.
423. Dans le domaine bancaire français, ces deux périodes ont coïncidé avec l’invention de
deux outils qui font aujourd’hui partie de notre quotidien : la carte bancaire du réseau CB à
puce, inventée dans les années 70. Puis, dans les années 90, l’invention du code secret à 4
chiffres et la mise en place d’un numéro d’assistance pour que les clients puissent faire
opposition en cas de perte ou vol de leur carte bancaire408. Les innovations bancaires et la
méfiance qui y est associée par certains semblent donc bien aller au rythme des innovations
numériques.
425. Ces évolutions ont malheureusement été accompagnées par de nouveaux types de
fraudes409. Or, la crainte des fraudes semble être la principale source de méfiance numérique
des clients des banques410. Les banques doivent donc jouer un rôle actif dans la lutte contre
407
ROBERT A, « Il y a 50 ans : l'invention du courriel, une révolution à double-tranchant », article éditorial
du site internet CNET, 2019.
408
Site officiel du réseau CB, disponible à l’adresse suivante : https://www.cartes-
bancaires.com/cb/histoire/,consulté le 11/03/2022.
409
Voir les rapports annuels de l’Observatoire de la Sécurité des Moyens de Paiements, disponibles sur le site
de la Banque de France à l’adresse suivante : https://www.banque-france.fr/stabilite-financiere/observatoire-
de-la-securite-des-moyens-de-paiement,consulté le 11/03/2022.
410
CSA, « Sondage - Les Français et les moyens de paiement », 2015
426. Lorsqu’un responsable est dûment identifié, le client peut avoir deux attentes légitimes
: son dédommagement et la sanction du responsable. Si le premier est certainement vecteur
de confiance pour le client indemnisé, l’effet sur la confiance des sanctions et de leur
publicité est relativement variable d’un établissement à l’autre. Par ailleurs, l’écosystème
bancaire a été largement perturbé par l’arrivée de nouveaux acteurs venant concurrencer les
banques traditionnelles et s’interposant souvent comme intermédiaires (Section I),
compliquant davantage la question de l’imputabilité (Section II).
427. Le secteur bancaire a lui aussi été marqué par l’ubérisation411 de la société412. L’arrivée
de nouveaux acteurs disruptant cette activité a été particulièrement remarquée par la
clientèle, notamment les digital natives413 qui apprécient l’image plus « dépoussiérée » de
l’expérience bancaire que proposent ces nouveaux acteurs par rapport aux établissements
traditionnels.
428. L’arrivée de ces nouveaux acteurs, s’intercalant dans la relation entre le client et sa
banque, amène nécessairement de nouveaux défis en termes de traçabilité. La CNIL fait
d’ailleurs de la traçabilité l’un des deux enjeux sociétaux liés aux moyens de paiements dans
son livre blanc sur les données de paiement414, estimant que la multiplication des acteurs
dans cette relation élargit le champs du possible en ce qui concerne la circulation des données
de paiement et la combinaison de celles-ci avec d’autres, ce qui est susceptible de nourrir,
ce que la CNIL qualifie d’« économie de surveillance », phénomène que l’on peut observer
notamment en Chine, où les géants Alibaba et WeChat participent au système de crédit
social415 envisagé dans cet État.
411
Le dictionnaire LAROUSSE définit l’ubérisation comme la « Remise en cause du modèle économique d'une
entreprise ou d'un secteur d'activité par l'arrivée d'un nouvel acteur proposant les mêmes services à des prix
moindres, effectués par des indépendants plutôt que des salariés, le plus souvent via des plateformes de
réservation sur Internet. » ; FRERY F., « L’ubérisation de l’entreprise », Jean-François Dortier éd., La
Communication. Des relations interpersonnelles aux réseaux sociaux. Éditions Sciences Humaines, 2016, pp.
336-340.
412
LE FUR A-V., « Les nouveaux services de crédit alternatif : la pratique du peer to peer lending ou
l'ubérisation du crédit », RD bancaire et fin. n° 1, Janvier 2017, dossier 7 ; LEGEAIS D., « L'apport des
FinTechs au droit bancaire », RD bancaire et fin. n° 1, Janvier 2017, dossier 1
413
Terme anglais couramment utilisé pour parler des individus nés alors que le WEB existait déjà.
414
CNIL, « Livre Blanc de la CNIL « Quand la confiance paie – Les moyens de paiement d’aujourd’hui et de
demain au défi de la protection des données », publié le 6 octobre 2021, page 17
415
Le crédit social est un système visant à accorder plus ou moins de droits aux individus en fonction d’un
score social qui leur est attribué. Ce système conduit concrètement à attribuer un score aux individus, établi
sur la base de données obtenues par divers acteurs en relation avec un individus (banque, assurance,
employeur…). Ce score est ensuite utilisé pour accorder des droits ou au contraire en priver certains individus.
A ce sujet, lire PEDROLETTI B., « En Chine, le « crédit social » des citoyens fait passer les devoirs avant les
droits”, Le Monde”, 2020. L’article est disponible à l’adresse suivante:
https://www.lemonde.fr/idees/article/2020/01/16/le-credit-social-les-devoirs-avant-les-
droits_6026047_3232.html,consulté le 11/03/2022.
431. Les API présentent l’avantage pour les banques d’être sécurisées et sous leur contrôle
puisque ce sont ces dernières qui doivent les développer pour exposer les données qu’elles
détiennent. Or, ce dernier point a longtemps posé problème, car en exposant ces données,
les banques permettent à des sociétés de les concurrencer421. La tentation d’entraver cette
concurrence grâce à leurs API peut ainsi être assez forte pour les banques.
432. Certains prestataires de services paiements tiers ont donc longtemps privilégié une
autre technique pour accéder aux données bancaires, celle du Web Scraping, qui consiste
pour un service tiers à s’authentifier sur l’espace personnel du client d’une banque à la place
de ce dernier grâce aux identifiants qu’il lui aura communiquée. Le prestataire de services
416
Littéralement « banque ouverte » en français.
417
La DSP 2 utilise ce terme pour qualifier le “prestataire de services de paiement qui fournit et gère un compte
de paiement pour un payeur” à son article 4.
418
API est l‘abréviation d’Application Programming Interface. Ce terme désigne des programmes
informatiques permettant à deux programmes informatiques de communiquer entre eux, l’API permettant
d’exposer les données en les rendant disponibles à d’autres programmes, qui les collectent grâce à des
connecteurs.
419
Littéralement « Grattage du WEB » en français
420
Le fonctionnement des API est expliqué sur le site gouvernemental API.gouv, disponible à l’adresse
suivante : https://api.gouv.fr/guides/api-definition,consulté le 11/03/2022.
421
A ce sujet, lire MAGNIER MERRAN K., « Circulation des données bancaires - Le banquier entre partage
obligé et transfert sous contrôle », RD bancaire et fin. n° 5, Septembre 2020, dossier 30
433. Ces deux pratiques sont au cœur du phénomène de l’Open Banking, dont les cas
d’usage se multiplient de même que les acteurs pour proposer des services innovants (§1).
Or, cette multiplication des opérateurs exacerbe les problématiques de traçabilité (§2).
434. Bien que les données bancaires ne rentrent pas nécessairement dans la définition de
« données sensibles » prévue à l’article 9 du RGPD422 , les données bancaires sont souvent
considérées comme se rapprochant de cette catégorie. En effet, en vertu du RGPD, toute
donnée révélant l’origine raciale ou ethnique, les opinions politiques, les convictions
religieuses, les données de santé… serait une donnée sensible423. Or, les opérations bancaires
peuvent révéler de telles informations.
435. On peut en effet aisément déduire du règlement de cotisations d’un syndicat ou d’une
association que la personne qui la règle la soutient et en partage les convictions, ou que le
règlement régulier d’honoraires à un spécialiste révèle l’état de santé de cette dernière ou de
ses proches. Le fait que des données bancaires puissent être exploitées par des établissements
tiers pourrait donc impliquer un risque pour la vie privée des individus en l’absence
d’encadrement.
422
L’article 9 du RGPD définit les données sensibles comme toute donnée qui « révèle l'origine raciale ou
ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale,
ainsi que le traitement des données génétiques, des données biométriques aux fins d'identifier une personne
physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou
l'orientation sexuelle d'une personne physique... », L’article L133-4 du code monétaire quant à lui définit les
données de paiement sensibles comme étant « les données, y compris les données de sécurité personnalisées,
qui sont susceptibles d'être utilisées pour commettre une fraude. En ce qui concerne les activités des
prestataires de services de paiement fournissant le service d'initiation de paiement et des prestataires de
services de paiement fournissant le service d'information sur les comptes, le nom du titulaire du compte et le
numéro de compte ne constituent pas des données de paiement sensibles »
423
Article 9 du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la
protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre
circulation de ces données, et abrogeant la directive 95/46/CE (Règlement général sur la protection des
données) (Texte présentant de l'intérêt pour l'EEE).
437. Les services d’initiation de paiements quant à eux ont pour but de permettre d’initier
des paiements directement depuis une interface tierce425. Les prestataires offrant ces services
d’initiation de paiement ou d’information sur les comptes sont communément qualifiés de
Prestataires de Services de Paiement Tiers, dits PSP, par opposition aux Prestataires de
Services de Paiement Gestionnaires de Comptes, dits PSPGC, c’est-à-dire les banques.
438. Pour ne citer que les Prestataires de Services de Paiement Tiers (PSPT) les plus
populaires, citons Bankin, Linxo, et Budget Insight. La popularité de ces services a amené
le législateur à considérer que leurs services devaient être encadrés. C’est ainsi que la
Directive (UE) 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015
concernant les services de paiement dans le marché intérieur, dite DSP 2 fut adoptée.
439. Cette Directive européenne, dont les dispositions ont été transposées en France par
l’ordonnance 2017-1252 du 9 août 2017, elle-même ratifiée par la Loi 2018-700 du 3 août
2018, a fait l’objet d’une application quelque peu chaotique comme nous allons l’étudier
dans cette partie, notamment en raison du fort lobbying des banques qui se sont retrouvées
contraintes de faciliter la concurrence que représentent les activités des agrégateurs de
comptes426 et initiateurs de paiements (A) et de partager une partie de leur « patrimoine » le
plus précieux : les données bancaires de leurs clients (B).
424
Article 4 de la Directive (UE) 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015
concernant les services de paiement dans le marché intérieur, modifiant les directives 2002/65/CE,
2009/110/CE et 2013/36/UE et le règlement (UE) no 1093/2010, et abrogeant la directive 2007/64/CE (Texte
présentant de l'intérêt pour l'EEE), JOUE L337, du 23 décembre 2015
425
Ibid.
426
Autre terme utilisé pour qualifier les prestataires de services d’informations sur les comptes.
440. Les agrégateurs de comptes et initiateurs de paiements existaient bien avant l’adoption
de la DSP 2. Le premier acteur du secteur à avoir vu le jour en France étant Bankin427, en
2011, suivi de concurrents directs tels que Linxo et Budget Insight, mais aussi des banques
elles-mêmes, qui proposent désormais presque toutes à leurs clients d’agréger des comptes
détenus dans des établissements tiers, ainsi que dans certains cas des portefeuilles de
cryptoactifs.
441. Les initiateurs de paiements et services d’information sur les comptes proposant des
services plus limités que les banques, en l’absence d’agrément en tant qu’établissement de
crédit, comment expliquer l’engouement pour ces services ? En effet, en passant par un SIC
ou SIP, le client bénéficiera dans la plupart des cas en réalité de moins de possibilités qu’en
passant directement par sa banque en termes d’actes bancaires, il gagnera en revanche
souvent une expérience plus fluide.
442. Par ailleurs, ces prestataires peuvent poser question en termes de sécurité428. En effet,
la DSP 2 ne concernant que les comptes de paiement, la plupart des prestataires de services
d’information sur les comptes et d’initiation de paiement continuent ainsi à agréger les
comptes d’épargne et comptes titres par Web Scraping en toute légalité429. Des individus
peuvent donc, à tort, penser être protégés par les dispositions de la DSP 2, alors qu’ils ne le
sont que partiellement.
443. Le Web Scraping suppose, comme nous l’indiquions précédemment, que le client
fournisse son identifiant et mot de passe au PSPT, qui s’identifiera ensuite, à la place du
client, via l’interface de sa banque pour « scraper » ses données et les restituer dans sa propre
interface. Il peut donc être difficile de distinguer un accès à l’interface de la banque par le
427
DIETSCH B, « Rencontre Avec… Joan Burkovic 31 Ans, Fondateur De Bankin'(élu meilleure app de
l’Appstore pour gérer son Argent) », Forbes, 2017, disponible à l’adresse suivante :
https://www.forbes.fr/business/rencontre-avec-joan-burkovic-31-ans-fondateur-de-bankin/, consulté le
11/03/2022.
RENARD I., « Cybersécurité et Open Banking font-ils bon ménage », RD bancaire et fin. n° 5, Septembre
428
2019, prat. 5
429
En effet, comme son nom l’indique, la DSP 2 ne concerne que les comptes de paiement, les comptes
d’épargne et comptes titres ne sont donc pas soumis à cette dernière.
444. Il est regrettable que la DSP 2 ne réponde que partiellement au problème de traçabilité
que présente le recours aux PSPT, en étant limitée aux comptes de paiement. L’ouverture
des données bancaires a rapidement séduit d’autres acteurs, qui ont bien évidemment un
intérêt direct à pouvoir traiter les données bancaires de leurs propres clients, notamment
celui de pouvoir améliorer leurs techniques de profilage et explorer de nouveaux cas d’usage
se basant sur l’open banking.
445. Longtemps jalousées par les autres entreprises pour leur « patrimoine »
informationnel, les banques sont aujourd’hui contraintes de partager leur trésor avec de
nouveaux acteurs, notamment ceux qu’elles tentent elles-mêmes de concurrencer tels que
les assureurs. Sans doute est-ce donc la juste contrepartie de l’émergence des
bancassurances, ces groupes bancaires qui exercent parallèlement une activité d’assurance.
446. Dans le sens inverse, les assureurs peuvent en effet tout aussi bien exercer une activité
bancaire ou proposer des services de paiement, mais, elles bénéficient aujourd’hui d’une
grande facilité grâce à la DSP 2 : un agrément d’établissement de crédit n’est plus nécessaire
quand il suffit d’être agréé en tant qu’Établissement de paiement pour pouvoir traiter les
données bancaires des individus.
447. Bien sûr, les assureurs ne sont pas les seuls à s’être saisis de cette opportunité, de
nombreux autres acteurs se sont fait une place de choix en la matière ces dernières années.
Citons par exemple la FinTech française Lydia, qui s’est d’abord démarquée par son offre
consistant à effectuer des paiements entre particuliers par le simple envoi d’un SMS,
supprimant ainsi l’étape de renseignement du RIB du destinataire du paiement ; citons
430
LASSERRE CAPDEVILLE J., « Quels risques avec le service d'initiation de paiement ? », RD bancaire et
fin. n° 3, Mai 2019, dossier 29
448. Outre ces acteurs, pure players des services de paiement, les GAFAM Google,
Amazon, Facebook, Apple et Microsoft ont également tous lancé leurs offres de services de
paiement, simplifiant le paiement sur leurs propres plateformes et, en ce qui concerne
Google et Apple, le paiement sans contact par smartphone.
449. Ces nouveaux modèles permettent aux cas d’usage impliquant des données bancaires
de se multiplier. Citons par exemple la possibilité d’effectuer une simulation de crédit
immobilier en donnant simplement accès à ses données bancaires, plutôt qu’en renseignant
de nombreux formulaires, ou la possibilité de bénéficier de recommandations personnalisées
sur la base de ses habitudes de dépense.
450. Les banques sont ainsi mises en concurrence avec un éventail de nouveaux acteurs,
s’inscrivant, pour certains dans des segments de niche, et pour d’autres, dans le même
segment que les banques classiques en cherchant à mettre en place des offres bancaires
complètes.
451. L’Autorité de la concurrence s’est intéressée de près à cette concurrence dans le cadre
d’une enquête sectorielle dont le rapport a été publié en avril 2021 431. Dans ce rapport,
l’Autorité de la concurrence souligne le fait que si les FinTechs disposent d’avantages
concurrentiels certains sur les banques classiques, il serait erroné d’indiquer que les banques
ne disposent pas, elles non plus, de certains avantages sur leurs concurrents.
452. En effet, l’Autorité de la concurrence souligne le fait que les banques disposent d’une
expérience certaine dans la maîtrise de leur conformité et l’optimisation des coûts associés
à leur activité, quand les FinTechs, quant à elles, disposent d’un avantage qui tient à leur
agilité, qu’elles doivent notamment à l’absence de coûts d’infrastructures trop conséquents,
431
Autorité de la concurrence, « Enquête sectorielle - FinTech » : l’Autorité de la concurrence rend son avis »,
2021. Le rapport est disponible sur le site de l’Autorité de la concurrence à l’adresse suivante :
https://www.autoritedelaconcurrence.fr/fr/communiques-de-presse/enquete-sectorielle-FinTech-lautorite-de-
la-concurrence-rend-son-avis,consulté le 11/03/2022.
453. Il semble donc que les banques et les FinTechs possèdent chacune des avantages sur
les autres, aussi, ces dernières pourraient certainement d’ailleurs bénéficier d’un
rapprochement entre leurs activités. À ce titre, le livre blanc de la CNIL sur les données de
paiement indique très justement que dans ce nouveau contexte, « les banques
pourraient risquer d’être cantonnées à un rôle de gestionnaire à faible valeur ajoutée. Mais
en réalité, les relations entre banques et FinTechs relèvent plutôt de la symbiose. Pour rester
dans la course, les banques doivent s’adapter et tout miser sur l’expérience client et
l’accompagnement, quitte à absorber certaines FinTechs pour profiter de leur expérience
ou de leur service432 ».
454. Beaucoup de perspectives sont offertes par ce nouvel écosystème. Cependant, celles-
ci impliquant des tierces parties dans la relation autrefois exclusive aux clients et à leur
banque, de nouvelles problématiques les accompagnent, notamment en ce qui concerne la
traçabilité des actes.
455. Le terme d’open banking n’est que la déclinaison, dans le secteur financier, du
phénomène appelé « Open data433 » qui, comme son nom l’indique, porte sur l’ouverture et
le partage libre de données. Si les risques inhérents à l’open data, tels que l’utilisation des
données à des fins détournées, restent les mêmes en matière d’open banking, le préjudice
qui peut en ressortir, lui, est exacerbé en matière d’open banking, ce qui explique sans doute
pourquoi la réglementation en la matière est aussi rigoureuse, tant juridiquement que
techniquement.
432
CNIL, « Livre Blanc de la CNIL « Quand la confiance paie – Les moyens de paiement d’aujourd’hui et de
demain au défi de la protection des données », publié le 6 octobre 2021, page 33
433
Littéralement en français, « donnée ouverte »
458. Les cartes bancaires dématérialisées, dites « e-cartes bancaires », par exemple, sont
des services proposés par les banques aux individus qui craignent d’utiliser leurs cartes
bancaires en ligne de peur que leurs données de paiements fassent l’objet d’une fraude.
Ainsi, lors d’un achat en ligne, l’individu pourra obtenir auprès de sa banque une carte
bancaire virtuelle lui permettant d’avoir un numéro de carte bancaire et un code qu’il
n’utilisera que pour ledit achat. Un éventuel fraudeur ne pourra donc pas utiliser les
informations qu’il aura subtilisées lors d’un achat en ligne pour un autre achat.
459. Citons également les cartes bancaires à cryptogramme dynamique. Cette fois-ci, il
s’agit bien, pour les individus, d’utiliser leurs cartes bancaires physiques y compris pour les
434
La DSP2 a par exemple été complétée par trois règlements délégués comportant des données relativement
techniques liées à l’authentification forte. Citons également le Règlement eIdas, dont les dispositions sont assez
techniques.
462. À cet effet, la DSP 2 prévoit un certain nombre de mécanismes juridiques ayant
vocation à assurer la protection des clients utilisateurs de services de paiement tiers, parmi
lesquels, un mécanisme de responsabilité très protecteur des clients en cas de paiement
frauduleux, et la généralisation de l’authentification forte. Nous reviendrons sur ces
mécanismes dans nos développements ultérieurs, aussi, nous nous contenterons ici de les
mentionner, pour nous attarder plutôt sur les autres mécanismes de protection des clients
utilisateurs de services de paiement.
463. Citons par exemple l’obligation faite aux prestataires de services de paiement de
recourir aux interfaces dédiées mises à leur disposition par les banques et non pas les
interfaces clients pour l’accès aux comptes de paiement. Cette obligation permet de
clairement dissocier les actes directement réalisés par le client depuis sa banque, de ceux
435
BONTEMS C. et HUYSSEN J-C., "DSP2 : entre continuité et innovation", Banque et Droit Hors-série
n°2016-1, 2016
464. Notons également que la DSP 2 protège la liberté des individus utilisateurs de services
de paiement, et par la même occasion la liberté d’exercice des PSPT438, en interdisant aux
prestataires de services de paiement gestionnaires de comptes, les banques, d’entraver leurs
services à partir du moment où les utilisateurs ont choisi de recourir à un PSPT439. Il est à ce
titre notamment interdit aux banques de demander un second consentement aux utilisateurs
pour l’utilisation de ces services.
465. Ces nouveaux schémas relationnels posent bien sûr quelques difficultés aux banques
gestionnaires des comptes, qui se retrouvent ici à devoir suivre la volonté de leurs clients de
recourir à un PSPT, alors qu’en cas de fraude sur leurs comptes, ces derniers vont
généralement adresser leur mécontentement à leurs banques, et non leurs PSPT.
466. Les banques seront par ailleurs contraintes d’indemniser leurs clients avant de se
retourner vers le PSPT responsable, qui devra à son tour démontrer, comme l’indique
l’article 73 de la DSP 2, que « l’opération en question a été authentifiée et dûment enregistrée
et qu’elle n’a pas été affectée par une déficience technique ou autre en relation avec le service
436
A ce sujet, lire DE RAVEL D’ESCLAPON T., « Le renforcement de la protection des informations
intéressant l'utilisateur de services de paiement », RD bancaire et fin. n° 2, Mars 2018, dossier 8
437
L’article 33 du Règlement délégué sur l’authentification forte prévoit en effet que les PSPT doivent prendre
« les mesures nécessaires pour garantir qu'ils n'accèdent pas à des données ou qu'ils ne conservent ou ne traitent
pas de données à des fins autres que la prestation du service demandé par l'utilisateur de services de paiement »
438
LEBOUCHER S., « Les FinTechs s'inquiètent des API », Revue Banque n°809, 2017
439
Article 32 du Règlement délégué sur l’authentification forte.
467. Lorsqu’une faute à l’origine du préjudice d’un client est imputable à sa banque, le
client est censé obtenir dédommagement conformément à la réglementation. Or, la garantie
d’être dédommagé dans une telle situation a certainement tendance à alimenter la confiance
du client dans sa banque et les outils mis à sa disposition par cette dernière.
468. Lorsque la faute n’est pas directement imputable à sa banque, en revanche, la question
se complique car le client n’est souvent pas en mesure d’identifier lui-même le responsable.
C’est d’ailleurs dans cette optique que les moyens de paiement sont généralement proposés
avec une assurance des moyens de paiement441.
469. Par ailleurs, en France, contrairement, notamment, aux États-Unis, les dommages et
intérêts jouent un rôle indemnitaire et non punitif. Le client victime de fraude doit donc, en
principe, se contenter de son indemnisation, qui consiste à la remettre dans la situation dans
laquelle il se trouvait avant son préjudice (A). Un dépôt de plainte est néanmoins presque
440
Le second alinéa de l’article 73 de la DSP 2 dispose, en effet, ce qui suit :
« Lorsque l’opération de paiement est initiée par l’intermédiaire d’un prestataire de services d’initiation de
paiement, le prestataire de services de paiement gestionnaire du compte rembourse immédiatement, et en tout
état de cause au plus tard à la fin du premier jour ouvrable suivant, le montant de l’opération de paiement non
autorisée et, le cas échéant, rétablit le compte de paiement débité dans l’état où il se serait trouvé si l’opération
de paiement non autorisée n’avait pas eu lieu.
Si le prestataire de services d’initiation de paiement est responsable de l’opération de paiement non autorisée,
il indemnise immédiatement le prestataire de services de paiement gestionnaire du compte, à sa demande, pour
les pertes subies ou les sommes payées en raison du remboursement du payeur, y compris le montant de
l’opération de paiement non autorisée. Conformément à l’article 72, paragraphe 1, c’est au prestataire de
services d’initiation de paiement qu’incombe la charge de prouver que, pour ce qui le concerne, l’opération
en question a été authentifiée et dûment enregistrée et qu’elle n’a pas été affectée par une déficience technique
ou autre en relation avec le service de paiement qu’il doit assurer. »
441
MEINAC M., « Faut-il souscrire une assurance des moyens de paiement ? », Moneyvox, 2017, disponible
en ligne à l’adresse suivante : https://www.moneyvox.fr/banque/actualites/61770/faut-il-souscrire-une-
assurance-des-moyens-de-paiement,consulté le 11/03/2022.
470. Au-delà des sanctions pénales, certains actes répréhensibles, lorsqu’ils sont imputables
à un prestataire de services de paiement, sont également réprimés par des sanctions d’autres
natures (amendes administratives, retraits d’agréments...). Certains clients victimes de
fraudes ou de négligence, animés d’un désir vindicatif ou d’une volonté de justice peuvent
alors choisir de dénoncer aux autorités les actes dont ils ont été victimes pour « punir »
l’établissement au niveau de sa réputation (B).
471. Dans la mesure où la confiance numérique serait, selon nous, une confiance a priori
décidée, plutôt qu’assurée, que l’on déciderait d’accorder dans une situation de risque
numérique, la diminution ou suppression du risque semble être le meilleur moyen de
renforcer la confiance numérique d’un individu dans sa banque. Or, le risque zéro en
numérique n’existe pas, en raison, notamment, de l’évolution constante des technologies. Si
l’on ne peut supprimer le risque, on ne peut alors que le limiter, idéalement en le prévenant
au maximum, sinon en en réparant les conséquences : l’éventuel préjudice issu de la
matérialisation du risque.
472. La garantie, en cas de réalisation du risque, d’être indemnisé de son préjudice, est
indéniablement un élément de réassurance très fort mais encore faut-il pouvoir imputer la
faute à l’origine du préjudice au responsable de celle-ci. En réponse à la complexité d’une
éventuelle recherche de responsabilité dans un contexte bancaire numérique, la
réglementation a instauré un système d’indemnisation simplifié pour les individus, qui
présente cependant quelques travers que nous étudierons plus tard dans cette étude.
473. À ce stade, nous proposons de nous focaliser sur les modalités d’évaluation des
préjudices numériques issus des risques numériques auxquels le client bancaire est exposé
(A) et aux modalités d’indemnisation de ces derniers (B).
442
ANONYME, « Fraude à la carte bancaire », Site de l’UFC que choisir, disponible à l’adresse suivante :
https://www.quechoisir.org/service-fraude-a-la-carte-bancaire-n61290/,consulté le 11/03/2022.
474. Outre le fait même de percevoir une indemnisation, le client victime d’une fraude va
bien évidemment s’attendre à ce que ladite indemnisation soit juste, c’est-à-dire, dans le
cadre d’un préjudice financier, à ce que l’intégralité des sommes qui lui ont été subtilisées
lui soit remboursée. Or, si cela semble simple d’un premier abord, il peut être en réalité
relativement compliqué pour la banque d’avoir une idée certaine du montant qui fait l’objet
de la fraude lorsque celle-ci consiste en plusieurs opérations.
475. Prenons un exemple courant, celui d’un individu qui s’apercevrait que des achats en
ligne ont été effectués avec sa carte bancaire alors que cette dernière est encore en sa
possession. Si la fraude porte sur une seule et même opération dont les paramètres, tels que
le montant ou l’adresse depuis laquelle la commande a été passée sont incohérents avec les
habitudes du client, la banque peut raisonnablement admettre qu’il s’agisse
vraisemblablement d’une fraude.
476. En revanche, quand il s’agit de plusieurs achats, dont les montants, isolés, n’ont rien
de suspect, la banque peut avoir de réels doutes quant au nombre d’opérations qui sont
réellement issues d’une fraude. En ce sens, le préjudice patrimonial dans cette situation peut
être délicat à évaluer si ce n’est en se fiant uniquement à la bonne foi du client.
477. Ensuite, il ne faut pas écarter le fait qu’un préjudice puisse ne pas être exclusivement
patrimonial. Un préjudice moral pourrait également résulter d’une fraude aux moyens de
paiements. En l’occurrence, on peut tout à fait imaginer qu’un client subisse un préjudice
moral dans le cadre d’une fraude, telle qu’une atteinte à sa vie privée, qui serait matérialisée
par la diffusion d’informations sur ses revenus et dépenses à des tiers non autorisés.
478. Chaque année, l’Observatoire de la Sécurité des Moyens de Paiement443, l’OSMP, qui
a remplacé en 2012 l’Observatoire de la sécurité des cartes de paiement444, publie un rapport
443
Page dédiée à l’Observatoire de la Sécurité des Moyens de Paiement sur le site officiel de la Banque de
France, disponible à l’adresse suivante : https://www.banque-france.fr/stabilite-financiere/observatoire-de-la-
securite-des-moyens-de-paiement,consulté le 11/03/2022.
Loi n° 2016-1691 du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la
444
479. En ce qui concerne les paiements en ligne, l’OSMP nous apporte une précision
importante : seulement 22% des transactions par carte bancaire ont été réalisées en ligne.
Pourtant, deux tiers des fraudes aux paiements par carte bancaire interviennent en ligne448.
Cette information semble donc bien confirmer que les risques de fraudes sont exacerbés
quand il s’agit de réaliser un achat en ligne et que les mesures de sécurité mises en place par
les banques et commerçants ne suffisent pas toujours à empêcher la réalisation de ce type de
risque.
480. La généralisation de l’authentification forte, dont nous traiterons plus tard dans cette
étude, permettra peut-être, à terme, de limiter davantage, si ce n’est empêcher, les fraudes
aux moyens de paiement dans le cadre de paiements en ligne449. À défaut, le client ne pourra
que compter sur une bonne indemnisation de son préjudice pour utiliser ses moyens de
paiements en toute confiance.
445
Les rapports d’activité de l’Observatoire de la Sécurité des Moyens de Paiement sont disponibles sur le site
de la Banque de France à l’adresse suivante : https://www.banque-france.fr/liste-chronologique/rapports-
dactivite,consulté le 11/03/2022.
446
En 2020, 55% des transactions étaient réalisées par cartes bancaires comme nous l’indique la page 19 du
rapport de l’OSMP de 2020. OSMP, « Rapport annuel 2020 », 2021, 19.
447
OSMP, « Rapport annuel 2020 », 2021, Page 22
448
OSMP, « Rapport annuel 2020 », 2021, 6
449
LASSERRE CAPDEVILLE J., « Quelques enseignements résultant du rapport de l'Observatoire de la
sécurité des moyens de paiement pour l'année 2019 », JCP E n° 42, 15 Octobre 2020, act. 696
481. Une fois que les questions de l’imputabilité et de l’évaluation du préjudice ont été
réglées, le client va s’attendre à percevoir rapidement son indemnisation. Plusieurs situations
doivent être considérées à ce stade.
482. D’abord, étudions la situation du client qui ne dispose pas d’une assurance de ses
moyens de paiement. Les assurances de moyens de paiement sont généralement proposées
par le prestataire de services de paiement à son client lors de la commande d’une carte
bancaire ou d’un chéquier. Ces assurances étant généralement payantes, certains clients sont
alors tentés de ne pas y souscrire, soit parce qu’ils considèrent que le régime légal
d’indemnisation est suffisamment protecteur soit parce qu’ils s’estiment peu exposés au
risque de fraude aux moyens de paiement et trouvent ce type d’assurance trop cher.
483. Ensuite, dans l’hypothèse où le client a bien souscrit une assurance pour ses moyens
de paiement, il obtient une protection complémentaire en ce que la franchise de 50 euros
prévue par la réglementation pour les montants subtilisés avant opposition 450 lui sera
remboursée. L’association de consommateurs UFC que choisir publie régulièrement des
articles au sujet de l’indemnisation des fraudes aux moyens de paiement451 pour aider les
individus victimes de fraude à obtenir une indemnisation. Dans ces articles, il est souvent
souligné le fait que les banques sont de plus en plus réticentes à indemniser les clients
victimes de fraude.
484. En effet, comme nous le verrons dans la suite de nos travaux, la notion de négligence
anime de nombreux débats en matière d’indemnisation des victimes de fraudes aux moyens
de paiement. Les prestataires de services de paiement semblent considérer que plus les
mesures de sécurité sont robustes, plus il est évident qu’un client, victime de fraude en dépit
de l’application des mesures de sécurité, a été négligent. Or, même le recours à des
dispositifs dits très fiables n’est pas infaillible. L’UFC que choisir nous indique pourtant
450
Article L133-19 du Code Monétaire et Financier
TOUSTOU E., « Fraudes à la carte bancaire - En hausse mais pas mieux remboursées », UFC que choisir,
451
2021
485. L’indemnisation de son préjudice n’est pour autant pas toujours la seule motivation
qui anime la victime de fraude lorsqu’elle entame des démarches. La répression d’un
comportement frauduleux, ou le désir d’éviter que de tels faits se reproduisent peuvent aussi
les justifier.
486. Outre l’indemnisation de leurs préjudices, les victimes d’une fraude bancaire ou de la
négligence de leur banque peuvent s’attendre à ce que le responsable soit par ailleurs puni
pour son action ou sa négligence. Si ce type de démarche ne présente aucun intérêt
patrimonial pour la victime, contrairement à une recherche d’indemnisation, les dispositifs
répressifs sont néanmoins relativement nombreux en la matière, qu’il s’agisse de sanctions
administratives, de sanctions disciplinaires ou de sanctions pénales. Mais alors, si le client
n’a pas d’intérêt patrimonial à agir, comment expliquer l’intérêt de ces dispositifs
répressifs ?
487. Concernant les sanctions pénales, la réponse est inhérente à la matière, il s’agit de
sanctionner un trouble à l’ordre public, et ainsi, pour la victime, d’avoir la satisfaction de
voir le responsable assumer les conséquences de ses actes. Concernant les sanctions
administratives, les clients victimes pourraient être animés d’un désir de voir l’établissement
responsable perdre son autorisation d’exercer en adressant une plainte ou un signalement à
l’autorité en question.
488. Une pratique couramment utilisée par les autorités administratives et organes de
contrôle nous intéresse particulièrement au regard de nos recherches : celle visant à rendre
publiques les sanctions rendues à l’encontre des contrevenants (A). Or, cette pratique n’a
452
ANONYME., « Fraude à la carte bancaire et crise sanitaire - Les consommateurs font toujours plus les frais
de fraudes », UFC que choisir, 2020
489. Parmi l’éventail de sanctions envisageables, la pratique du name and shame est
particulièrement intéressante au regard de l’effet que semblent rechercher ceux qui y
recourent. Comme son nom l’indique, cette pratique consiste à accuser une personne
physique ou personne morale publiquement (name) pour que celle-ci soit pointée du doigt
pour son erreur ou sa faute (shame). Cette pratique s’observe chez les individus et
entreprises, mais aussi, plus étonnamment chez les autorités administratives.
491. Ainsi, les autorités telles que l’Autorité de la Concurrence, la Direction générale de la
concurrence de la consommation et de la répression des fraudes, la CNIL et l’AMF recourent
régulièrement à ce type de pratique. Qu’il s’agisse de publier la sanction sur leur propre site
internet, ou d’ordonner à l’entreprise sanctionnée de publier, à ses frais, la sanction, y
compris dans la presse ou sur ses propres supports.
492. En effet, la formation restreinte de la CNIL est investie de ce pouvoir par l’article 22
de la loi informatique et libertés 454 , l’AMF, par l’article L621-15 du code monétaire et
453
CHUILON CROLL J. ET MELIK PARSADANIANTZ R-M., « Réputation et compliance, quels enjeux
? », Revues des Juristes de Sciences Po n° 16, 2019.
454
Extrait de l’article 22 de la Loi informatique et libertés : « La formation restreinte peut rendre publiques
les mesures qu'elle prend. Elle peut également ordonner leur insertion dans des publications, journaux et
supports qu'elle désigne, aux frais des personnes sanctionnées.”
493. L’objectif de ce type de sanctions est très clair, pour reprendre les propos de l’Autorité
de la concurrence, il s’agit « d’informer les entreprises du secteur et/ou le grand public de
la nocivité du comportement illicite ». Aussi, les autorités s’assurent que lesdites sanctions
soient publiées dans un format qui en permette la compréhension par le grand public.
494. L’intégralité des sanctions rendues par la Commission des Sanctions de l’AMF est à
ce titre disponible sur son site internet458, de même que celles de la CNIL, qui les met par
455
Extrait de l’article L621-15 du Code Monétaire et Financier : « V. – La décision de la commission des
sanctions est rendue publique dans les publications, journaux ou supports qu'elle désigne, dans un format
proportionné à la faute commise et à la sanction infligée. Les frais sont supportés par les personnes
sanctionnées. »
456
Extrait de l’article L464-2 du code de commerce : « L'Autorité de la concurrence peut ordonner la
publication, la diffusion ou l'affichage de sa décision ou d'un extrait de celle-ci selon les modalités qu'elle
précise. Elle peut également ordonner l'insertion de la décision ou de l'extrait de celle-ci dans le rapport établi
sur les opérations de l'exercice par les gérants, le conseil d'administration ou le directoire de l'entreprise. Les
frais sont supportés par la personne intéressée.
Les entreprises ou groupements d'entreprises ayant fait l'objet d'une injonction de l'Autorité de la concurrence
en raison de pratiques contraires aux mesures prises en application de l'article L. 410-3 doivent rendre
publique cette injonction en la publiant, à leurs frais, dans la presse quotidienne locale, selon des modalités
précisées par l'Autorité de la concurrence. Cette publication mentionne, le cas échéant, l'existence d'un recours
formé à l'encontre de l'injonction. »
457
Extrait de l’article L470-2 du code de commerce : « V.-La décision prononcée par l'autorité administrative
peut être publiée sur le site internet de cette autorité administrative et, aux frais de la personne sanctionnée,
sur d'autres supports.
La décision prononcée par l'autorité administrative en application de l'article L. 441-16 est publiée sur le site
internet de cette autorité administrative et, aux frais de la personne sanctionnée, sur un support habilité à
recevoir des annonces légales que cette dernière aura choisi dans le département où elle est domiciliée. La
décision peut en outre être publiée, à ses frais, sur d'autres supports.
L'autorité administrative doit préalablement avoir informé la personne sanctionnée, lors de la procédure
contradictoire fixée au IV du présent article, de la nature et des modalités de publicité de sa décision.
En cas d'inexécution par la personne sanctionnée de la mesure de publicité, l'autorité administrative peut la
mettre en demeure de publier la décision sous une astreinte journalière de 150 € à compter de la notification
de la mise en demeure jusqu'à publication effective. »
458
Les décisions de la Commission des sanctions de l’AMF sont disponibles en ligne à l’adresse suivante :
https://www.amf-france.org/fr/sanction-transaction/Decisions-de-la-commission-des-
sanctions/listing_sanction,consulté le 11/03/2022.
495. Au-delà des sanctions publiées par les autorités, la pratique visant en la diffusion
d’informations, souvent compromettantes, surnommés « Leaks 460 » et du lancement
d’alerte461, couramment appelé « Whistle blowing462 » participent également à la pratique
du name and shame. Il s’agit, là aussi, de rendre public un manquement à la réglementation
ou une pratique immorale constatée chez une entreprise. Ces manquements étant souvent
dévoilés par le personnel de l’entreprise en question, un dispositif de protection est prévu
par la réglementation463, l’objectif étant de limiter le pouvoir de dissuasion de l’entreprise et
les répercussions que pourrait subir le collaborateur qui contribuerai au lancement d’une
alerte464.
496. Les clients ayant vécu une mauvaise expérience auprès de telle ou telle banque
n’hésitent également pas à laisser des avis publics en ligne, en vue, généralement, d’avertir
les autres clients potentiels du risque qu’ils prennent à faire affaire avec ladite banque. À ce
titre, et au regard de l’incidence que peuvent avoir les commentaires sur le comportement
des individus qui les liraient, la réglementation prévoir un certain nombre de règles. Ainsi,
459
Par exemple, voir la synthèse de la sanction du 27 juillet 2021 rendue à l'encontre du Figaro (CNIL,
Délibération SAN-2021-013 du 27 juillet 2021), disponible en ligne à l’adresse suivante :
https://www.cnil.fr/fr/cookies-sanction-de-50-000-euros-lencontre-de-la-societe-du-figaro,consulté le
11/03/2022.
460
Pratique qui consiste à rendre publique une information compromettante concernant un individu ou une
institution pour le pointer du doigt.
461
DEJEAN DE LA BATIE A., « Lanceurs d’alerte », J. Cl. Communication, Fasc18-50, 2021
462
Nom donné à la pratique du lancement d’alerte dans les pays anglophones.
463
Articles L1132-1 et suivants du code du travail ; Lire LANCRI M., « La protection du lanceur d’alerte »,
Cahiers de droit de l’entreprise n° 1, Janvier 2018, dossier 1 ; ALT E., « De nouvelles protections pour les
lanceurs d'alerte - À propos de la loi n° 2016-1691 du 9 décembre 2016 », JCP Gn° 4, 23 Janvier 2017, doctr.
90 ; FEUGERE W., « La protection des lanceurs d'alerte, un enjeu sociétal », Cahiers de droit de l’entreprise
n° 3, Mai 2019, éditorial 3 ; Le dispositif de protection des lanceurs d’alerte sera prochainement renforcé dans
le cadre de la Proposition de loi visant à améliorer la protection des lanceurs d’alerte, déposée le 21 juillet
2021.
464
Voir les dispositions de l’article L1132-3-3 du code du travail par exemple : «Aucune personne ne peut être
écartée d'une procédure de recrutement ou de l'accès à un stage ou à une période de formation professionnelle,
aucun salarié ne peut être sanctionné, licencié ou faire l'objet d'une mesure discriminatoire, directe ou
indirecte, notamment en matière de rémunération, au sens de l'article L. 3221-3, de mesures d'intéressement
ou de distribution d'actions, de formation, de reclassement, d'affectation, de qualification, de classification, de
promotion professionnelle, de mutation ou de renouvellement de contrat, pour avoir signalé une alerte dans le
respect des articles 6 à 8 de la loi n° 2016-1691 du 9 décembre 2016 relative à la transparence, à la lutte
contre la corruption et à la modernisation de la vie économique. ».
497. Parmi les informations à fournir, figurent notamment, s’il y en a, les modalités de
contrôle desdits avis, l’existence ou non de contrepartie au dépôt des avis et les critères de
classement des avis. Ces mesures visent bien évidemment à éviter d’influencer les
consommateurs par des avis artificiels qui pourraient être utilisés à des fins de publicité465.
498. Les banques pourraient naturellement être également tentées de recourir à la pratique
du name and shame, en mettant en avant des faits pouvant porter atteinte à l’image d’un
concurrent et ainsi détourner leur clientèle. Cependant, elles s’exposeraient alors à des
sanctions car une telle démarche pourrait être qualifiée de dénigrement 466 , c’est-à-dire,
comme l’a défini la chambre commerciale de la cour de cassation dans un arrêt du 24
décembre 2013467, « la divulgation d'une information de nature à jeter le discrédit sur un
concurrent ».
499. Précision importante, le fait que l’information divulguée par une entreprise
concernant son concurrent soit véridique n’a pas d’incidence sur la constitution d’un acte de
dénigrement comme l’avait précisé un arrêt de la Cour d’appel de Versailles du 9 septembre
1999468 en indiquant que le dénigrement consistait à « porter atteinte à l'image de marque
d'une entreprise ou d'un produit désigné ou identifiable afin de détourner la clientèle en
usant de propos ou d'arguments répréhensibles ayant ou non une base exacte, diffusés ou
émis en tout cas de manière à toucher les clients de l'entreprise visée, concurrente ou non
de celle qui en est l'auteur ».
465
ARCELIN L., « Synthèse - Publicité », J. Cl Concurrence – Consommation, 2020
466
LE GOFFIC C., « Dénigrement », J. CL Concurrence Consommation, Fasc. 210, 2021
467
Cass. Com., 24 sept. 2013, n° 12-19.790, Bull. civ. IV, n° 139 ; MOUILLARD A., Obs. sous Cass. Com.,
24 sept. 2013, RJDA 2013, n° 12, p. 911, MALAURIE-VIGNAL M., obs. sous Cass. Com., 24 sept. 2013,
Contrats, conc. consom. 2013, comm. 262; DELPECH X., Obs. sous Cass. Com., 24 sept. 2013, D. 2013,
p. 2270
CA Versailles, 9 sept. 1999 ; Voir SERRA Y., Obs. sous CA Versailles, 9 sept. 1999, D. 2000, somm. p.
468
311
501. Il y aurait donc des entreprises dont la présence est tellement ancrée dans le quotidien
des individus que le fait de mettre en avant leurs manquements n’aurait pas d’effet sur la
confiance que les individus leur accordent.
503. En effet, le fait, pour un client, de voir qu’un établissement avec lequel il fait affaire a
été condamné, devrait en principe conduire celui-ci à perdre la confiance qu’il avait dans ce
dernier. Pourtant, cela ne semble pas systématique puisque certaines sanctions rendues à
l’encontre de grandes entreprises n’ont pas eu cette conséquence.
504. Parmi les établissements publiquement sanctionnés, se trouvent d’un côté des géants,
comme les GAFAM, dont la notoriété suffit visiblement à insuffler la confiance des
individus, et de l’autre, des entreprises moins connues qui doivent s’efforcer de gagner la
confiance des individus et qui sont bien moins résilientes face aux conséquences d’une
éventuelle sanction.
469
Par exemple, en 2021, Facebook comptait plus de 300 millions d’utilisateurs en Europe d’après son rapport
annuel de 2020. Le rapport est disponible en ligne à l’adresse suivante:
https://d18rn0p25nwr6d.cloudfront.net/CIK-0001326801/4dd7fa7f-1a51-4ed9-b9df-
7f42cc3321eb.pdf,consulté le 11/03/2022.
470
BENOIS F-R., « Le name and shame », Revues des Juristes de Sciences Po n° 20, Février 2021, 21
471
Délibération de la CNIL n° 2011-035 du 17 mars 2011 concernant la société GOOGLE ; DEBET A.,
« Affaire Google Street View : une sanction exemplaire..., mais quelles suites ? », Comm. com. électr. n° 1,
Janvier 2012, étude 1 ; Délibération de la formation restreinte de la CNIL n° SAN-2019-001 du 21 janvier
2019 concernant la société GOOGLE
Délibération de la formation restreinte n° SAN-2020-012 du 7 décembre 2020 concernant les sociétés
GOOGLE LLC et GOOGLE IRELAND LIMITED ; SCEMAMA D., « Décryptage des sanctions de la CNIL
à l'encontre de Google et d'Amazon en matière de traçage publicitaire », Revue Internationale de la Compliance
et de l'Éthique des Affaires n° 1, Février 2021, comm. 54
472
Délibération de la formation restreinte n° SAN-2020-013 du 7 décembre 2020 concernant la société
AMAZON EUROPE CORE ; BOURGEOIS M., et THIBIERGE L., « Chronique de droit de la donnée », JCP
E n° 26, 1er Juillet 2021, 1331
473
La CNIL a estimé que « l’information fournie aux personnes concernées était trompeuse et déloyale dès
lors que la société avait expressément indiqué, dans cette même mention d’information, qu’elle s’engage[ait]
à ne transmettre aucune autre information à Carrefour Fidélité que les noms, prénoms et adresse électronique
des souscripteurs à la carte Pass alors même que tel n’était précisément pas le cas » ; Délibération de la
formation restreinte n° SAN-2020-008 du 18 novembre 2020 concernant la société CARREFOUR France ;
Délibération de la formation restreinte n° SAN-2020-009 du 18 novembre 2020 concernant la société
CARREFOUR BANQUE
508. Les techniques mises en place par les banques pour garantir la traçabilité des actes
réalisés par leurs clients sont, en effet, primordiales quand il s’agit notamment de pouvoir
les dissocier d’un tiers agissant à leur place. Que ce tiers agisse légitimement, dans le cadre
d’un contrat qu’il aurait lui-même passé avec le client, ou qu’il s’agisse d’un fraudeur.
510. En effet, à défaut de pouvoir empêcher la réalisation d’un risque, le fait, pour un
individu, de savoir qu’il sera justement indemnisé, et que le responsable de son préjudice
sera, de quelque manière, puni, peut être perçu par certains comme un élément de
réassurance, et par extension, de confiance.
511. À ce titre, certains individus choisissent de souscrire des assurances pour leurs moyens
de paiements et d’autres estiment être suffisamment protégés par le régime d’indemnisation
légal, qui est extrêmement protecteur des clients.
513. Outre la question de la traçabilité, qui a toute son importance quand il s’agit d’obtenir
réparation d’un préjudice, le sujet de la fiabilité des outils numériques mis à disposition des
clients par leurs banques et autres prestataires de services de paiement semble lui aussi
entretenir un lien étroit avec celui de la confiance numérique.
514. En effet, la crainte des actes de cyber malveillance impliquant les outils numériques
mis à disposition des individus par leurs banques est un argument souvent avancé par les
réfractaires à l’utilisation de ces outils. Les cas de fraude liés au paiement sans contact par
exemple, conduisent certains clients à demander la désactivation de la fonctionnalité de peur
que la perte ou le vol de leur carte bancaire mène à la réalisation de paiements frauduleux,
quand bien même les taux de fraude en la matière sont relativement faibles474.
515. Il est important que le client puisse avoir confiance dans la capacité de sa banque à
protéger les nombreux éléments que ce dernier lui confie, tels que son argent, la gestion de
son patrimoine, ses données, ses projets. Pour protéger les biens et intérêts de son client dans
un contexte numérique, la banque est ainsi contrainte de sélectionner des outils et techniques
de sécurité suffisamment fiables et robustes pour limiter au maximum les risques numériques
tels que les fuites de données, les actes de cyber malveillance, ou encore l’altération voire la
destruction accidentelle de données.
516. La banque, en tant que tiers de confiance, se doit donc d’être extrêmement vigilante
quant aux services et outils auxquels elle accorde elle-même sa confiance pour protéger les
intérêts de ses clients, en particulier quand il s’agit de déterminer les mesures de sécurité des
interfaces permettant l’accès aux données bancaires (Section I) et le choix des moyens de
paiement mis à disposition (Section II).
474
LASSERRE CAPDEVILLE J., « Quelques enseignements résultant du rapport de l'Observatoire de la
sécurité des moyens de paiement pour l'année 2019 », JCP E n° 42, 15 Octobre 2020, act. 696
517. Lorsqu’un individu choisi de confier son patrimoine à une banque, il fait naturellement
confiance à celle-ci pour mettre en place des mesures adéquates pour en garantir l’intégrité,
la sécurité et la confidentialité. Or, la grande majorité des interfaces bancaires et autres
outils mis à disposition des clients font en réalité intervenir des prestataires de la banque,
tels que des hébergeurs de données par exemple.
518. En principe, le client ne va pas se soucier de cette réalité technique, l’identité des sous-
traitants étant par ailleurs généralement à la discrétion de la banque, mais surtout sous sa
responsabilité. La confiance que le client accorde à sa banque peut donc, de fait, être mise à
mal par une défaillance des sous-traitants de cette dernière, ce qui implique de sélectionner
des prestataires de qualité.
519. À ce titre, de nombreux sous-traitants de banques ont la qualité, dans le cadre de leur
relation contractuelle avec ladite banque, de Prestataires de Services Essentiels Externalisés,
dits PSEE ou encore Sous-Traitants Importants ou Critiques, dits STIC475. Les statuts de
PSEE et STIC concernent, comme leur nom l’indique, les prestations essentielles à l’activité
de la banque, dont la défaillance pourrait avoir des conséquences critiques, ce qui inclut
généralement a minima les prestations d’hébergement, de maintenance et tout ce qui a trait
à la sécurité des systèmes d’information.
520. Au regard de l’importance des activités sous-traitées, les banques sont légalement
tenues d’assurer un contrôle rigoureux de ces prestataires, ce qui se manifeste
contractuellement par des clauses d’audit renforcées, ainsi que des conventions de services
particulièrement exigeantes en termes, notamment, de disponibilité de la solution et de délai
de résolution des incidents. Or, si ce dispositif permet effectivement de limiter la probabilité
de réalisation d’un risque numérique qui trouverait sa cause dans un manquement du
prestataire à ses obligations contractuelles, elles ne permettent en aucun cas de les supprimer
complètement, certains d’entre eux pouvant tout simplement être accidentels ou provenir
475
Arrêté du 3 novembre 2014 relatif au contrôle interne des entreprises du secteur de la banque, des services
de paiement et des services d'investissement soumises au contrôle de l'Autorité de contrôle prudentiel et de
résolution, NOR : FCPT1423259A, JORF n°0256 du 5 novembre 2014
523. Dans cette section, nous proposons d’étudier les principaux risques numériques
auxquels les outils des banques semblent être exposés : les atteintes aux STADS (§1) et
l’usurpation d’identité de leurs clients (§2).
476
STORRER P, « Le risque informatique fait son entrée dans l’arrêté du 3 novembre 2014 relatif au contrôle
interne », Revue Banque n°855, 2021
477
ANONYME, L’incendie chez OVH évapore une partie du cloud français, Revue Banque n°855, 2021
478
Articles 21 à 24 de la proposition de Règlement sur la résilience opérationnelle numérique du secteur
financier et modifiant les règlements (CE) no 1060/2009, (UE) no 648/2012, (UE) no 600/2014 et (UE) no
909/2014, dit Règlement DORA, du 24 septembre 2020, 2020/0266 (COD)
479
Articles 25 à 39 de la Proposition de Règlement sur la résilience opérationnelle numérique du secteur
financier et modifiant les règlements (CE) no 1060/2009, (UE) no 648/2012, (UE) no 600/2014 et (UE) no
909/2014, dit Règlement DORA, du 24 septembre 2020, 2020/0266 (COD)
524. Introduites dans le Code pénal par la Loi n°88-19 du 5 janvier 1988, dite Loi
Godfrain 480 , les dispositions concernant les atteintes aux Systèmes de Traitements de
Données Automatisés, dits STAD, désignent différents types de comportements
répréhensibles visant des systèmes d’information481. Ainsi, sont constitutifs d’une atteinte
aux STAD, le fait « d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d'un
système de traitement automatisé de données » 482 , le fait « d'entraver ou de fausser le
fonctionnement d'un système de traitement automatisé de données »483, le fait « d'introduire
frauduleusement des données dans un système de traitement automatisé, d'extraire, de
détenir, de reproduire, de transmettre, de supprimer ou de modifier frauduleusement les
données qu'il contient »484, et le fait, « sans motif légitime, notamment de recherche ou de
480
Loi n° 88-19 du 5 janvier 1988 relative à la fraude informatique
481
DAURY FAUVEAU M., « Atteintes aux systèmes de traitement automatisé de données. – Code pénal,
articles 323-1 à 323-8 », J. Cl Pénal, Fasc. 20, 2021 ; CAPRIOLI E., « Entente ayant pour but d'entraver le
fonctionnement d'un STAD », Comm. com. électr. n° 4, Avril 2018, comm. 31 ; CAPRIOLI E., « Relaxe pour
accès au STAD non protégé mais condamnation pour maintien dans le STAD et vol de fichiers informatiques »,
Comm. com. électr. n° 4, Avril 2014, comm. 40 ; CAPRIOLI E., « Accès frauduleux à un STAD », Comm.
com. électr. n° 7-8, Juillet 2018, comm. 59 ; CAPRIOLI E., « Les atteintes frauduleuses à un STAD restent
d'interprétation stricte », Comm. com. électr. n° 5, Mai 2020, comm. 45
482
Article 323-1 du code pénal : « Le fait d'accéder ou de se maintenir, frauduleusement, dans tout ou partie
d'un système de traitement automatisé de données est puni de deux ans d'emprisonnement et de 60 000 €
d'amende.
Lorsqu'il en est résulté soit la suppression ou la modification de données contenues dans le système, soit une
altération du fonctionnement de ce système, la peine est de trois ans d'emprisonnement et de 100 000 €
d'amende.
Lorsque les infractions prévues aux deux premiers alinéas ont été commises à l'encontre d'un système de
traitement automatisé de données à caractère personnel mis en œuvre par l'Etat, la peine est portée à cinq ans
d'emprisonnement et à 150 000 € d'amende. »
483
Article 323-2 du code pénal : « Le fait d'entraver ou de fausser le fonctionnement d'un système de traitement
automatisé de données est puni de cinq ans d'emprisonnement et de 150 000 € d'amende.
Lorsque cette infraction a été commise à l'encontre d'un système de traitement automatisé de données à
caractère personnel mis en œuvre par l'Etat, la peine est portée à sept ans d'emprisonnement et à 300 000 €
d'amende. »
484
Article 323-3 du code pénal : « Le fait d'introduire frauduleusement des données dans un système de
traitement automatisé, d'extraire, de détenir, de reproduire, de transmettre, de supprimer ou de modifier
frauduleusement les données qu'il contient est puni de cinq ans d'emprisonnement et de 150 000 € d'amende.
Lorsque cette infraction a été commise à l'encontre d'un système de traitement automatisé de données à
caractère personnel mis en œuvre par l'Etat, la peine est portée à sept ans d'emprisonnement et à 300 000 €
d'amende. »
525. Au regard de la sensibilité des données contenues dans les systèmes d’information des
banques, ces dernières sont particulièrement vigilantes face aux risques d’atteintes aux
STAD et mettent en place des mesures de sécurité rigoureuses visant à les prévenir (A), les
sanctions prévues par le Code pénal ne suffisant pas toujours à dissuader ces comportements
(B).
526. Si toutes les entreprises ont intérêt à mettre en place des mesures de sécurité
rigoureuses quand il s’agit de sécuriser l’accès à leurs systèmes d’information, les banques
font partie de celles pour lesquelles une telle intrusion serait des plus dommageable pour
leur clientèle. C’est pourquoi les exigences réglementaires en la matière sont aussi
rigoureuses486, de même que les mesures de sécurité spontanément mises en place par les
banques.
527. Comme toute entreprise mettant à disposition de leurs clients une interface d’accès à
un espace personnel, les banques ont généralement au moins deux interfaces susceptibles
d’être ciblées lors d’une atteinte aux STAD : l’interface de la clientèle et celle des
collaborateurs. Or, si les collaborateurs sont très largement sensibilisés aux risques en la
matière et aux procédures à appliquer en cas de suspicion d’atteinte aux STAD de la banque,
il ne peut pas toujours en être dit autant des clients.
485
Article 323-3-1 du code pénal : « Le fait, sans motif légitime, notamment de recherche ou de sécurité
informatique, d'importer, de détenir, d'offrir, de céder ou de mettre à disposition un équipement, un instrument,
un programme informatique ou toute donnée conçus ou spécialement adaptés pour commettre une ou plusieurs
des infractions prévues par les articles 323-1 à 323-3 est puni des peines prévues respectivement pour
l'infraction elle-même ou pour l'infraction la plus sévèrement réprimée. »
486
Cela s’explique également en raison de la qualification de certaines banques d’Opérateurs de Services
Essentiels au sens de la directive (UE) 2016/1148 du Parlement européen et du Conseil du 6 juillet 2016
concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes
d'information dans l'Union. A ce sujet, lire DOUVILLE T, « Cybersécurité : transposition de la directive NIS,
ses limites et ses conséquences », JCP E n° 15-16, 12 Avril 2018, act. 284
529. À ce titre, il semble que l’une des plus grandes faiblesses des STAD se situe au niveau
des interfaces clients, la robustesse de ces dernières étant très dépendantes du comportement
des clients et des précautions qu’ils prennent ou non. Les banques sont donc contraintes de
principalement se reposer sur les mesures techniques de sécurité et le caractère dissuasif des
peines applicables en cas d’atteinte à un STAD pour protéger leurs systèmes d’information
contre une intrusion au travers des interfaces clients.
530. Bien que l’accès à un STAD bancaire soit potentiellement plus dommageable que
l’atteinte aux STAD de certaines autres entreprises, il n’existe pas, à ce jour487, d’infraction
qui leur soit spécifique. Ainsi, un individu qui s’infiltrerait illégalement dans le système
d’information d’un commerce s’exposerait aux mêmes sanctions s’il s’infiltrait dans le
système d’information d’une banque quand bien même le préjudice potentiel peut être bien
plus élevé dans ce dernier cas.
531. Les articles 323-1 et suivants du Code pénal 488 prévoient pourtant bien des peines
aggravées en cas d’atteinte à certains STAD, mais cela ne concerne que les STAD mis en
œuvre par l’État489. En effet, les atteintes aux STAD constituent des délits punis d’une peine
pouvant aller jusqu’à 10 ans d’emprisonnement et 300 000 euros d’amende lorsqu’elles sont
réalisées en bande organisée et visent des STAD mis en œuvre par l’État, alors que la peine
487
En décembre 2021
488
Articles 323-1 et suivants du code pénal
489
L’alinéa 3 de l’article 323-1 du code pénal dispose par exemple que « Lorsque les infractions prévues aux
deux premiers alinéas ont été commises à l'encontre d'un système de traitement automatisé de données à
caractère personnel mis en œuvre par l'État, la peine est portée à cinq ans d'emprisonnement et à 150 000 €
d'amende. »
532. Cette situation peut sembler étonnante, dans la mesure, où les banques et autres
prestataires de services de paiement disposent d’informations autant, sinon plus sensibles,
que celles détenues par certaines administrations, mais ce n’est pas une spécificité de cette
infraction puisque les circonstances impliquant l’État ou ses agents sont presque toujours
des circonstances aggravantes, qu’elles soient victimes ou coupables d’une infraction.
533. Le fait pour une banque d’admettre qu’elle a été victime d’une atteinte à un STAD
peut effrayer sa clientèle, qui peut perdre confiance dans la capacité de celle-ci à protéger
ses données et son patrimoine. Les banques pourraient donc être tentées de ne pas révéler ce
type d’évènement. Pour éviter ce type de pratique, le RGPD et la Loi informatiques et
libertés prévoient, dans l’hypothèse où l’atteinte à un STAD a concerné des données à
caractère personnel et qu’il en ressort un risque pour la vie privée des personnes concernées,
l’obligation pour les responsables de traitement d’avertir la CNIL sous 72 heures. En cas de
risque élevé pour la vie privée des individus dont les données à caractère personnel ont été
atteintes, ces derniers doivent par ailleurs également être avertis491.
534. Le fait, pour un individu de savoir qu’un tiers malveillant a potentiellement accédé à
ses données à caractère personnel peut être particulièrement dérangeant au regard des autres
comportements frauduleux qui peuvent en découler, tels que les usurpations d’identité.
490
En effet, les articles 322-3 et 323-3 du Code Pénal prévoient des peines maximales de 5 ans
d’emprisonnement et 150 000 euros d’amende en cas d’atteinte à un STAD qui n’est pas mis en œuvre par
l’État.
491
Article 33 alinéa 1 du RGPD : « En cas de violation de données à caractère personnel, le responsable du
traitement en notifie la violation en question à l'autorité de contrôle compétente conformément à l'article 55,
dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance, à moins que
la violation en question ne soit pas susceptible d'engendrer un risque pour les droits et libertés des personnes
physiques. Lorsque la notification à l'autorité de contrôle n'a pas lieu dans les 72 heures, elle est accompagnée
des motifs du retard. »
535. Si les clients craignent naturellement le fait qu’un individu non autorisé puisse accéder
à leur espace de banque à distance, cette crainte peut être justifiée autrement que par le seul
risque qu’il fait porter sur leur vie privée.
536. En effet, il existe par ailleurs le risque que les données bancaires ne soient que la porte
d’entrée à d’autres infractions, telles qu’une usurpation d’identité. Or, il peut être compliqué
pour un individu d’apporter la preuve qu’il n’est pas à l’origine des actes frauduleusement
réalisés, surtout si ses identifiants ont été utilisés à cette fin.
537. À ce sujet, il semble important de rappeler que le risque humain est particulièrement
présent et difficilement contrôlable par les banques (A), de même que les risques engendrés
par certaines technologies, que les individus utilisent parfois sans prendre les précautions
nécessaires (B).
538. Si depuis le début de cette étude, nous parlons principalement du risque informatique,
qui semble occuper une place importante dans la question de la confiance numérique, il
semble important de préciser un élément : de nombreux risques informatiques ont en réalité
à leur origine un risque humain. L’Agence Nationale de la Sécurité des Systèmes
d’Information, l’ANSSI a d’ailleurs publié un guide sur la gestion du risque numérique dans
lequel elle présente plusieurs recommandations liées au risque humain492.
539. En effet, si une intrusion par la force brute dans un STAD est tout à fait possible, elle
reste extrêmement compliquée en raison des nombreuses mesures de sécurité existantes
telles que le chiffrement des données et les dispositifs d’authentification à multiples facteurs.
C’est pourquoi certains pirates informatiques vont plutôt cibler le maillon faible dans la
chaîne de sécurité des banques : leurs collaborateurs ou clients.
492
ANSSI, “Maîtrise du risque numérique, l’atout confiance”, 2019. Le guide est disponible en ligne à l’adresse
suivante :
https://www.ssi.gouv.fr/uploads/2019/11/anssi_amrae-guide-maîtrise_risque_numerique-
atout_confiance.pdf,consulté le 11/03/2022.
541. Outre ces négligences ou erreurs, il faut également noter que les pirates informatiques
ont recours à des pratiques visant à capitaliser sur la négligence ou le caractère peu averti de
certains individus, notamment au travers des attaques dites de « phishing » , aussi appelées
« hameçonnages », qui consistent à se faire passer pour un autre au travers d’un e-mail ou
autre interface et d’inviter un individu à renseigner ses identifiants ou autres informations
confidentielles sur un site qu’il croit fiable494.
542. Notons également l’usage des keyloggers, qui consistent en l’installation d’un logiciel
espion sur l’appareil du client qui enregistrera toutes les données saisies à l’aide du clavier,
parmi lesquels ses mots de passes et identifiants.
543. Pour se prémunir de ces risques, les entreprises, parmi lesquelles, les banques, se
doivent de multiplier les rappels en ce qui concerne les bonnes pratiques en la matière. Mais
si l’accompagnement des collaborateurs est plus aisé, en raison, notamment, de la capacité
des banques à rendre des formations obligatoires, et de celle de sanctionner le non-respect
des règles édictées dans sa charte informatique, l’accompagnement des clients est bien plus
délicat et se limite souvent à quelques consignes indiquées dans les CGU de l’espace client
de la banque au sujet de l’authentification.
544. L’authentification est à cet effet une étape de parcours client extrêmement sensible
pour les banques, qui ont tout intérêt à mettre en place des mesures visant à s’assurer que la
personne qui s’authentifie est bien celle qu’elle prétend être.
493
DEMPURE F., « Comment gérer les mots de passe ? », JCP G n° 18, 6 Mai 2019, 499
494
MATHIOS F., « Le phishing bientôt saisi par la loi ?», Comm. com. électr. n° 9, Septembre 2009, alerte
111
546. Depuis quelques années, les entreprises, et notamment les GAFAM, ont presque toutes
mis sur le marché un ou plusieurs assistants vocaux. Citons par exemple, Siri d’Apple, Alexa
d’Amazon ou encore Cortana de Microsoft. En 2019, une étude du Conseil Supérieur de
l’Audiovisuel et d’HADOPI495 révélait que 46% des Français avaient déjà utilisé un assistant
vocal alors que 63% des personnes interrogées estimaient qu’elles présentaient un risque
pour leur vie privée.
547. Cette contradiction a été confirmée par une étude de l’IFOP menée la même année496,
précisant à ce sujet que les Français semblaient préférer accorder leur confiance à l’entreprise
qui présente la plus grande expertise technologique, au détriment des autres considérations.
548. Dans le secteur bancaire, les possibilités offertes par les assistants vocaux sont
nombreuses, qu’il s’agisse de permettre la consultation du solde de ses comptes ou
l’initiation d’un virement en le demandant simplement à son mobile. Pourtant, ce type de
technologie peut potentiellement exposer l’utilisateur à certains risques, notamment lorsqu’il
n’est pas associé à un système de reconnaissance vocale ou tout autre système
d’authentification suffisamment fiable. En l’absence de tels mécanismes, si une autre
personne non autorisée accède aux informations de l’individu ou effectue une opération en
son nom, il peut être extrêmement compliqué de le prouver.
549. A ce jour, le paiement vocal reste encore assez rare, notons par exemple le service de
la Banque Postale qui permet à ses clients d’initier des paiements par la voix, grâce à la
495
HADOPI et CSA, « Étude sur les assistants vocaux et enceintes connectée », 2019, disponible à l’adresse
suivante:https://www.csa.fr/Informer/Collections-du-CSA/Thema-Toutes-les-etudes-realisees-ou-co-
realisees-par-le-CSA-sur-des-themes-specifiques/Les-etudes-corealisees-avec-le-CSA/Etude-HADOPI-CSA-
2019-Assistants-vocaux-et-enceintes-connectees,consulté le 11/03/2022.
496
IFOP, « Etude - Comment les enceintes intelligentes peuvent être un « game changer » pour les marques
? », 2019, disponible à l’adresse suivante : https://www.ifop.com/publication/comment-les-enceintes-
intelligentes-peuvent-etre-un-game-changer-pour-les-marques/,consulté le 11/03/2022.
550. La fiabilité des espaces personnels mis à disposition par les banques ainsi que les
modalités selon lesquelles il est possible d’y accéder sont visiblement des éléments essentiels
à la confiance numérique des individus. La sécurisation des moyens de paiements est
également un élément auquel les clients sont très attachés.
497
Le communiqué de presse de la Banque Postale du 6 juin 2017 annonçant le lancement du service est
disponible à l’adresse suivante :
https://www.labanquepostale.fr/content/dam/groupe/journalistes/communiques/2017/20170606_lancement-
talktopay_CP.pdf,consulté le 11/03/2022.
498
AUTEUR ANONYME, « Enceintes connectées : Boursorama Banque donne de la voix ! », Boursorama,
2019. L’article est disponible à l’adresse suivante :
https://www.boursorama.com/patrimoine/actualites/enceintes-connectees-boursorama-banque-donne-de-la-
voix-08f886ffd6f2e4dc97075a6f06d50448,consulté le 11/03/2022.
551. Les innovations autour du paiement attirent de plus en plus d’entreprises non
bancaires, notamment celles proposant elles-mêmes un autre service et cherchant à optimiser
au possible l’expérience d’achat ou de souscription. Dans le cadre d’une relation à distance,
si les chèques ont pendant un temps su répondre au besoin, ils disparaissent peu à peu des
options de paiement proposées lorsqu’il s’agit de régler un achat ou une souscription à
distance499.
552. Les paiements en espèce étant également incompatibles avec une relation distante
sécurisée, les seules options viables restantes sont le virement, le prélèvement, et le paiement
par carte bancaire. Or, chacun présente ses propres limites.
499
Le rapport annuel de l’OSMP de 2020 indique en effet que les paiements par chèque sont en déclin constant
depuis le début des années 2000. Par ailleurs, ils font l’objet d’un fort taux de fraude, ce qui explique le fait
qu’ils soient de moins en moins acceptés par les établissements (page 20 du rapport annuel de l’OSMP de
2020) ; LASSERRE CAPDEVILLE J., « L'encadrement juridique du risque de fraude en matière de chèque »,
RD bancaire et fin. n° 1, Janvier 2021, dossier 3
500
Par opposition au virement instantané ; LASSERRE CAPDEVILLE J., « L'encadrement juridique du
virement instantané », RD bancaire et fin. n° 1, Janvier 2020, étude 1
555. S’il est tout à fait naturel que les clients de banques et autres établissements de
paiements aient de fortes attentes en ce qui concerne la sécurité des outils que leur mettent
ces établissements à disposition, ces attentes sont souvent difficiles à concilier avec leur
attente, souvent très forte également, de simplicité d’utilisation de ces mêmes outils.
556. Mais alors, faut-il privilégier la qualité de l’interface et la fluidité des parcours au
détriment de la sécurité ou le contraire ? L’émergence des Super Apps est un phénomène
intéressant à étudier en la matière (A) de même que l’incidence de l’authentification forte au
regard de cet enjeu de fluidité et simplicité des parcours (B).
557. Les SuperApps, pour Super Applications, sont des applications mobiles qui regroupent
plusieurs services au sein d’une seule et même application avec, presque toujours, un service
de paiement au cœur de ces services.
558. Si le phénomène des SuperApp gagne de plus en plus en popularité en Europe, il n’est
en aucun cas nouveau. Ce type d’application existe en effet depuis une dizaine d’années en
Asie. Les plus connues d’entre elles, WeChat et Alipay sont toutes deux chinoises, mais ce
type d’application est également bien établi dans de nombreux autres pays d’Asie et
d’Europe de l’Est501.
559. L’intérêt premier de ces applications pour les utilisateurs se trouve dans la possibilité
de bénéficier d’une multitude de services en s’authentifiant une seule et unique fois. Ainsi,
il est inutile de multiplier les mots de passe et les phases d’authentification. Pour les
entreprises, cela représente également un avantage majeur puisque les mesures relatives à la
501
DUROYON A, « La banque en ligne russe Tinkoff lance une “super-app” », Mind Fintech, 2019. L’article
est disponible en ligne à l’adresse suivante : https://www.mindfintech.fr/services-bancaires/la-banque-en-
ligne-russe-tinkoff-lance-une-super-app/,consulté le 11/03/2022. ; ROUSSEAU Y., « Comment Grab, la «
super app » d'Asie du Sud-Est, a conquis Wall Street », Les Echos 2021. L’article est disponible en ligne à
l’adresse suivante : https://www.lesechos.fr/finance-marches/marches-financiers/comment-grab-la-super-app-
dasie-du-sud-est-a-conquis-wall-street-1369043,consulté le 11/03/2022.
560. Par exemple, l’utilisateur d’une SuperApp peut, grâce à un service d’informations sur
les comptes, agréger ses comptes, puis se voir proposer d’acheter des biens en lien avec ses
habitudes d’achat constatées dans ses mouvements bancaires. Et, si l’achat dudit bien
nécessite un financement, il pourrait lui être proposé de souscrire un crédit dans cette même
application.
561. Bien qu’encore relativement inconnues en France, ces applications nous semblent
intéressantes dans leur approche de la confiance. En effet, aucune des SuperApp existantes
n’a été créée en tant que telle, elles ont toutes commencé par un service correspondant au
cœur de métier de l’entreprise éditrice de cette dernière. Pour prendre l’exemple de WeChat,
cette SuperApp n’était à ses prémices qu’une application de chat, permettant à ses
utilisateurs de communiquer les uns avec les autres. Grab, la SuperApp singapourienne
quant à elle n’offrait à la base qu’un service de livraison503.
562. Ces applications ont intégré progressivement d’autres services, dont des services
financiers, tel qu’un service de paiement permettant aux utilisateurs de payer leurs achats en
magasin directement avec l’application, et de faire des transferts d’argent entre utilisateurs.
Aujourd’hui, des milliers de services sont disponibles au sein de l’application WeChat,
502
Ce qui semble cohérent avec les dispositions de la Proposition d’article 5 de la proposition de Règlement
du Parlement européen et du conseil relatif aux marchés contestables et équitables dans le secteur numérique
du 15 décembre 2020, dit règlement DMA : « Pour chacun de ses services de plateforme essentiels recensés
conformément à l’article 3, paragraphe 7, le contrôleur d’accès :
(a) s’abstient de combiner les données à caractère personnel provenant de ces services de plateforme essentiels
avec les données à caractère personnel provenant de tout autre service proposé par le contrôleur d’accès, ou
avec les données à caractère personnel provenant de services tiers, et d’inscrire les utilisateurs finaux à
d’autres services du contrôleur d’accès dans le but de combiner des données à caractère personnel, à moins
que ce choix précis n’ait été laissé à l’utilisateur final et que ce dernier ait donné son consentement au sens
du règlement (UE) 2016/679…)
503
FREDOUELLE A., « Comment Grab veut devenir un géant des services financiers sud-asiatique », Mind
Fintech, 2021. L’article est disponible à l’adresse suivante : https://www.mindfintech.fr/services-
bancaires/comment-grab-veut-devenir-un-geant-des-services-financiers-sud-asiatique/,consulté le
11/03/2022.
564. Ainsi, l’utilité et la praticité du service semblent souvent primer sur sa sécurité, ce qui
explique sans doute les difficultés rencontrées dans le cadre de la généralisation de
l’authentification forte.
565. Le terme « authentification forte » désigne le fait de prouver son identité grâce à des
facteurs d’authentification relevant d’au moins deux des trois catégories suivantes : la
connaissance (telle que la saisie d’un mot de passe), la possession, (telle que la détention
d’un appareil ou document), et l’inhérence (biométrie)505.
566. Ce type d’authentification est particulièrement connu dans le secteur bancaire, dans
lequel il est courant de compléter la fourniture d’un facteur de connaissance, comme un mot
de passe, par un facteur de possession, qui consiste à renseigner un mot de passe à usage
unique, dit « OTP SMS » pour « One Time Password SMS », que le payeur reçoit au numéro
de téléphone préalablement enregistré auprès de sa banque, attestant de la possession de la
carte SIM associée au numéro de téléphone en question.
504
JAO N., « WeChat now has over 1 billion active monthly users worldwide », site internet Technode, 2018,
disponible à cette adresse : https://technode.com/2018/03/05/wechat-1-billion-users/, consulté le 11/02/2022.
505
Extrait de l’article L133-4 du Code Monétaire et Financier : « f) Une authentification forte du client s'entend
d'une authentification reposant sur l'utilisation de deux éléments ou plus appartenant aux catégories "
connaissance " (quelque chose que seul l'utilisateur connaît), " possession " (quelque chose que seul
l'utilisateur possède) et " inhérence " (quelque chose que l'utilisateur est) et indépendants en ce sens que la
compromission de l'un ne remet pas en question la fiabilité des autres, et qui est conçue de manière à protéger
la confidentialité des données d'authentification » ; » LASSERRE CAPDEVILLE J., « Où en sommes-nous
de l'entrée en vigueur des dispositions nouvelles relatives à l'authentification forte ? », JCP E n° 36, 3
Septembre 2020, 567
568. En effet, si la validité de l’OTP SMS comme facteur de possession a été confirmée par
l’ABE508, le recours à l’OTP SMS tend néanmoins à disparaître dans le domaine bancaire
car celui-ci est considéré comme peu sécurisé, notamment au regard du développement de
la pratique du « SIM swapping », qui consiste à obtenir une copie de la carte SIM d’un
individu pour en intercepter les correspondances, parmi lesquels les éventuels OTP SMS.
506
Article L133-44 du Code Monétaire et Financier : « I. – Le prestataire de services de paiement applique
l'authentification forte du client définie au f de l'article L. 133-4 lorsque le payeur :
1° Accède à son compte de paiement en ligne ;
2° Initie une opération de paiement électronique ;
3° Exécute une opération par le biais d'un moyen de communication à distance, susceptible de comporter un
risque de fraude en matière de paiement ou de toute autre utilisation frauduleuse.
II. – Pour les opérations de paiement électronique à distance, l'authentification forte du client définie au f de
l'article L. 133-4 comporte des éléments qui établissent un lien dynamique entre l'opération, le montant et le
bénéficiaire donnés.
III. – En ce qui concerne l'obligation du I, les prestataires de services de paiement mettent en place des mesures
de sécurité adéquates afin de protéger la confidentialité et l'intégrité des données de sécurité personnalisées
des utilisateurs de services de paiement.
IV. – Le prestataire de services de paiement gestionnaire du compte autorise le prestataire de services de
paiement fournissant un service d'initiation de paiement et le prestataire de services de paiement fournissant
le service d'information sur les comptes à se fonder sur ses procédures d'authentification lorsqu'ils agissent
pour l'un de leurs utilisateurs conformément aux I et III et, lorsque le prestataire de services de paiement
fournissant le service d'initiation de paiement intervient, conformément aux I, II et III. »
507
LASSERRE CAPDEVILLE J., « Les exceptions à la future obligation d'authentification forte », JCP E n°
36, 5 Septembre 2019, 1410
508
Voir la réponse apportée par l’ABE à la questions n°2018_4039 dans son outil de question réponse
concernant la DSP 2 et son Règlement délégué relatif à l’authentification forte. La réponse est disponible en
ligne à l’adresse suivante: https://www.eba.europa.eu/single-rule-book-qa/-
/qna/view/publicId/2018_4039,consulté le 11/03/2022. ; GRIGUER M et SCEMAMA D., « Les règles de
sécurité prévues par la directive sur les services de paiement dans le marché intérieur (DSP2) », Cahiers de
droit de l’entreprise n° 5, Septembre 2020, prat. 25
570. Par ailleurs, le Règlement délégué relatif à l’authentification forte exige, outre une
authentification reposant sur deux facteurs de nature différente, l’établissement d’un lien
dynamique entre l’authentification et l’opération qui fait l’objet d’une authentification forte.
À ce titre, l’article 5 du Règlement délégué sur l’authentification forte du 27 novembre 2017
exige, entre autres, que le prestataire de services de paiement prenne, pendant toutes les
phases de l’authentification, « des mesures de sécurité garantissant la confidentialité,
l'authenticité et l'intégrité » du montant de l’opération et du bénéficiaire, des informations
qui s’affichent, y compris « la génération, la transmission et l'utilisation du code
d'authentification »510. Or, les SMS ne répondent pas à cette exigence comme l’a rappelé
l’ABE511.
571. Les évolutions qu’implique cette nouvelle consigne ayant cependant engendré une
grande complexité pour les banques et leurs clients, le calendrier initial a dû être ajusté512.
Pour permettre une transition progressive, l’Autorité Bancaire Européenne a donc invité les
États à adopter des plans de migration progressive 513 pour notamment s’assurer que les
commerçants et clients des prestataires de services de paiement soient préparés à cette
évolution514.
572. En effet, la mise en œuvre d’une authentification forte conforme aux exigences de la
DSP 2 suppose que les clients soient équipés de manière adéquate, ce qui n’est pas toujours
509
Stratégie de l’UE en matière de paiement de détail du 24 septembre 2020 page 18 : « À l’avenir,
l’authentification forte du client devra devenir la norme pour les paiements en ligne, par exemple dans le cadre
du commerce électronique ou des réservations de voyages en ligne. Les solutions d’authentification de
prestataires de services de paiement qui intègrent l’authentification forte du client doivent offrir aux
utilisateurs une expérience transparente et conviviale pour que ceux-ci puissent accéder à leurs comptes de
paiement en ligne et pour faciliter les opérations. Ces solutions devraient reposer sur les facteurs
d’authentification les plus sûrs, en s’éloignant, dans la mesure du possible, des éléments transmissibles (par
exemple, les mots de passe statiques) et des technologies et canaux de communication plus anciens qui sont
sujets aux attaques (par exemple, les SMS). »
510
Article 5 du Règlement délégué relatif à l’authentification forte du 27 novembre 2017.
511
Voir la réponse de l’ABE à la question n°2018_4414, disponible en ligne à l’adresse suivante :
https://www.eba.europa.eu/single-rule-book-qa/-/qna/view/publicId/2018_4414,consulté le 11/03/2022.
512
LASSERRE CAPDEVILLE J., « Opérations de paiement à distance : le report de l'authentification forte »,
JCP E n° 42, 17 Octobre 2019, act. 666
513
ABE, Avis sur les éléments d’authentification forte selon la DSP 2, 21 juin 2019
514
Auteur anonyme, « L’Autorité bancaire temporise », Revue Banque, 2019
573. Parmi les solutions d’authentification fortes aujourd’hui proposées, la plus courante
consiste à ne plus envoyer un SMS à l’utilisateur, mais à l’inviter à se connecter à son espace
personnel pour s’y authentifier et valider l’acte en cours de réalisation. Cette technique est
effectivement plus robuste dans la mesure où, dans le cadre d’un paiement par exemple, il
est nécessaire de renseigner le numéro et le code de sécurité de sa carte bancaire, mais aussi
de connaître l’identifiant et mot de passe de son application bancaire. Par ailleurs, les
banques sont ainsi en mesure d’identifier les connexions suspectes aux espaces personnels,
telles que celles ayant une adresse IP inhabituelle, une localisation surprenante compte tenu
du domicile de l’individu, ou un nombre de tentatives de connexion infructueuses élevé.
574. L’authentification forte impose cependant une étape supplémentaire dans un parcours
que les commerçants et autres fournisseurs de services tentent de fluidifier518. Par ailleurs,
la fréquence à laquelle une demande d’authentification forte est demandée peut varier d’un
établissement à l’autre, ce qui est source de confusion pour les individus.
575. En effet, parmi les exceptions à l’authentification forte prévues, figure celle concernant
l’accès à ses comptes bancaires depuis un fournisseur de services d’informations sur les
comptes. L’article 10 du Règlement délégué prévoit que dans de telles circonstances, une
authentification forte peut n’être demandée qu’au premier accès puis une fois tous les 90
jours. Or, s’agissant d’une simple faculté et non d’une obligation, certaines banques
515
LASSERRE CAPDEVILLE J, « Opérations de paiement à distance : le report de l'authentification forte »,
JCP E, n° 42, 17 Octobre 2019, act. 666
516
Voir le Plan de migration vers une solution d’authentification forte, approuvé par l’OSMP en 2019.
517
DAUVERGNE G, "Le plan de la France pour mettre fin au paiement par SMS", Revue Banque n°836, 2019
DE BONY C-E., “Authentification forte, un outil puissant mais difficile à mettre en œuvre ? », Revue
518
576. À cet effet, le 8 octobre 2021, l’Autorité Bancaire Européenne a ouvert une
consultation publique concernant sa proposition de modification du Règlement délégué à la
DSP sur l’authentification forte519. Parmi les modifications proposées, figure notamment
l’obligation, sous conditions520, de dispense d’authentification forte pour la consultation de
comptes depuis un prestataire de services d’information sur les comptes, qui ne serait ainsi
plus une simple faculté. Il est également proposé d’allonger le délai entre deux
authentifications fortes de 90 jours à 180 jours quand l’individu accède à ses comptes depuis
un prestataire de services d’informations sur les comptes521. La consultation ouverte par
l’ABE a pris fin le 25 novembre 2021 et la proposition devrait être soumise prochainement
à la commission Européenne.
519
Consultation paper on draft regulatory technical standards amending the commission delegated regulation
(eu) 2018/389 supplementing directive (eu) 2015/2366 of the european parliament and of the council with
regard to regulatory technical standards for strong customer authentication and common and secure open
standards of communication.
520
Extrait de la consultation: « In particular, the proposed exemption would only apply where the access is
limited to the account balance and/or the most recent 90-day transaction history, without disclosure of sensitive
payment data, similarly to the existing exemption in Article 10 RTS. This means that the access to sensitive
payment data or to transaction history going back more than 90 days is out of the scope of the exemption, and
therefore always requires SCA.
Moreover, the exemption would only apply where SCA was applied for the first access to the account
information through the AISP, and is renewed periodically, every 180 days. The rationale for choosing the 180
days timeline is explained in more detail in the next sub-section.
Furthermore, in order to ensure the safety of the PSU’s data, the proposal allows PSPs to revert to SCA at any
time if they have objectively justified and duly evidenced reasons relating to unauthorised or fraudulent access.
This may be for example the case where the ASPSP’s transaction monitoring mechanisms detect an elevated
risk of unauthorised or fraudulent access. In order to ensure a consistent application of the exemption, in cases
where ASPSPs revert to SCA on such grounds they should substantiate to their national competent authority,
upon request, the reasons for applying SCA.”
521
Extrait de la consultation: « By contrast, for the other, separate case where customers access the data
directly, the EBA is proposing to retain the exemption in Article 10 RTS to be voluntary as is currently the
case, as no specific issues have been identified in such cases. However, in order to ensure a level playing field
amongst all PSPs, the EBA is also proposing to extend the 90-days timeline for the renewal of SCA to the same
180 days period for the renewal of SCA when the account data is accessed through an AISP, as explained in
further detail in paragraph 45 below. »
578. Nous suivrons de près les travaux européens en la matière et notamment la future
proposition législative qu’annonce la Commission Européenne pour mi-2022 concernant un
nouveau cadre pour la « finance ouverte »523. L’authentification forte est un élément clé de
la sécurisation des opérations bancaires et des données bancaires des individus. Aussi, il est
important que les banques et prestataires de services de paiements continuent à optimiser les
modalités d’authentification forte pour qu’elles ne nuisent pas de manière excessive à
l’expérience utilisateur.
522
Stratégie de l’UE en matière de paiement de détail du 24 septembre 2020 page 18 : « La Commission
réaffirme qu’elle croit fermement au potentiel de la banque ouverte et qu’elle est résolue à faire en sorte que
la DSP2 soit une réussite. Elle poursuivra sa collaboration avec l’ABE pour veiller à faire tomber les obstacles
illégaux qui entravent les services des PSP tiers et pour promouvoir un dialogue constructif entre toutes les
parties prenantes. Elle soutiendra notamment la finalisation des travaux sur un « schéma d’accès aux
interfaces de programmation d’application SEPA » qui a été lancé en 2019 sous les auspices du Comité des
paiements de détail en euros. »
523
Stratégie de l’UE en matière de paiement de détail du 24 septembre 2020 page 18 : « En s’appuyant sur
l’expérience tirée de la DSP2, et comme annoncé dans la stratégie en matière de finance numérique, elle
prévoit de présenter une proposition législative pour un nouveau cadre de « finance ouverte » d’ici mi-2022 ».
524
DE RAVEL D’ESCLAPON, « Analyse prospective du paiement par reconnaissance faciale », RD bancaire
et fin. n° 4, Juillet 2021, étude 10
582. En effet, la plupart des innovations récentes en matière bancaire recourent à des
éléments de sécurité ou de communication inhérents aux appareils personnels des individus
(A), exposant de ce fait les individus a de nouveaux types de risques numériques(B).
583. Dans le cadre d’une relation distante, à défaut d’envoyer à son client un dispositif
spécifique afin qu’il puisse s’authentifier pour accéder à son espace personnel, la banque n’a
pas d’autre choix que de se reposer sur les appareils déjà détenus par son client. C’est
pourquoi certaines banques proposent de tels dispositifs, comme le Crédit Mutuel, qui
propose ce que la banque appelle une « carte de clés personnelles », qui est tout simplement
une carte plastifiée comportant plusieurs mots de passe dans une grille semblable à un
échiquier. Lors de son authentification à son espace personnel, le client est invité à saisir le
mot de passe correspondant à la position que lui indique la fenêtre de connexion grâce à des
coordonnées, attestant de la possession de ladite carte526.
584. D’autres banques, comme Boursorama, proposent à leurs clients d’utiliser des clés de
sécurité FIDO 527 , consistant, soit à insérer une clé externe dans son appareil pour
s’authentifier, soit à utiliser une clé de sécurité dématérialisée, c’est-à-dire une clé générée
spécifiquement pour tel ou tel appareil de l’individu lors d’une phase d’enrôlement,
525
CNP, « Stratégie nationale des moyens de paiements scripturaux 2019-2024 », 2019.
Site internet du Crédit Mutuel, disponible à l’adresse suivante : https://www.creditmutuel.fr/cmne/fr/le-
526
mag/smartpaiement-carte-cles-personnelle.html,consulté le 11/03/2022.
527
L’alliance FIDO est une alliance créée en 2013 qui regroupe plusieurs acteurs du secteur des paiements et
qui a pour objectif d’établir des standards d’authentification autres que ceux s’appuyant sur un simple facteur
de connaissance tel qu’un mot de passe (Site internet de l’alliance FIDO, disponible en ligne à l’adresse
suivante : https://fidoalliance.org/what-is-fido/,consulté le 11/03/2022.).
585. La majorité des individus n’utilisent cependant pas ces dispositifs, que ce soit parce
que leur banque ne le propose pas, parce qu’ils en ignorent l’existence, ou par soucis de
simplicité, notamment au regard des solutions d’authentification biométriques déjà présents
dans la plupart des smartphones et autres objets connectés récents. Les innovations en
matière bancaire reposent d’ailleurs de plus en plus sur l’usage d’un appareil mobile de
l’utilisateur, tel qu’un assistant vocal, son smartphone ou une montre connectée, encrant le
recours à ces appareils dans les usages des individus, au détriment, parfois, de systèmes de
sécurité sous l’entier contrôle de la banque.
586. Concernant, par exemple, l’authentification des utilisateurs pour valider un paiement
ou accéder à leur espace personnel, la plupart des banques proposent à leurs clients d’utiliser
le système d’authentification intégré au système d’exploitation de leur smartphone pour
contourner les difficultés liées à la mise en place d’un traitement de données biométriques529.
En pratique, ce n’est ainsi pas la banque qui récolte l’empreinte de l’individu et la compare
lors de chaque authentification biométrique, mais l’appareil de l’individu, qui ne transmet à
la banque que l’information selon laquelle l’authentification est conforme ou non conforme.
En procédant ainsi, le traitement de données qui en résulte est régi par ce que la CNIL appelle
528
Site internet de Boursorama Banque, disponible à l’adresse suivante : https://www.boursorama.com/aide-
en-ligne/mon-espace-client/identifiant-et-mot-de-passe/question/en-quoi-consiste-la-connexion-par-cle-de-
securite-sur-internet-5165516,consulté le 11/03/2022.
529
En première partie de cette étude, nous évoquions le fait que la mise en place d’un traitement de données
biométriques était particulièrement contraignant au regard des démarches que cela implique auprès de la CNIL.
587. Cette pratique présente ainsi des inconvénients en matière de sécurité, en particulier,
celui, pour la banque, de ne plus contrôler directement l’identité de la personne qui
s’authentifie. Ainsi, si un individu a enregistré les données biométriques d’un autre individu
que les siennes dans son smartphone, ce dernier pourra s’authentifier à sa place sans que la
banque n’en soit consciente.
588. Outre les systèmes biométriques, les nouveaux cas d’usage en matière de paiement
s’appuient de plus en plus régulièrement sur les technologies sans contact des smartphones.
Ces systèmes permettent notamment, comme ceux des cartes bancaires, de régler une
transaction en approchant simplement son smartphone d’un terminal de paiement
électronique.
589. Le paiement sans contact par smartphone a deux avantages indéniables pour les
individus par rapport au paiement sans contact par carte bancaire. En effet, le plafond du
paiement sans contact par smartphone peut être bien plus élevé que celui prévu pour le
530
Article 2 du RGPD : « Le présent règlement s'applique au traitement de données à caractère personnel,
automatisé en tout ou en partie, ainsi qu'au traitement non automatisé de données à caractère personnel
contenues ou appelées à figurer dans un fichier.
Le présent règlement ne s'applique pas au traitement de données à caractère personnel effectué :
a) dans le cadre d'une activité qui ne relève pas du champ d'application du droit de l'Union;
b) par les États membres dans le cadre d'activités qui relèvent du champ d'application du chapitre 2 du titre
V du traité sur l'Union européenne;
c) par une personne physique dans le cadre d'une activité strictement personnelle ou domestique;
d) par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et
de poursuites en la matière ou d'exécution de sanctions pénales, y compris la protection contre des menaces
pour la sécurité publique et la prévention de telles menaces.
Le règlement (CE) no 45/2001 s'applique au traitement des données à caractère personnel par les institutions,
organes et organismes de l'Union. Le règlement (CE) no 45/2001 et les autres actes juridiques de l'Union
applicables audit traitement des données à caractère personnel sont adaptés aux principes et aux règles du
présent règlement conformément à l'article 98.
Le présent règlement s'applique sans préjudice de la directive 2000/31/CE, et notamment de ses articles 12 à
15 relatifs à la responsabilité des prestataires de services intermédiaires. »
531
Site internet de la CNIL, “Biométrie dans les smartphones des particuliers : application du cadre de
protection des données”, 2018, disponible à l’adresse suivante : https://www.cnil.fr/fr/biometrie-dans-les-
smartphones-des-particuliers-application-du-cadre-de-protection-des-donnees,consulté le 11/03/2022.
590. En effet, le paiement sans contact par carte bancaire est soumis à la limite de 50 euros
par transaction que prévoit le Règlement délégué sur l’authentification forte 532 dans la
mesure où il ne requiert aucune authentification, alors que le paiement par smartphone peut,
grâce à une authentification généralement très fluide, aller bien au-delà de cette limite.
591. L’autre avantage indéniable du paiement sans contact par smartphone consiste en sa
capacité de centralisation des différents types de cartes et autres titres. Ainsi, les individus
peuvent centraliser tous leurs titres de transport, leurs billets, qu’il s’agisse de billets de
cinéma, ou autre, mais aussi toutes leurs cartes bancaires, dans un seul appareil.
592. Si ces nouvelles pratiques impliquent ainsi un risque important en cas, notamment, de
perte ou vol de l’appareil de l’individu, ou d’un mauvais paramétrage de l’authentification
biométrique de ceux-ci, le risque numérique semble être occulté par les utilisateurs de ce
service, qui priorisent visiblement sa praticité.
593. L’implication des appareils mobiles des individus dans les parcours de paiement, les
parcours d’authentification lors de l’accès à un espace personnel, ou la validation
d’opérations, étant de plus en plus courant, certains individus malveillants ont identifié
532
Article 11 du Règlement délégué UE 2018/389 de la Commission du 27 novembre 2017 complétant la
directive (UE) 2015/2366 du Parlement européen et du Conseil par des normes techniques de réglementation
relatives à l'authentification forte du client et à des normes ouvertes communes et sécurisées de
communication : « Les prestataires de services de paiement sont autorisés à ne pas appliquer l'authentification
forte du client, sous réserve du respect des exigences définies à l'article 2, lorsque le payeur initie une
opération de paiement électronique sans contact, pour autant que les conditions suivantes soient remplies:
a) le montant individuel de l'opération de paiement électronique sans contact ne dépasse pas 50 EUR ; et
b) le montant cumulé des précédentes opérations de paiement électronique sans contact initiées par
l'intermédiaire d'un instrument de paiement disposant d'une fonctionnalité sans contact, depuis la date de la
dernière authentification forte du client, ne dépasse pas 150 EUR ; ou
c)le nombre d'opérations de paiement électronique sans contact consécutives initiées par l'intermédiaire de
l'instrument de paiement disposant d'une fonctionnalité sans contact, depuis la dernière authentification forte
du client, ne dépasse pas cinq. »
594. En ce qui concerne les cas d’usage impliquant la messagerie de l’individu, tel que le
fait d’envoyer un OTP SMS pour valider une transaction, nous avons déjà mentionné dans
cette étude la pratique du SIM Swapping, qui consiste à intercepter les messages, et donc les
OTP SMS adressés à un individu, pour ensuite valider des paiements frauduleux.
596. Citons également la pratique consistant à copier des applications mobiles populaires
pour que les individus les installent sans se douter qu’ils installent en réalité un logiciel
espion capable de lire toutes les informations affichées sur l’appareil de l’individu, y compris
ses identifiants bancaires et ses messages534.
533
Le site internet du quotidien Le Monde avait notamment consacré un article à cette affaire en 2019 :
ANONYME, Qu’est-ce que le « SIM swapping », qui a permis de pirater le compte du patron de Twitter ?, Le
Monde, 2019. Cet article est disponible à l’adresse suivante:
https://www.lemonde.fr/pixels/article/2019/09/04/qu-est-ce-que-le-sim-swapping-qui-a-permis-de-pirater-le-
compte-du-patron-de-twitter_5506360_4408996.html,consulté le 11/03/2022.
534
FRENAY M-E., « Fraude bancaire : gare à cette application mobile qui détourne votre argent », Moneyvox,
2019
598. La cybercriminalité s’adapte ainsi visiblement très vite aux innovations en la matière,
aussi, les mesures prises par le législateur pour limiter ces risques, en exigeant notamment
des mesures de sécurité complémentaires telles que le chiffrement des données, le
renoncement à l’OTP SMS ou la généralisation de l’authentification forte, montrent que ce
dernier est tout à fait conscient de la situation et entend bien permettre aux innovations de
se développer sans compromettre la sécurité des données bancaires des individus.
599. Si l’authentification forte devient, ainsi, peu à peu la norme en la matière, cela ne
change rien au fait que les clients ont besoin d’avoir confiance dans la fiabilité des outils mis
à disposition par leurs établissements. La position des banques et autres prestataires de
services de paiements est donc extrêmement délicate en la matière, car en cas de faille de
sécurité, il y a fort à parier que cela aura une incidence sur la confiance numérique des
clients, quand bien même ces derniers étaient réticents à appliquer lesdites mesures de
sécurité.
600. La plupart des mesures prises par le législateur semblent consister à renforcer les
mesures de sécurité et à établir des régimes d’indemnisation en faveur des individus, pour
qu’à défaut de pouvoir empêcher la réalisation de risques numériques, ces derniers n’aient
pas à en supporter de trop grosses conséquences. Or, ne serait-il pas plus efficace d’inciter
davantage les clients à être acteurs de la confiance numérique qui les lie à leurs prestataires
de services de paiement ?
535
TOUSTOU E., « Arnaque bancaire : Des clients d’ING visés par une redoutable escroquerie », UFC que
choisir, 2021
601. La confiance des individus dans les outils que leur mettent à disposition leurs banques
semble, bel et bien, dépendre, en partie, de la fiabilité desdits outils. À ce titre, les clients
s’attendent naturellement à ce que ces outils soient sélectionnés avec soin par leurs banques
pour que ces derniers soient robustes et résilients face aux risques de cybercriminalité,
notamment les atteintes aux STAD et les usurpations d’identité.
602. Pourtant, à l’image du sujet du partage des données personnelles à des fins de
personnalisation, il existe, là aussi, un paradoxe qui présente un enjeu de taille pour les
banques : trouver l’équilibre entre des outils fiables et sécurisés et des outils pratiques et
simples à utiliser.
603. Le développement d’un nouveau modèle d’applications mobiles, les Super Apps, et la
place de plus en plus importante des appareils personnels des individus, et notamment du
smartphone, dans les parcours, est une bonne illustration de l’attention portée à l’expérience
utilisateur en la matière.
606. Au regard de nos développements, il nous semble pouvoir affirmer que la perte de
confiance numérique peut bel et bien être considérée comme étant la source de la
responsabilité de la banque envers son client.
607. En effet, en choisissant sa banque, le client commet un acte de foi, celui de confier son
patrimoine et par extension ses projets à un établissement sur lequel il compte pour les
protéger. La banque se doit à cet égard de prendre toutes les mesures adaptées pour préserver
la confiance que lui accorde le client, au risque d’engager sa responsabilité.
608. Pour ce faire, il est particulièrement important pour la banque d’être en mesure de
tracer les actes réalisés, qu’il s’agisse d’accès à l’espace personnel du client, de paiement,
ou tout autre acte pouvant potentiellement être préjudiciable pour le client s’ils sont réalisés
par un tiers non autorisé. La multiplication des intermédiaires, notamment dans le cadre de
l’open banking, représente à cet égard un véritable défi pour les banques.
609. Outre le fait de pouvoir éviter la réalisation d’un risque en identifiant, par exemple,
des tentatives de connexion ou de paiement suspectes, ces mesures permettront également,
en cas de réalisation d’un risque, d’identifier le responsable. À ce titre, il semble que le fait,
pour un individu, de pouvoir compter sur l’indemnisation de son préjudice et la punition du
responsable peut être un élément de confiance numérique.
610. La confiance numérique que peut avoir le client dans la faculté de sa banque à protéger
son patrimoine est cependant davantage complexifiée par l’implication de plus en plus
fréquente de ses appareils personnels, en réponse aux attentes forte en matière de fluidité de
l’expérience utilisateur. La conciliation des objectifs de sécurité et de fluidité des parcours
peut à ce titre s’avérer extrêmement complexe, davantage encore, en raison de la situation
du client, qui n’est pas incité à s’impliquer dans sa propre sécurité.
611. Dans ce contexte, la responsabilisation des clients nous semble être un vecteur
intéressant de confiance numérique, aussi il est étonnant qu’il soit si peu exploité.
614. En effet, il est considéré que chaque individu à trois besoins psychologiques
fondamentaux, dont le niveau de satisfaction serait largement influencé par l’environnement
et impacterait de fait son niveau d’autodétermination : l’autonomie, la compétence et
l’appartenance sociale538.
615. Si l’on applique ces théories à cette étude, il semble en effet que la plupart des
individus aspirent à l’autodétermination numérique mais ne sont pas incités à le faire par
l’environnement juridique dans lequel ils évoluent, ou n’ont pas la capacité de le faire, en
raison, pour certains, de leur milieu social.
616. En un peu plus de vingt ans, le législateur est parvenu à établir un cadre juridique
relativement sécurisant pour les individus en ce qui concerne le droit bancaire du numérique.
Mais il est également évident que les technologies et les pratiques, tant bancaires que
numériques, évoluent très vite.
617. À ce jour, cela se traduit, pour les banques, par de très nombreuses obligations,
certaines principalement bancaires, telles que les différentes réglementations relatives à la
LCBFT, au crédit ou aux services de paiement, d’autres, principalement numériques, telles
que les réglementations liées aux données à caractère personnel ou à la dématérialisation des
relations contractuelles…
618. Aussi peut-on se demander si cette stratégie, visant à multiplier les obligations à la
charge des banques, sera soutenable sur le long terme. Ne serait-il pas opportun de réajuster
le niveau de protection des clients pour les inciter, eux aussi, à participer à l’effort de
536
DECI E. L et RYAN R. M, “Handbook of Self-Determination Research”, University of Rochester Press,
1985; CSILLIK A. ET FENOUILLET F., « Chapitre 13. Edward Deci, Richard Ryan et la théorie de
l’autodétermination », Philippe Carré éd., Psychologies pour la formation. Dunod, 2019, pp. 223-240.
537
LAFRENIERE M-A, VALLERAND R, CARBONNEAU N, « La théorie de l’autodétermination et le
modèle hiérarchique de la motivation intrinsèque et extrinsèque : perspectives intégratives [1] », Philippe Carré
éd., Traité de psychologie de la motivation. Théories et pratiques. Paris, Dunod, « Psycho Sup », 2009, p. 47-
66.
538
DECI E. L, “Intrinsic motivation”, New York, Plenum Press, 1975
619. Nous l’avons vu, dans le cadre de sa relation avec sa banque, le client a naturellement
de très fortes attentes vis-à-vis de cette dernière en ce qui concerne la traçabilité des
opérations le concernant et la fiabilité des outils mis à sa disposition. Il fait à ce titre
confiance à sa banque pour sécuriser son patrimoine, et un manquement en la matière
entraînerait naturellement la perte de confiance de celui-ci, ainsi que, dans la plupart des cas,
la responsabilité de sa banque.
620. Pourtant, les innovations bancaires ayant tendance à impliquer de plus en plus souvent
des acteurs tiers, et/ou les appareils personnels des individus, ne serait-il pas justifié que
l’individu qui choisit de recourir à ces innovations, contribue un minimum à l’entretien de
cette situation de confiance numérique que le législateur tente d’établir en multipliant les
obligations à la charge des banques et en établissant des régimes de responsabilité très
protecteurs ? Un réajustement de la protection juridique accordée aux clients des banques ne
serait-il pas bénéfique à l’établissement d’une confiance numérique moins artificielle entre
ces derniers.
621. En effet, les attentes très fortes, des clients envers leurs banques, en ce qui concerne la
sécurité de leur patrimoine et la fluidité de l’expérience, ne saurait trouver une réponse
équilibrée si le client n’est pas lui-même incité à s’impliquer dans sa propre sécurité. Or, le
fait que le client ne supporte que rarement les conséquences de la réalisation de risques peut
l’amener à se désintéresser du sujet, alors qu’il faudrait sans doute, au contraire, l’inciter à
s’y intéresser.
622. Pour prendre l’exemple de la fraude aux moyens de paiement, nous ne pouvons que
nous demander si le régime actuel 539 , très protecteur des clients, ne conduit pas à les
déresponsabiliser540, établissant alors une confiance numérique aveugle entre le client et sa
banque (Section I). Mais la question n’est pas si simple, car à l’inverse, un régime trop strict
539
BOUTEILLER P., « Cartes de paiement. Cartes de crédit”, J. Cl. Banque - Crédit - Bourse, Fasc. 930, 2019
540
Par « déresponsabilisation » nous entendons le fait, pour un individu, de faire preuve d’insouciance au motif
qu’il ne supporterait pas les conséquences éventuelles de son comportement.
623. C’est en 2001, dans le cadre de l’adoption de la Loi du 15 novembre 2001 relative à la
sécurité quotidienne541, dite LSQ ou Loi Vaillant, du nom du ministre de l’Intérieur alors en
poste, que les premières dispositions visant à protéger les individus en cas de paiement non
autorisé ont été introduites dans le Code Monétaire et Financier aux articles L132-2 et
suivants.
624. L’article L132-3 du code Monétaire et Financier dispose alors que le titulaire du
moyen de paiement qui se prétend victime d’une fraude, supporte, avant mise en opposition,
la perte subie dans la limite de 400 euros, sauf si le titulaire a fait preuve de négligence
constituant une faute lourde542 ou s’il n’a pas fait opposition sur sa carte dans les meilleurs
délais après la perte ou le vol de sa carte543. Il précise toutefois que ce plafond sera abaissé
à 275 euros à compter du 1er janvier 2002 puis 150 euros à compter du 1er janvier 2003544.
625. Cet article est par la suite abrogé et remplacé par l’article L133-19 du CMF issu de
l’Ordonnance du 15 juillet 2009 relative aux conditions régissant la fourniture de services
de paiement et portant création des établissements de paiement 545 dans le cadre de la
transposition de la Directive du 13 Novembre 2007 concernant les services de paiement dans
541
Loi n° 2001-1062 du 15 novembre 2001 relative à la sécurité quotidienne
542
Cass. 1re civ., 28 mars 2008, n° 07-10.186 ; BAZIN E., « L'émetteur de la carte de paiement ou de crédit
doit rapporter la preuve que le titulaire a commis une faute lourde facilitant son utilisation frauduleuse », JCP
Gn° 23, 4 Juin 2008, II 10109
543
Article L132-3 du Code Monétaire et Financer dans sa rédaction initiale : « Le titulaire d'une carte
mentionnée à l'article L. 132-1 supporte la perte subie, en cas de perte ou de vol, avant la mise en opposition
prévue à l'article L. 132-2, dans la limite d'un plafond qui ne peut dépasser 400 euros. Toutefois, s'il a agi
avec une négligence constituant une faute lourde ou si, après la perte ou le vol de ladite carte, il n'a pas
effectué la mise en opposition dans les meilleurs délais, compte tenu de ses habitudes d'utilisation de la carte,
le plafond prévu à la phrase précédente n'est pas applicable. Le contrat entre le titulaire de la carte et
l'émetteur peut cependant prévoir le délai de mise en opposition au-delà duquel le titulaire de la carte est privé
du bénéfice du plafond prévu au présent alinéa. Ce délai ne peut être inférieur à deux jours francs après la
perte ou le vol de la carte.
Le plafond visé à l'alinéa précédent est porté à 275 euros au 1er janvier 2002 et à 150 euros à compter du 1er
janvier 2003. »
544
Ibid.
545
Ordonnance n° 2009-866 du 15 juillet 2009 relative aux conditions régissant la fourniture de services de
paiement et portant création des établissements de paiement
626. C’est ainsi que depuis l’adoption de ces nouvelles dispositions, en janvier 2018, la
franchise applicable au client, avant opposition en cas d'opération de paiement non autorisée
consécutive à la perte ou au vol de son instrument de paiement est limitée à 50 euros, soit
huit fois moins que le plafond initial de 400 euros établit en 2001.
628. Ces dispositions, qui semblent en relative contradiction avec l’objectif affiché par le
législateur européen d’inciter le payeur à être vigilant et réactif en cas de perte ou vol de ses
moyens de paiement, sont par ailleurs accompagnées d’une liste de situations permettant au
client d’échapper à cette franchise et d’être ainsi intégralement indemnisé par sa banque. Tel
546
Directive 2007/64/CE du Parlement européen et du Conseil du 13 novembre 2007 concernant les services
de paiement dans le marché intérieur, modifiant les directives 97/7/CE, 2002/65/CE, 2005/60/CE ainsi que
2006/48/CE et abrogeant la directive 97/5/CE (Texte présentant de l'intérêt pour l'EEE), JOUE L319, du 5
décembre 2007
547
Article L133-19 du Code Monétaire et Financier dans sa rédaction issue de l’ordonnance du 15 juillet 2009
548
Ordonnance n° 2017-1252 du 9 août 2017 portant transposition de la directive 2015/2366 du Parlement
européen et du Conseil du 25 novembre 2015 concernant les services de paiement dans le marché intérieur ;
LASSERRE-CAPDEVILLE J., « Nouvelle réforme des services de paiement : la « DSP 2 » est transposée. À
propos de l'ordonnance n° 2017-1252 du 9 août 2017 », JCP Gn° 37, 11 Septembre 2017, 923
549
Directive (UE) 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015 concernant les
services de paiement dans le marché intérieur, modifiant les directives 2002/65/CE, 2009/110/CE et
2013/36/UE et le règlement (UE) no 1093/2010, et abrogeant la directive 2007/64/CE (Texte présentant de
l'intérêt pour l'EEE), JOUE L337, du 23 décembre 2015
550
Directive 2007/64/CE du Parlement européen et du Conseil du 13 novembre 2007 concernant les services
de paiement dans le marché intérieur, modifiant les directives 97/7/CE, 2002/65/CE, 2005/60/CE ainsi que
2006/48/CE et abrogeant la directive 97/5/CE (Texte présentant de l'intérêt pour l'EEE), JOUE L319, du 5
décembre 2007 ; MATHEY N. ET VANDEN BOSCH M., « La directive sur les services de paiement », RD
bancaire et fin. n° 4, Juillet 2007, dossier 19
629. Le législateur a néanmoins prévu deux circonstances dans lesquelles le payeur est
responsable en cas de paiements frauduleux dont il se prétend victime : s’il a agi
frauduleusement (§1) ou s’il a été négligent (§2), ce qui serait constitutif de ce que l’article
L132-3 du Code monétaire et financier qualifiait autrefois de « faute lourde551 ».
630. Il semblerait justifié que la mauvaise foi du client, qui doit provoquer la perte de
confiance du prestataire de services de paiement dans celui-ci, entraîne par ailleurs la perte
du bénéfice du client de certains dispositifs de confiance numérique dont il pouvait
bénéficier jusqu’ici, tels que la prise en charge de son éventuel préjudice dans le cadre d’une
fraude.
631. En effet, à l’image du secteur des assurances, qui est confronté à de nombreuses
déclarations mensongères visant à obtenir l’indemnisation d’un préjudice auquel un assuré
aurait en réalité sciemment concouru pour obtenir un remboursement, certains individus
peuvent être tentés de feindre d’être victimes d’une fraude aux moyens de paiement à
laquelle ils auraient en réalité eux-mêmes concouru pour obtenir de leur banque une
indemnisation qui leur serait indue.
551
Ancien article L132-3 du Code monétaire et financier, abrogé par l’Ordonnance du 15 juillet 2009 relative
aux conditions régissant la fourniture de services de paiement et portant création des établissements de
paiement :
“Le titulaire d'une carte mentionnée à l'article L. 132-1 supporte la perte subie, en cas de perte ou de vol,
avant la mise en opposition prévue à l'article L. 132-2, dans la limite d'un plafond qui ne peut dépasser 400
euros. Toutefois, s'il a agi avec une négligence constituant une faute lourde ou si, après la perte ou le vol de
ladite carte, il n'a pas effectué la mise en opposition dans les meilleurs délais, compte tenu de ses habitudes
d'utilisation de la carte, le plafond prévu à la phrase précédente n'est pas applicable. Le contrat entre le
titulaire de la carte et l'émetteur peut cependant prévoir le délai de mise en opposition au-delà duquel le
titulaire de la carte est privé du bénéfice du plafond prévu au présent alinéa. Ce délai ne peut être inférieur à
deux jours francs après la perte ou le vol de la carte.
Le plafond visé à l'alinéa précédent est porté à 275 euros au 1er janvier 2002 et à 150 euros à compter du 1er
janvier 2003.”
633. Grâce aux nombreuses techniques de traçabilité, permettant l’imputation des actes, le
risque d’erreur technique est limité, la situation est en revanche bien plus délicate lorsqu’il
s’agit d’accuser son client de négligence.
§ 2 - LA NEGLIGENCE DU PAYEUR
635. Par ailleurs, l’article L133-23 du code monétaire et financier554 précise qu’en cas de
contestation, par le client, de l’opération, la banque doit prouver que l'opération en question
a été « authentifiée, dûment enregistrée et comptabilisée et qu'elle n'a pas été affectée par
552
Article L133-19 du Code Monétaire et Financier ; LOISEAU G., « Fraude à la carte bancaire sur internet :
une synthèse », Comm. com. électr. n° 5, Mai 2018, comm. 34 ;
553
Article L133-16 du Code Monétaire et Financier
554
Article L123-23 du Code Monétaire et Financier : « Lorsqu'un utilisateur de services de paiement nie avoir
autorisé une opération de paiement qui a été exécutée, ou affirme que l'opération de paiement n'a pas été
exécutée correctement, il incombe à son prestataire de services de paiement de prouver que l'opération en
question a été authentifiée, dûment enregistrée et comptabilisée et qu'elle n'a pas été affectée par une déficience
technique ou autre.
L'utilisation de l'instrument de paiement telle qu'enregistrée par le prestataire de services de paiement ne suffit
pas nécessairement en tant que telle à prouver que l'opération a été autorisée par le payeur ou que celui-ci n'a
pas satisfait intentionnellement ou par négligence grave aux obligations lui incombant en la matière. Le
prestataire de services de paiement, y compris, le cas échéant, le prestataire de services de paiement
fournissant un service d'initiation de paiement, fournit des éléments afin de prouver la fraude ou la négligence
grave commise par l'utilisateur de services de paiement. »
636. En pratique, cela peut donc être extrêmement difficile pour la banque de rapporter la
preuve de la négligence de son client. Aussi, la doctrine a longtemps considéré qu’il
s’agissait d’une preuve diabolique 555 » car presque impossible à apporter. La Cour de
cassation a par ailleurs rappelé à plusieurs reprises que le simple fait que la fraude ait été
effectuée en utilisant les données confidentielles normalement seulement connues par le
client, tel qu’un OTP SMS, ne suffisait pas556. Elle a néanmoins reconnu la négligence du
client qui avait admis avoir laissé sa carte bancaire dans sa boîte à gant accompagné de son
code confidentiel557.
637. Dans le cadre d’une fraude par « phishing », appelé aussi « hameçonnage », qui
consiste, pour un individu à répondre à un message qu’il croit émaner d’un de ses contacts,
souvent son opérateur internet ou sa banque, se pose également la question de la conscience
de l’individu qui répond au courrier malveillant. En effet, les techniques d’hameçonnage
étant plus ou moins sophistiquées, il semble légitime de rechercher si, au regard du message,
le client pouvait avoir conscience ou non de son caractère frauduleux. Il semble par ailleurs
juste de prendre également en compte le niveau de connaissances du client, qui pourrait être
dyslexique, ou manquer d’expérience en informatique.
555
KILGUS N., « Responsabilité du porteur d'une carte bancaire en cas de phishing », JCP Gn° 16, 16 Avril
2018, 458 ; CAPRIOLI E., « Responsabilité du particulier en cas d'hameçonnage », Comm. com. électr. n° 9,
Septembre 2018, comm. 68
556
Cass. Com., 18 janv. 2017, n° 15-18.102 ; Cass. Com., 18 janv. 2017, n° 15-18.224 ; Cass. Com., 18 janv.
2017, n° 15-18.466 ; Cass. Com., 18 janv. 2017, n° 15-22.783 ; Cass. Com., 18 janv. 2017, n° 15-26.058 ;
LASSERRE CAPDEVILLE J., « Précisions sur la question de la preuve en cas de fraude au paiement sur
internet », JCP G n° 10, 6 Mars 2017, 241 ; LOISEAU G., « Fraude à la carte bancaire sur Internet : qui paye
? », Comm. com. électr. n° 4, Avril 2017, comm. 33 ; RODRIGUEZ K., « Contestation des opérations de
paiement sur Internet : le fardeau de la preuve pour le banquier », JCP E n° 9, 2 Mars 2017, 1122
557
Cass. Com., 16 octobre 2012, n°11-19.981
558
Cass. Com., 25 oct. 2017, n° 16-11.644 ; LEGEAIS D., “Appréciation du manquement par négligence grave
d'une victime d'un acte de phishing”, JCP E n° 50, 14 Décembre 2017, 1685 ; BERNHEIM-DESVAUX S.,
« Hameçonnage », Contrats Concurrence Consommation n° 1, Janvier 2018, comm. 20
639. Dans un arrêt du 28 Mars 2018559, la chambre commerciale de la Cour de cassation est
cependant venue préciser que la recherche de la conscience de l’individu qui a répondu à un
message frauduleux doit se faire in abstracto, sans prendre en compte la situation de la
victime ni sa bonne foi. En l’espèce, un individu avait reçu plusieurs mails imitant
parfaitement le logo de sa banque, auxquels il avait donc répondu pensant avoir réellement
affaire à sa banque. La banque reconnaissait d’ailleurs elle-même que « seul un examen
vigilant des adresses internet changeantes du correspondant ou certains indices comme les
fautes d’orthographe du message » auraient pu interpeller le client, qui n’était, en
l’occurrence, pas avisé puisqu’il n’accédait jamais au site internet de sa banque et ignorait
donc les alertes de sa banque concernant les tentatives d’hameçonnage.
640. Étrangement donc, alors que la Cour de cassation peut sembler excessivement
protectrice des clients quand il s’agit de rapporter la preuve de leur négligence, elle semble
au contraire relativement sévère560 quand il s’agit d’évaluer la conscience de la victime du
caractère frauduleux du message.
641. En effet, les personnes les plus visées par les fraudes aux moyens de paiement sont
généralement celles maîtrisant le moins bien les outils numériques. Or, la notion de
négligence est subjective puisqu’elle dépend du niveau de connaissance et des compétences
de l’individu qui en fait preuve.
642. Ainsi, ce dispositif, appliqué strictement, pénalise une partie de la population qui a un
réel besoin d’accompagnement pour évoluer sereinement dans un environnement
numérique, là où il ne leur est offert qu’une sanction pure et simple de leur manque de
compétences numériques quand les juges l’appliquent selon une approche in abstracto.
559
Cass. Com., 28 mars 2018, n° 16-20.018, KILGUS N., « Responsabilité du porteur d'une carte bancaire en
cas de phishing », JCP G n° 16, 16 Avril 2018, 458 ; CAPRIOLI E., « Responsabilité du particulier en cas
d'hameçonnage », Comm. com. électr. n° 9, Septembre 2018, comm. 68
560
STORRER P, « La négligence grave de l’utilisateur de services de paiement ne se partage pas !”, Revue
Banque n°848, 2021, Note sous Cass. Com., 1er juill. 2020, n° 18-21.487, JCP E n° 42, 15 Octobre 2020,
1399 ; RODRIGUEZ K., « Indifférence de la bonne foi dans l'appréciation de la négligence grave du client qui
conteste une opération non autorisé », JCP E n° 42, 15 Octobre 2020, 1399 ; BONNEAU T, « La bonne foi du
client peut-elle avoir une incidence sur l’appréciation de la négligence grave reprochée à la victime
d’opérations de paiement non autorisées ? », Banque et Droit, n°194, 2020
644. Au regard de nos développements précédents, nous ne pouvons que nous demander si
le régime de responsabilité applicable au domaine bancaire concourt bien au renforcement
de la confiance numérique.
648. Si la réglementation n’offre pas à elle seule une réponse satisfaisante à notre
problématique de confiance numérique, il semble néanmoins que la notion de responsabilité,
au cœur de ces réglementations dites de confiance, soit tout de même un levier qui semble
approprié, si ce n’est qu’il devrait sans doute être employé différemment.
649. Et si, plutôt que de renforcer la protection des clients, celle-ci était, au contraire,
réajustée (§1) en vue d’inciter ceux-ci à s’impliquer davantage dans leur protection contre
les risques numériques (§2) ?
PROTECTION
650. À ses débuts, dans les années 90, le WEB était source de méfiance pour un certain
nombre d’individus, qui découvraient alors un écosystème avec lequel ils étaient peu
651. Il existe d’ailleurs désormais plusieurs générations d’individus qui n’ont pas connu de
monde sans le WEB, leur valant le surnom de digital natives562. Aussi peut-on s’étonner que
la protection juridique des individus utilisant des services numériques n’ait cessé de se
renforcer avec le temps, quand il aurait semblé, au contraire, logique de la diminuer au regard
de l’expérience, en principe, grandissante de ces derniers en la matière.
652. Mais la situation n’est en réalité par aussi simple puisqu’il existe en réalité des millions
d’individus qui ne maîtrisent pas bien les outils numériques, indépendamment de leur
génération. La question d’un réajustement de la protection des individus semble cependant
tout de même intéressante à étudier.
653. En effet, on peut se demander si une protection trop forte n’a pas pour effet de
déresponsabiliser les individus concernés, qui ne sont alors que peu inquiétés par les
conséquences des risques qu’ils prennent. En matière de fraudes aux moyens de paiement,
si la franchise applicable a vocation à inciter les individus à être réactifs dans la déclaration
des fraudes dont ils sont victimes, il semble illogique de continuer à la réduire.
654. Il nous semble en effet assez naturel qu’un individu prenne moins de précautions dans
le cadre de ses usages numériques s’il n’en supporte presque aucune conséquence. Pour
reprendre les termes de l’article L121-1 du Code des assurances, il pourrait sans doute être
vertueux, à des fins de responsabilisation, que les individus soient parfois leurs propres
assureurs563.
655. Certes, le système en place est vecteur de réassurance puisque les individus peuvent
alors évoluer sereinement dans un environnement numérique, mais ne vaudrait-il pas mieux
que ces derniers soient acteurs de leur confiance, en s’impliquant davantage dans leur propre
protection ?
561
P LE TOURNEAU., Contrats du numérique, Dalloz Référence, Chapitre 11, édition 2021
562
A ce jour, les digital natives représentent plus de 30% de la population française d’après les chiffres de
l’INSEE classant la population française par sexe et groupe d’âge.
563
Article L121-1 du Code des Assurances
IMPLICATION
656. Inciter les clients à s’impliquer davantage dans leur propre protection pourrait être une
piste, certes, intéressante, mais difficile à mettre en place. En effet, contrairement aux
diverses dispositions réglementaires évoquées précédemment dans cette étude, l’implication
du client ne peut pas faire l’objet d’une simple consigne à destination des professionnels
puisqu’elle suppose la pleine coopération des clients.
657. Par ailleurs, dans le domaine numérique, le sujet de l’implication des clients suppose
que ces derniers disposent d’un équipement adéquat et d’un minimum de connaissances en
informatique. Il serait en effet difficile de demander à des personnes qui ne savent pas
identifier une éventuelle situation de risque numérique, ni même parfois ne serait-ce que
s’informer en utilisant le WEB, de se responsabiliser sans leur en donner les moyens564.
658. Ce qui semble certain, c’est donc qu’une plus grande implication du client suppose,
non seulement de trouver comment les inciter à le faire, mais avant, et surtout, de les mettre
en capacité de le faire. Or, si le rééquilibrage du régime de responsabilité permettait de
répondre à la question de l’incitation en ce que les individus supporteraient, dans cette
hypothèse, une plus grande part de responsabilité, la question de la capacité nécessiterait
quant à elle un travail d’une tout autre ampleur puisqu’il s’agirait d’éduquer, et non plus de
simplement informer les individus565.
659. Ces solutions supposent, cependant, que les individus soient en mesure d’acquérir un
premier niveau de compétences numériques avant même d’envisager une entrée en relation
numérique avec une banque, ce qui nous amène à rechercher la réponse à notre
problématique de confiance numérique au-delà du simple domaine bancaire.
564
AUTIER E, « Numérique - Statistiques - Combattre l'illectronisme ! », JA 2019, n°609, p.10
565
A l’image de ce que propose la Directive 2008/48/ce du Parlement européen et du Conseil du 23 avril 2008
concernant les contrats de crédit aux consommateurs et abrogeant la directive 87/102/CEE du Conseil : « Les
États membres devraient prendre les mesures appropriées afin de promouvoir les pratiques responsables lors
de toutes les phases de la relation de prêt, en tenant compte des caractéristiques particulières de leur marché
du crédit. Ces mesures peuvent inclure, par exemple, l'information et l'éducation des consommateurs, y
compris des mises en garde sur les risques du défaut de paiement ou du surendettement. »
660. La garantie d’être indemnisé est un vecteur logique de confiance numérique, nous
comprenons donc que le législateur ait souhaité renforcer la confiance numérique des
individus en établissant un régime de responsabilité très protecteur de ces derniers.
661. Cependant, au regard de nos développements, il semble que ce régime mériterait d’être
rééquilibré, en vue d’inciter les individus à s’impliquer davantage, au risque, sinon, de les
infantiliser en leur donnant l’illusion d’évoluer dans une bulle étanche dans laquelle ils ne
subissent pas les conséquences de leurs actions.
662. En effet, le fait, pour un individu d’être indemnisé, à moins que l’établissement ne
prouve que ce dernier a commis une faute lourde, qui se matérialise par la mauvaise foi du
client ou une négligence grave, créé une situation dans laquelle le client est finalement peu
incité à s’impliquer dans sa propre sécurité.
663. Par ailleurs, il est étonnant que la franchise applicable en cas de paiement frauduleux
n’ait cessé d’être réduite depuis sa création, alors que les mesures de sécurité liées aux
moyens de paiement n’ont cessé de se renforcer, et que les paiements en ligne ne présentent
plus ce caractère de nouveauté qui pouvait justifier une protection renforcée des individus
en vue de les inciter à recourir à la pratique, alors nouvelle, du paiement en ligne.
664. À des fins de rééquilibrage de cette relation, une réduction de la protection des
individus et l’incitation de ces derniers à s’impliquer davantage sembleraient, a priori,
constituer des pistes intéressantes, et l’application dernièrement faite par les juges des
dispositions de l’article L133-19 du code monétaire et financier semblent aller dans ce sens.
665. En effet, comme nous le relevions plus tôt dans cette étude, alors qu’il a pendant un
temps été très difficile pour une banque d’établir la négligence grave du client, les juges
faisant preuve d’une grande sévérité à l’égard des banques en admettant très difficilement la
négligence grave du client566, depuis 2018, une application plus souple à l’égard des banques
et donc plus sévère à l’égard des clients est observée567.
566
Voir Cass com 2 octobre 2007 n° 05-19.89 ; Cass civ. 1re 28 mars 2008 n°07-10.186
567
Cass. Com., 6 juin 2018, no 16-29065
669. Contrairement à ce que l’on pourrait penser, ce phénomène ne frappe pas seulement
les individus les plus âgés. Beaucoup de personnes peu diplômées, isolées ou ayant de faibles
revenus sont également concernées. Or, cette situation est extrêmement préoccupante au
regard du caractère de plus en plus vital du numérique, comme l’a mis en exergue la
pandémie de la Covid 19, lors de laquelle de nombreux actes du quotidien ne pouvaient
s’effectuer qu’en ligne.
568
INSEE, « Une personne sur six n’utilise pas Internet, plus d’un usager sur trois manque de compétences
numériques de base - Insee Première - 1780 », Site internet de l’INSEE, 2019, disponible à l’adresse suivante :
https://www.insee.fr/fr/statistiques/4241397,consulté le 11/03/2022.
569
PONTIER J-M., « Lutte contre l’illectronisme ? AJDA 2020, 2020
671. Si la gravité de l’illectronisme n’est pas uniquement due à ses conséquences sur la
capacité à maîtriser les outils numériques mis à disposition de sa banque et à évoluer de
manière responsable dans un environnement numérique, il s’agit néanmoins d’une
circonstance suffisamment grave pour justifier, à elle seule, que l’État prenne soin de
remédier à cette situation.
672. Pour en revenir à notre sujet premier, celui de la confiance numérique dans le domaine
bancaire, il semble malheureusement que le législateur ait oublié de nombreux individus en
priorisant la question de la confiance numérique, quand beaucoup d’individus ne sont même
pas en mesure de rencontrer cette problématique.
673. Il semble par ailleurs quelque peu ironique que la France n’ait choisi de faire de ce
sujet une de ses priorités que peu de temps avant que la pandémie de la Covid 19 ne mette
en exergue la gravité de la situation, qui aurait dû être corrigée bien plus tôt. En effet, depuis
maintenant quelque temps, la France affiche enfin une stratégie concrète de lutte contre
l’illectronisme, proposant des mesures visant à permettre à chacun d’évoluer en
responsabilité dans un environnement numérique.
674. Ces mesures sont plus que nécessaires car la capacité d’un individu à maîtriser les
outils numériques (§1) et à évaluer la fiabilité du contenu qu’il peut rencontrer dans un
environnement numérique (§2) est indéniablement une compétence aujourd’hui essentielle
à chacun.
675. Dans la mesure où l’on considère que plus de 80% des salariés doivent mobiliser des
compétences numérisées570, le fait de ne pas posséder les compétences nécessaires à son
570
Rapport du programme société numérique, « Marché du travail et cartographie des compétences : une
demande croissante de compétences numériques », 2021, disponible en ligne à l’adresse suivante :
https://labo.societenumerique.gouv.fr/2021/05/31/marche-du-travail-et-cartographie-des-competences-une-
demande-croissante-de-competences-numeriques/,consulté le 11/03/2022.
676. Cette situation doit nous amener à considérer qu’il existe deux prérequis essentiels en
termes d’équipement : la détention d’un équipement informatique adéquat (A) et d’une
adresse électronique (B).
678. En 2020, les Français achetaient leurs smartphones à un prix moyen de 420 euros572,
soit plus que le montant d’un loyer mensuel pour certains logements. Le prix moyen d’un
ordinateur ou d’une tablette milieu de gamme se situe également dans ces environs. Il est
ainsi difficile d’acquérir l’un de ces trois appareils, même bas de gamme, pour moins de 200
euros, somme relativement conséquente pour certains foyers.
679. À ces prix élevés, s’ajoute le fait que ces appareils ont une durée de vie limitée et
supposeront des frais d’entretien qui peuvent s’avérer considérables. Par ailleurs, à ces
équipements matériels doivent aussi être associés des abonnements auprès de fournisseurs
d’accès internet ou d’opérateurs téléphoniques qui représentent un coût récurrent conséquent
pour les revenus modestes et n’offrent pas toujours un niveau de service suffisant pour
utiliser internet de manière appropriée. En 2021, on estimait que 9% des individus ne
571
BERGALA L., «15 % d’agences en moins en 2022 », Revue Banque, N°842, 2020
572
AZZEMOU S., « Les Français achètent leur smartphone à un prix moyen de 420 euros », Phonandroid,
2020. L’article est disponible en ligne à l’adresse suivante : https://www.phonandroid.com/les-francais-
achetent-leur-smartphone-a-un-prix-moyen-de-420-euros.html,consulté le 11/03/2022.
680. Au même titre qu’il existe des aides à l’acquisition d’un logement ou d’un véhicule, il
semble étonnant qu’il n’existe pas de dispositif national 574 d’aide à l’acquisition d’un
ordinateur, si ce n’est le dispositif de crédit à taux zéro que propose la CAF pour l’achat
d’un premier ordinateur575. À ce titre, la proposition figurant dans le rapport d’information
sur l’illectronisme consistant en la mise en place d’un chèque équipement destiné à l’achat
ou la location d’équipement informatique pour les ménages à bas revenu576 semblait louable,
il est donc regrettable qu’elle ait été rejetée par le Sénat en première lecture, craignant que
ce dispositif ne soit une coquille vide577...
681. Si l’absence de détention d’un équipement numérique adéquat est un handicap en soi,
le fait, pour un individu, de ne par ailleurs pas disposer d’un courriel, est souvent bloquant
lorsqu’il s’agit de souscrire, y compris en face-à-face.
573
Page 46 de l’édition 2021 du Baromêtre du numérique, réalisé pour le Conseil Général de l’Economie
(CGE), l’Autorité de régulation des communications électroniques, des postes et de la distribution de la presse
(ARCEP) et l’Agence Nationale de la Cohésion des Territoires (ANCT) en 2021. Le document est disponible
à l’adresse suivante : https://www.arcep.fr/uploads/tx_gspublication/rapport-barometre-numerique-edition-
2021.pdf,consulté le 11/03/2022.
574
S’il n’existe pas de dispositif national, il existe bien des dispositifs régionaux dans certaines régions.
575
Site officiel de la Caisse d'Allocations Familiales (CAF)
576
Proposition n°34 issue du rapport d’information « L'illectronisme ne disparaîtra pas d'un coup de tablette
magique !” de Raymond VALL fait au nom de la mission d’information contre l’illectronisme et pour
l’inclusion numérique.
577
Proposition de Loi contre l’illectronisme et pour l’inclusion numérique, version adoptée par le Sénat en
première lecture le 14 avril 2021 ; Amendement présenté par SOILIHI M. le 12 avril 2021 à l’article 8 de la
proposition de loi : « Le présent amendement tend à supprimer l’article 8 qui vise à créer un « chèque-
équipement numérique » afin d’équiper les ménages démunis en terminaux numériques et un Fonds de lutte
contre l’exclusion numérique, qui serait géré par l’Agence nationale de la cohésion des territoires (ANCT).
Le Gouvernement prend d’ores et déjà en compte la problématique de l’exclusion numérique dans le cadre de
sa stratégie de dématérialisation des services publics et de son plan de relance à travers lequel il lui consacre
250 millions d’euros. Les deux aides que tend à créer l’article 8 risquent de n’être que des « coquilles vides »
en l’absence de garanties de financement et d’articulation avec les dispositifs existants.
Par ailleurs, la centralisation des fonds relevant de la lutte contre l’exclusion numérique dans un fonds géré
uniquement par l’Agence nationale de la cohésion des territoires pourrait nuire aux nombreuses initiatives
locales et nationales, qu’il s’agisse d’aides financières ou d’infrastructures, qui prennent déjà en compte les
spécificités territoriales… ».
682. Parmi les circonstances pouvant placer un individu en difficulté quand il s’agit
d’utiliser des services du quotidien, y compris des services bancaires, l’absence de
messagerie électronique, ou le fait de ne pas savoir s’en servir est particulièrement grave. En
effet, une adresse de messagerie électronique est aujourd’hui systématiquement demandée
lors de l’entrée en relation avec une entreprise ou administration, car la grande majorité des
correspondances s’effectuent de manière dématérialisée. Le site gouvernemental
impots.gouv met d’ailleurs à disposition des usagers un guide expliquant comment se créer
une adresse mail578, nécessaire quand on sait que plus de 11% des Françaises et 7% des
Français ne disposent ni de courriel personnel, ni de courriel professionnel579.
683. Bien sûr, ces individus ont la possibilité de recevoir leurs documents financiers
contractuels par courrier conformément à l’ordonnance sur la dématérialisation des relations
contractuelles dans le secteur financier 580 , mais cela les place tout de même dans une
situation de désavantage certain par rapport à ceux qui peuvent utiliser une messagerie
électronique, notamment quand ces personnes vivent par ailleurs dans des zones isolées.
684. Sans messagerie électronique, un individu sera par exemple souvent contraint de payer
pour recevoir un duplicata de relevé de compte si celui-ci est perdu, quand ils sont souvent
mis à disposition ou renvoyés gratuitement sous format électronique. Pour contacter un
conseiller, le délai de traitement sera, de fait, prolongé en raison des délais postaux ou des
délais de disponibilité et d’attente téléphonique, quand un contact par messagerie
578
Fiche tutoriel « je n’ai pas encore d’adresse électronique » mise à disposition sur le site internet impots.gouv
à l’adresse suivante :
https://www.impots.gouv.fr/sites/default/files/media/srp/plsu/fiches/03_impots_gouv_fr_creer_adresse_electr
onique.pdf,consulté le 11/03/2022.
579
Edition 2021 du Baromêtre du numérique, réalisé pour le Conseil Général de l’Economie (CGE), l’Autorité
de régulation des communications électroniques, des postes et de la distribution de la presse (ARCEP) et
l’Agence Nationale de la Cohésion des Territoires (ANCT) en 2021. Le document est disponible à l’adresse
suivante : https://www.arcep.fr/uploads/tx_gspublication/rapport-barometre-numerique-edition-
2021.pdf,consulté le 11/03/2022.
580
Ordonnance n° 2017-1433 du 4 octobre 2017 relative à la dématérialisation des relations contractuelles dans
le secteur financier, JORF n°0233 du 5 octobre 2017
685. Enfin, l’absence de messagerie électronique est généralement bloquante quand il s’agit
d’utiliser un espace personnel en ligne, aussi, ces individus sont privés de la possibilité de
réaliser tous les actes en self care auxquels les autres clients ont accès.
688. En effet, l’illectronisme, tel que définie dans le rapport de l’INSEE de 2020581, ne
qualifie que les individus ne possédant aucune des quatre compétences que sont la recherche
d'information en ligne, la communication électronique, la résolution de problématiques, tel
qu’accéder à un compte bancaire ou copier un fichier, et l’usage de logiciels582. Les individus
ne possédant que certaines de ces compétences ne sont ainsi par comptabilisés comme
souffrant d’illectronisme. Dans le rapport d’information du 17 septembre 2020 de M.
Raymond VALL, intitulé « L’illectronisme ne disparaîtra pas d’un coup de baguette
581
INSEE, « 800 000 habitants en situation d’illectronisme en hauts de France », 8 décembre 2020, Site de
l’INSEE, disponible en ligne à l’adresse suivante : https://www.insee.fr/fr/statistiques/4986976,consulté le
11/03/2022.
582
INSEE, « 800 000 habitants en situation d’illectronisme en hauts de France », 8 décembre 2020, Page 2 du
rapport,Site de l’INSEE, disponible en ligne à l’adresse suivante:
https://www.insee.fr/fr/statistiques/4986976,consulté le 11/03/2022.
689. Par leur manque de maîtrise du numérique, ces personnes sont ainsi relativement
exposées face aux risques de désinformation au travers des « infox » (A) et de manière
générale, à la cybercriminalité (B).
691. Si la désinformation est une pratique ancienne, elle a été véritablement mise en lumière
ces dernières années au travers de son utilisation dans la sphère politique. En effet, la
publication de faux articles et leur relais à grande échelle grâce aux réseaux sociaux peuvent
conduire certains individus, à ne pas comprendre qu’il s’agit de fausses informations et les
mener à prendre une décision différente de celle qu’ils auraient normalement prise.
692. Lors des élections américaines de 2016, un faux communiqué de presse annonçant le
soutient du Vatican en la personne du Pape François au candidat républicain Donald Trump
avait largement été relayé sur les réseaux sociaux584. Plus récemment, encore, de nombreuses
fausses informations ont circulé concernant l’invasion de l’Ukraine par l’armée russe en
février 2022585. Lors de la pandémie de la COVID 19 également, une fausse information
583
VALL R., “Rapport d’information fait au nom de la mission d'information sur la lutte contre l'illectronisme
et pour inclusion numérique, intitulé - L'illectronisme ne disparaîtra pas d'un coup de tablette magique !”, 2020,
page 31. Le rapport est disponible en ligne à l’adresse suivante: https://www.senat.fr/rap/r19-711/r19-
711.html,consulté le 11/03/2022.
584
PANFILI R., « Le pape soutient Trump: l'article le plus viral de la fin de campagne américaine était un
faux », Site internet Slate.fr, 2016. L’article est disponible en ligne à l’adresse suivante :
https://www.slate.fr/story/128945/article-viral-trump-pape,consulté le 11/03/2022.
585
AUDUREAU W., « Crise ukrainienne : en ligne, la guerre de la désinformation bat son plein », Le Monde,
2022. L’article est disponible en ligne à l’adresse suivante : https://www.lemonde.fr/les-
decodeurs/article/2022/02/22/crise-ukrainienne-en-ligne-la-guerre-de-la-desinformation-bat-son-
plein_6114789_4355770.html,consulté le 11/03/2022.
694. Les risques associés à la circulation de fausses informations sont tels que les géants du
WEB comme Facebook 588 et Google 589 investissent massivement pour en stopper la
circulation590. Certains pays, comme la France, y ont également consacré des lois visant à
contraindre les plateformes à ne pas laisser ce type d’information circuler591. Au niveau
européen également, la Proposition de Règlement relatif à un marché intérieur des services
numériques du 15 décembre 2020, dit règlement DSA, entend également renforcer le
dispositif de lutte contre la désinformation592.
695. Dans le domaine bancaire, cette incapacité à dissocier une fausse information d’une
vraie peut être problématique et conduire certains individus à se mettre en danger en réalisant
par exemple des investissements hasardeux au motif qu’un article leur en aura venté les
avantages. Ou encore, à refuser d’utiliser des outils mis à disposition par leurs banques parce
que des articles sans fondements réels en auront présenté des risques non avérés.
586
LASSERRE CAPDEVILLE J., « Vaccin, crédit immobilier et « fake news » : le mélange inquiétant”, RD
bancaire et fin. n° 5, Septembre 2021, alerte 123
587
VERCUEIL L, « La Loi de Brandolini ou le principe d'asymétrie du baratin : un défi pour les scientifiques »,
site interne Écho science Grenoble, 2016
588
BELENIERI R., « Facebook se dote d'un système d'alerte rétroactif sur les « fake news », Les Echos, 2020
589
TUAL M., « Que font les géants du Web contre les fausses informations ? », Le Monde, 2018
590
THORBECKE C., « Google pledges nearly $30 million to fight online misinformation, fake news », Abc
News, 2021. L’article est disponible en ligne à l’adresse suivante : https://abcnews.go.com/Business/google-
pledges-30-million-fund-fighting-online-misinformation/story?id=76788419,consulté le 11/03/2022.
Loi n° 2018-1202 du 22 décembre 2018 relative à la lutte contre la manipulation de l'information ; TUAL
591
M., « L’Allemagne vote une loi obligeant les réseaux sociaux à supprimer les contenus haineux », Le Monde,
2017
592
Proposition de Règlement du Parlement européen et du Conseil relatif à un marché intérieur des services
numériques (Législation sur les services numériques) et modifiant la directive 2000/31/C, COM/2020/825
final,
697. En 2019, l’INSEE indiquait dans son étude sur l’illectronisme qu’une personne sur
quatre ne savait pas s’informer correctement en utilisant internet594, or, cette faiblesse est
très souvent exploitée par les cybercriminels.
B - L’EXPOSITION A LA CYBERCRIMINALITE
698. L’illectronisme ou le manque d’expérience dans l’usage des outils numériques sont
des circonstances que les cybercriminels ciblent particulièrement. En effet, les individus
dans cette situation peuvent plus facilement se faire avoir par des pratiques frauduleuses
telles que le phishing, puisqu’ils n’auront pas suffisamment de recul dans la pratique des
outils numériques pour se méfier de ce type de manœuvre.
699. C’est pour cette raison, notamment, que les personnes âgées sont particulièrement
ciblées595 par des fraudes dites au « faux support informatique » consistant à proposer des
services d’assistance informatique et à en profiter pour subtiliser des données et/ou de
l’argent à ces personnes ; ou des tentatives de phishing prenant la forme d’un courriel dans
lesquelles des personnes se faisant passer pour de vieilles connaissances en difficulté leur
demandent une aide financière….
593
ROGEY E, « Les « fake news » à l'ère de MAR : l'AMF sanctionne une agence de presse pour diffusion de
fausses informations », RD bancaire et fin. n° 3, Mai 2020, étude 9
594
INSEE, « 800 000 habitants en situation d’illectronisme en hauts de France », 8 décembre 2020, Site de
l’INSEE, disponible en ligne à l’adresse suivante : https://www.insee.fr/fr/statistiques/4986976,consulté le
11/03/2022.
595
TROGNEE F., « Les seniors, cible privilégiée des cybercriminels », JDN, 2020
701. En effet, ce n’est qu’en bénéficiant d’un apprentissage numérique adéquat que les
individus pourront apprendre à utiliser les outils numériques et à en faire un usage prudent,
en étant, par exemple, en mesure d’identifier si un site internet est fiable et d’entrer
sereinement en relation avec un établissement à distance. Les vecteurs de confiance
numérique évoqués en première partie de cette étude requièrent en effet tous des
compétences numériques au moins élémentaires. À ce titre, il semble nécessaire d’apprendre
aux individus à faire confiance dans un environnement numérique.
596
BIGOT J et JOISSAINS S., « Rapport d'information n° 613 (2019-2020)- Cybercriminalité : un défi à
relever aux niveaux national et européen », 2020
703. Pour exprimer un choix, encore faut-il, donc, savoir identifier les critères à prioriser,
se renseigner sur le tiers ou outil envisagé et le comparer avec les autres. Or, si cette
démarche peut paraître naturelle pour certains individus, elle peut sembler inutile, ou
impossible à réaliser pour d’autres, qui n’ont jamais pris le réflexe de réellement se
renseigner pour évoluer en sécurité dans un environnement numérique, ou qui n’en ont tout
simplement pas les compétences.
706. Les réflexions des institutions autour de la nécessité de former les individus au
numérique sont loin d’être nouvelles. Pourtant, la France, et l’UE ont beaucoup tardé à
prendre des mesures concrètes visant à corriger la situation dont l’importance est pourtant
identifiée de longue date. L’UE considère d’ailleurs que le numérique est l’une des huit
compétences clés, c’est-à-dire une des compétences « nécessaires à tout individu pour
597
Extrait de la Recommandation du Parlement Européen et du conseil du 18 décembre 2006 sur les
compétences clés pour l'éducation et la formation tout au long de la vie (2006/962/CE) : « Les compétences
sont définies en l'occurrence comme un ensemble de connaissances, d'aptitudes et d'attitudes appropriées au
contexte. Les compétences clés sont celles nécessaires à tout individu pour l'épanouissement et le
développement personnels, la citoyenneté active, l'intégration sociale et l'emploi.
Le cadre de référence décrit huit compétences clés :
1. Communication dans la langue maternelle ;
2. Communication en langues étrangères ;
3. Compétence mathématique et compétences de base en sciences et technologies ;
4. Compétence numérique ;
5. Apprendre à apprendre ;
6. Compétences sociales et civiques ;
7. Esprit d'initiative et d’entreprise ; et
8. Sensibilité et expression culturelles. » ;
En 2010 encore, dans le cadre de la présentation de sa stratégie numérique pour l’Europe du 19 mai 2010, la
Commission Européenne indiquait pourtant qu’« Il est essentiel de former tous les Européens à l'utilisation
des TIC et des médias numériques et, en particulier, de rendre les formations dans le domaine des TIC
attrayantes aux yeux des jeunes. Il faut accroitre sur les plans qualitatif et quantitatif les compétences en
matière de TIC et de commerce en ligne, c'est-à-dire les compétences numériques nécessaires à l'innovation
et à la croissance. »
598
Extrait de la stratégie numérique pour l’Europe du 19 mai 2010, page 29 : « Dans de nombreux cas, cette
exclusion est due à un manque de compétences, notamment en matière d'outils et de médias numériques, qui a
une incidence sur la capacité d'apprendre, de créer et de participer mais aussi de faire preuve de confiance et
de discernement dans l'utilisation des médias numériques. L'accessibilité et la fonctionnalité peuvent aussi
constituer des difficultés pour les personnes handicapées. La réduction de la fracture numérique peut
permettre d'intégrer les membres des catégories sociales défavorisées dans la société numérique au même titre
que les autres citoyens (et notamment leur donner accès aux services qui les intéressent directement, tels que
l'apprentissage, l'administration et la santé en ligne) et les aider à augmenter leurs chances d'accéder à
l'emploi pour sortir de leur condition défavorisée. La compétence numérique fait donc partie des huit
compétences clés qui sont considérées comme fondamentales pour un individu vivant dans la société de la
connaissance40. Il est également essentiel que les mesures garantissant la sécurité lors de l'utilisation de
l'internet soient connues de tous. »
711. En 2019, un autre rapport, cette fois-ci consacré à la dématérialisation et aux inégalités
d'accès aux services publics 603 , mettait en exergue l’inquiétude du Défenseur des
droits concernant les laissés-pour-compte de la dématérialisation604.
599
Communication de la Commission au Parlement européen, au Conseil, au Comité économique et social
européen et au Comité des régions concernant une stratégie pour un marché unique numérique en Europe du 6
mai 2015
600
Extrait de la Communication de la Commission au Parlement européen, au Conseil, au Comité économique
et social européen et au Comité des régions concernant une stratégie pour un marché unique numérique en
Europe du 6 mai 2015 : « La responsabilité des programmes d'enseignement incombe aux États membres qui
doivent remédier de toute urgence au manque de compétences numériques essentielles. La Commission
soutiendra leurs efforts et jouera son rôle dans le renforcement de la reconnaissance des qualifications et
compétences numériques et dans le relèvement du niveau de professionnalisme dans les TIC en Europe.
La Commission fera des compétences et de l'expertise numériques un élément essentiel de ses futures initiatives
en matière de compétences et de formation. »
601
Communication de la Commission au Parlement européen, au conseil, au Comité́ économique et social
européen et au Comité des régions relative à un plan d’action en matière d’éducation numérique 2021-2027 du
30 septembre 2020.
602 Rapportd’information sur la cybercriminalité « Protéger les internautes » remis en 2014 aux ministres
Christiane TAUBIRA, Arnaud MONTEBOURG et Bernard CAZENEUVE et à la secrétaire d'État au
Numérique Axelle LEMAIRE.
603
Défenseur des droits, « Rapport concernant la dématérialisation et les inégalités d’accès aux services
publics », 2019
604
Ibid.
713. Le Conseil National du Numérique, une commission consultative créée en 2011 par
un décret du 29 avril 2011 et ayant pour but « d'éclairer le Gouvernement et de participer
au débat public dans le domaine du numérique »606 n’avait étonnamment pas relevé cette
circonstance dans son avis du 30 novembre 2015607 alors même qu’il rappelait dans ses
considérants que « si l’appropriation des outils numériques par le plus grand nombre est un
enjeu majeur, l’appropriation des compétences liées est un enjeu vital608. »
714. Visiblement consciente du peu de mesures prises par les Etats membres, la
Commission Européenne a annoncé, en septembre 2020, qu’elle prendrait un certain nombre
605
Titre 3 de la Loi pour une république numérique « L’accès au numérique », articles 69 à 109
606
Décret n° 2011-476 du 29 avril 2011 portant création du Conseil national du numérique, NOR :
INDX1111287D, JORF n°0101 du 30 avril 2011
607
Conseil National du Numérique, Avis n°2015-3 concernant le projet de Loi pour une république numérique,
2015
608
Page 2 de l’avis n°2015-3 du Conseil National du Numérique concernant le projet de Loi pour une
république numérique : « Ainsi la société numérique doit-elle être la société de tous. Le développement du
numérique ne peut être le cheval de Troie d’une précarisation et d’une atomisation accrues des individus ou
encore d’un effritement de notre modèle social. Le numérique doit au contraire participer d’une croissance
économique durable, être mis au service d’une solidarité qui s’exprime aussi bien entre territoires qu’entre
générations et groupes sociaux. Si l’appropriation des outils numériques par le plus grand nombre est un enjeu
majeur, l’appropriation des compétences liées est un enjeu vital. Sans cet accompagnement, sans des
médiations au plus près des populations en souffrance. »
715. En 2019, le Sénat a créé une mission d’information sur la Lutte contre l’illectronisme
et pour l’inclusion numérique610, dont le rapport d’information intitulé « L'illectronisme ne
disparaîtra pas d'un coup de tablette magique !611» a donné lieu à 45 propositions suivant 7
axes parmi lesquels figure le fait d’évaluer plus finement l’exclusion numérique et le fait de
proclamer l’inclusion numérique comme priorité nationale612.
716. À la suite de ce rapport, une proposition de loi contre l’illectronisme et pour l’inclusion
numérique613 a été présentée et est en cours de discussion au Parlement614. Les dispositions
de cette proposition de loi matérialisent, enfin, la prise de conscience de la France quant à la
609
Communication de la Commission au Parlement européen, au conseil, au Comité́ économique et social
européen et au Comité́ des régions relative à un plan d’action en matière d’éducation numérique 2021-2027 du
30 septembre 2020. Les mesures annoncées consisteront à : « lancer un dialogue stratégique avec les États
membres en vue de préparer une éventuelle proposition de recommandation du Conseil d’ici 2022 sur les
facteurs favorisant la réussite de l’éducation numérique », « sur la base des enseignements tirés de la crise de
la COVID-19, proposer une recommandation du Conseil sur l’apprentissage en ligne et à distance dans
l’enseignement primaire et secondaire d’ici fin 2021 », « élaborer un cadre relatif au contenu d’éducation
numérique », « soutenir, le cas échéant, la connectivité gigabit des écoles, ainsi que la connectivité dans les
écoles », « mettre à profit les projets de coopération Erasmus17 pour appuyer les plans de transformation
numérique », « faciliter la compréhension des technologies émergentes et de leurs applications dans le
domaine de l’éducation, élaborer des lignes directrices éthiques sur l’intelligence artificielle (IA) et
l’utilisation des données dans l’enseignement et l’apprentissage à l’intention des enseignants », « Élaborer
des lignes directrices communes à l’intention des enseignants et du personnel éducatif pour favoriser l’habileté
numérique et lutter contre la désinformation par l’éducation et la formation », « mettre à jour le cadre
européen des compétences numériques », « Créer un certificat européen de compétences numériques »,
« proposer une recommandation du Conseil sur l’amélioration de l’enseignement des compétences numériques
dans le domaine de l’éducation et de la formation. », « faciliter la collecte transnationale de données sur les
compétences numériques des apprenants », « encourager l’acquisition de compétences numériques
avancées, « Encourager la participation des femmes aux STIM », et établir « un pôle européen d’éducation
numérique »
610
Voir la page dédiée à la Mission d’information « Lutte contre l’illectronisme et inclusion numérique » sur
le site official du Sénat, disponible à l’adresse suivante:
http://www.senat.fr/commission/missions/lutte_contre_lillectronisme.html,consulté le 11/03/2022.
611
VALL R., “Rapport d’information fait au nom de la mission d'information sur la lutte contre l'illectronisme
et pour inclusion numérique, intitulé - L'illectronisme ne disparaîtra pas d'un coup de tablette magique !”, 2020.
Le rapport est disponible en ligne à l’adresse suivante: https://www.senat.fr/rap/r19-711/r19-711.html,consulté
le 11/03/2022.
612
Ibid. Axes 1 et 3 du rapport.
613
Voir le dossier législatif de la proposition de loi sur le site du Sénat à l’adresse suivante :
http://www.senat.fr/leg/ppl20-367.html,consulté le 11/03/2022.
614
Au 25 septembre, le teste a été adopté en première lecture par le Sénat, moyennant quelques modifications.
717. Parmi les solutions proposées par le rapport d’information sur l’illectronisme, figure
la « construction d’une éducation nationale 2.0 qui serait le fer de lance de la lutte contre
l’illectronisme 615 ». Dans ce cadre, il est notamment proposé de mettre en place un
recensement périodique des difficultés numériques rencontrées par les élèves et enseignants
dans chaque académie, d’intégrer le numérique à la formation initiale et périodique des
enseignants, et d’ajouter un test de détection de l’illectronisme à la journée Défense et
Citoyenneté616.
719. En effet, si la formation initiale et continue au numérique des enseignants a bien été
maintenue à l’article 13618, en revanche, l’intégration d’un test de détection de l’illectronisme
lors de la journée de Défense et Citoyenneté a été rejetée au motif que ce dispositif aurait
615
VALL R., “Rapport d’information fait au nom de la mission d'information sur la lutte contre l'illectronisme
et pour inclusion numérique, intitulé - L'illectronisme ne disparaîtra pas d'un coup de tablette magique !”, 2020,
Axe n°6. Le rapport est disponible en ligne à l’adresse suivante: https://www.senat.fr/rap/r19-711/r19-
711.html,consulté le 11/03/2022.
616
Ibid. Propositions 38 à 41.
617
Proposition de Loi relative à la lutte contre l’illectronisme et pour l’inclusion numérique, du 16 février 2021.
Article 13 de la proposition de Loi contre l’illectronisme dans sa version adoptée par le Sénat le 14 avril
618
2021
721. Cela nécessite évidemment que les enseignants soient, eux-mêmes, bien formés au
numérique, mais aussi, que les éventuels élèves qui échappent au système éducatif, ou à la
vigilance des enseignants, soient pris en charge quand il est encore temps. Aussi, la mise en
place d’un test à l’occasion de la journée Défense et Citoyenneté, qui prévoit déjà un test de
détection de la dyslexie qui a permis de détecter en 2019 plus de 10% de jeunes avec des
difficultés à lire dont 5% en situation d’illettrisme620, serait un moyen efficace de détecter
plus largement les jeunes en manque de compétences numériques.
722. Espérons donc que cette disposition soit réintroduite lors des débats parlementaires.
Dans tous les cas, ces mécanismes, devront continuer à être complétés par des dispositifs
nationaux ciblés pour également venir en aide aux adultes ne maîtrisant pas bien le
numérique.
619
Amendement présenté par SOILIHI M. à la proposition de loi : « Le présent amendement vise à supprimer
l’article 2 qui tend à ajouter un test de compétences numériques au programme de la Journée Défense
Citoyenneté (JDC) afin d’améliorer la détection de l’exclusion numérique.
En effet, ces compétences sont déjà évaluées par l’Éducation nationale en fin de collège et de lycée par le
groupement d’intérêt public PIx.
En outre, le programme de la JDC a régulièrement été modifié et densifié au détriment de sa cohérence et de
sa réceptivité par un public âgé entre 18 et 25 ans. Ainsi, ajouter un test des compétences numériques viendrait
alourdir un programme déjà chargé, sauf à supprimer certains éléments comme ce fut le cas pour la formation
aux gestes de premiers secours, alors qu’elle ne s’inscrit pas dans les objectifs « Défense » et « Citoyenneté »
prescrit par le code du service national. ».
620
Voir la page “Journée défense et citoyenneté : 5,3% des jeunes en situation d'illettrisme” du Site internet
Vie publique, 2020. La page est disponible à l’adresse suivante : https://www.vie-publique.fr/en-bref/274912-
journee-defense-et-citoyennete-illettrisme-pour-53-des-jeunes,consulté le 11/03/2022.
725. C’est dans ce cadre que l’Agence du numérique a été créée par le Décret n° 2015-113
du 3 février 2015 portant création d'un service à compétence nationale dénommé « Agence
du numérique 621 ». Cette agence a pour mission de piloter un certain nombre de projets
numériques de la France, tel que le projet « France très haut débit622 » qui vise à permettre
l’accès au haut débit à tous les Français, mais aussi à « favoriser la diffusion des outils
numériques et le développement de leur usage auprès de la population623 ».
726. En 2018, le lancement, dans le cadre de la Mission Société Numérique du plan national
pour un numérique inclusif624 piloté par le secrétaire d’État chargé du numérique Mounir
MAHJOUBI, a renforcé le dispositif existant en établissant un plan d’actions visant à assurer
la détection et la prise en charge des publics concernés par l’illectronisme. À ce titre, nous
saluons la mise en place du pass numérique, permettant aux individus de bénéficier d’un
accompagnement au numérique pris en charge au moins partiellement par un tiers payeur,
Décret n° 2015-113 du 3 février 2015 portant création d'un service à compétence nationale dénommé «
621
728. L’État dispose ainsi de nombreuses pistes dans la lutte contre l’illectronisme, et a su,
notamment grâce aux dispositifs de soutien financiers des initiatives privées tels que les hubs
France Connectée627, également encourager les initiatives privées en la matière.
729. En complément des dispositifs publics de lutte pour l’inclusion numérique et contre
l’illectronisme, des actions privées sont nécessaires pour aboutir à une responsabilisation
des individus et les mettre en situation de réellement choisir d’accorder ou non leur confiance
à des tiers dans un environnement numérique.
730. Cette évolution nécessite cependant de tout d’abord faire évoluer la formation des
professionnels, notamment ceux du secteur bancaire, en vue de leur permettre
d’accompagner les clients dans leur montée en compétences (A), mais aussi de développer
les initiatives privées ayant vocation à former et sensibiliser les individus qui en ont besoin
(B).
625
Ibid.
626
VALL R., “Rapport d’information fait au nom de la mission d'information sur la lutte contre l'illectronisme
et pour inclusion numérique, intitulé - L'illectronisme ne disparaîtra pas d'un coup de tablette magique !”, 2020,
proposition 30. Le rapport est disponible en ligne à l’adresse suivante: https://www.senat.fr/rap/r19-711/r19-
711.html,consulté le 11/03/2022.
627
ANONYME, « Médiation numérique : lancement de l’appel à projets hubs France connectée », Site internet
du Labo société numérique, 2018, disponible à l’adresse suivante :
https://labo.societenumerique.gouv.fr/2018/09/17/mediation-numerique-lancement-de-lappel-a-projets-hubs-
france-connectee/,consulté le 11/03/2022.
732. Outre les situations les plus extrêmes, on peut par ailleurs tout à fait concevoir qu’une
personne, bien que maîtrisant le numérique, ait par ailleurs besoin d’un accompagnement
spécifique dans l’utilisation des outils mis à disposition par sa banque. Dans une telle
situation, la banque de l’individu a un rôle primordial à jouer, en s’assurant que ce dernier
soit bien en mesure de trouver les informations qu’il recherche, par le biais de supports de
formation ou de FAQ par exemple, ou bien en lui proposant de bénéficier d’un
accompagnement spécifique par un conseiller.
734. Nous ne pouvons qu’espérer que les formations liées au digital et l’accompagnement
des clients dans l’utilisation des outils bancaires digitaux intégreront un jour la liste des
formations obligatoires à l’exercice des professions bancaires, au même titre que celles sur
la lutte contre le blanchiment d’argent et le financement du terrorisme.
735. À défaut de dispositifs mis en place par leurs banques, les individus sont parfois
contraints de se tourner vers un accompagnement extérieur, notamment auprès
628
Défenseur des droits, « Dématérialisation et inégalités d'accès aux services publics”, 2019, disponible à
l’adresse suivante : https://www.defenseurdesdroits.fr/fr/rapports/2019/01/dematerialisation-et-inegalites-
dacces-aux-services-publics, consulté le 11/03/2022. Le rapport du Défenseur des droits nous indiquait à cet
effet que seulement 32% des Français déclarent ne pas connaître de freins au recours de démarches en lignes,
les autres citent en majorité comme freins la complexité des démarches en ligne et leur manque d’aisance en
informatique.
736. Parallèlement aux dispositifs de formation numérique nationaux, quelques tiers privés
contribuent activement à la montée en compétences numérique des individus.
737. Citons en premier lieu l’association Emmaüs Connect630, qui lutte depuis 2013 pour
l’inclusion numérique des individus en organisant des ateliers et formations gratuits pour les
personnes ayant besoin de se former au numérique, ainsi que des ventes de matériel
informatique d’occasion à prix abordable. Dans le cadre de la pandémie liée à la Covid 19,
Emmaüs Connect a notamment pu venir en aide en urgence à 40 000 individus qui étaient
en détresse en raison de leur manque de compétences numériques, ne pouvant parfois même
pas aider leurs enfants dans leurs devoirs ni commander leurs courses631. Depuis sa création,
Emmaüs Connect est venu en aide à plus de 90 000 personnes, parmi lesquelles 41%
n’avaient pas de compte courant632.
738. Soulignons également quelques initiatives locales, telle que l’initiative rochelaise Net
Connect633, qui propose elle aussi des formations au numérique et des ordinateurs en accès
libre pour permettre à chacun de réaliser ses démarches sans avoir à investir dans un
équipement, ou l’association « Le comptoir numérique », qui propose la même chose dans
les Yvelines634.
629
FRETIN F, « Repenser la relation client : le conseiller bancaire, futur pivot de la transformation bancaire
? », Revue Banque n°857, 2021
630
Site internet de l’association Emmaüs Connect, disponible à l’adresse suivante : https://emmaus-
connect.org,consulté le 11/03/2022.
631
Emmaus Connect, rapport d’activité 2020, 2021, Page 2, disponible à l’adresse suivante : https://emmaus-
connect.org/wp-content/uploads/2021/06/Rapport-dactivite-2020-Emmaus-Connect_def-SD.pdf,consulté le
11/03/2022.
632
Emmaus Connect, rapport d’activité 2020, 2021, Page 8
633
Site internet de l’initiative Net Connect, disponible à l’adresse suivante :
https://netsolidaire.wordpress.com,consulté le 11/03/2022.
Site internet de l’association « Le comptoir numérique », disponible à l’adresse suivante : https://www.le-
634
comptoir-numerique.fr/lassociation/,consulté le 11/03/2022.
741. La confiance numérique ne doit surtout pas devenir un sentiment naturel pour être
viable, elle doit être le résultat d’un processus décisionnel propre à chaque individu. Aussi
faut-il que les dispositifs d’apprentissage du numérique se développent pour ne plus laisser
d’individus en marge de la révolution numérique.
742. En effet, alors que 17% de la population française manque des quatre compétences
numériques de base635 et que près de 43% manquent d’au moins l’une d’entre elles, il semble
que la recherche d’une solution à la problématique de confiance numérique soit largement
conditionnée par la résolution de la problématique de manque de compétences numériques
qui indique la mise en place de dispositifs importants visant à l’inclusion numérique de
chacun.
744. À ce titre, les différentes initiatives, privées comme publiques, ayant vu le jour en
France, nous laissent espérer que la situation pourra s’améliorer dans les années à venir.
635
INSEE, « Une personne sur six n’utilise pas Internet, plus d’un usager sur trois manque de compétences
numériques de base - Insee Première - 1780 », Site internet de l’INSEE, 2019, disponible à l’adresse suivante :
https://www.insee.fr/fr/statistiques/4241397,consulté le 11/03/2022.
745. Pour l’établissement d’une confiance numérique saine, à laquelle le client contribuerait
activement, et qui ferait l’objet d’un processus de décision éclairé, la responsabilisation des
individus semble être essentielle.
747. La mise en place de mesures visant à détecter les individus en situation d’illectronisme
et à les accompagner dans leur montée en compétences numérique est indéniablement un
prérequis à la confiance numérique, aussi, il est louable que de nombreuses actions aient vu
le jour ces dernières années, si ce n’est un peu tard compte tenu du constat ancien de la
situation comme le montrent les différents textes le mentionnant636.
636
Recommandation du Parlement Européen et du conseil du 18 décembre 2006 sur les compétences clés pour
l'éducation et la formation tout au long de la vie (2006/962/CE) ; Communication de la Commission au
Parlement européen, au Conseil, au Comité économique et social européen et au Comité des régions sur Une
stratégie numérique pour l'Europe ; Communication de la Commission au Parlement européen, au Conseil, au
Comité économique et social européen et au Comité des régions concernant une stratégie pour un marché
unique numérique en Europe du 6 mai 2015 ; Avis n°2015-3 du Conseil National du Numérique concernant le
projet de Loi pour une république numérique Rapport d’information sur la cybercriminalité « Protéger les
internautes » remis en 2014 aux ministres TAUBIRA, MONTEBOURG et CAZENEUVE et à la secrétaire
d'État au Numérique LEMAIRE. ; Rapport du Défenseur des Droits concernant la dématérialisation et les
inégalités d’accès aux services publics remis le 8 janvier 2019, Rapport d’information « L'illectronisme ne
disparaîtra pas d'un coup de tablette magique !” de Raymond VALL faut au nom de la mission d’information
contre l’illectronisme et pour l’inclusion numérique du 17 septembre 2020.
637
En décembre 2021
638
Voir le dossier législatif de la proposition de Loi sur le site du Sénat à l’adresse suivante :
http://www.senat.fr/leg/ppl20-367.html,consulté le 11/03/2022.
749. En conclusion de cette partie, qui consistait à étudier s’il existait un rapport entre
confiance numérique et responsabilité, il nous semble pouvoir affirmer que tel est bien le
cas.
751. À cet égard, le fait, pour une banque de ne pas répondre aux attentes de ses clients en
ce qui concerne la traçabilité et l’imputabilité des actes réalisés sur leur patrimoine, de même
que la fiabilité et la sécurité des outils qu’elles mettent à leur disposition, peut amener ses
derniers à remettre en question la confiance numérique qu’ils lui avaient accordée, et
entraîner de fait sa responsabilité.
752. S’il est effectivement important que les clients puissent avoir confiance dans leur
banque pour assurer la sécurité de leur patrimoine, nos développements nous amènent à
conclure qu’il est nécessaire d’impliquer davantage les clients eux-mêmes dans leur sécurité
numérique, au risque, sinon, de ne pas pouvoir établir une véritable confiance numérique
entre ces derniers et leur banque.
753. Rendre les individus acteurs de leur confiance numérique nécessite cependant que des
mesures soient prises pour leur assurer une bonne maîtrise des outils numériques, prérequis
essentiel à l’implication des individus en vue d’en faire des acteurs de la confiance
numérique à laquelle ils aspirent.
754. La lutte contre l’illectronisme et pour l’inclusion numérique de chacun doit à ce titre
être priorisé, au risque, sinon, de ne jamais trouver de solution à la problématique de
confiance numérique.
756. En effet, il semble indéniable que la confiance numérique occupe une place importante
dans la relation entre une banque et son client en environnement numérique, et qu’il existe
à ce titre de nombreux leviers. Mais l’incidence de ces différents leviers sur la décision du
client de faire confiance ou non à sa banque ou les outils mis à disposition est variable.
757. Les leviers intervenant au stade de la conclusion du contrat peuvent finalement être
perçus comme étant peu efficaces au regard du processus de décision du client de choisir un
établissement plutôt qu’un autre. À défaut de prendre réellement le temps de lire l’intégralité
des informations qui lui sont présentées, il semble en effet que la décision des individus soit
finalement largement influencée par des signes de confiance superficiels comme la
réputation. Le client n’est alors pas mis en situation de se demander, individuellement, si tel
établissement est plus digne de sa confiance qu’un autre.
760. Il semble à cet égard que si les dispositifs issus des réglementations existantes sont
bien des vecteurs de confiance numérique, la confiance numérique qui en est issue est
relativement artificielle dans la mesure où les individus peuvent sembler peu impliqués, tant
dans son établissement, que dans son entretien. À la question qui a justifié cette étude, nous
avons donc maintenant plusieurs pistes de réponses.
639
Extrait de l’article L312-1-7 du Code Monétaire et Financier :
« Les établissements de crédit mettent à la disposition de leurs clients une documentation relative à la mobilité
bancaire, gratuitement et sans condition, sur support papier ou sur un autre support durable, dans leurs locaux
et sous forme électronique sur leur site internet.
L'établissement d'arrivée, qui ouvre le nouveau compte de dépôt dans le cadre du changement de domiciliation
bancaire, propose au client, gratuitement et sans condition, un service d'aide à la mobilité bancaire permettant
un changement automatisé des domiciliations bancaires, vers le nouveau compte, des prélèvements valides et
virements récurrents du compte d'origine. »
763. Ensuite, il semble que la surprotection des individus, qu’il s’agisse d’établir des
mécanismes des garanties menant à ce qu’ils ne supportent pas les conséquences de leurs
éventuelles négligences, ou de les informer toujours plus sans s’assurer que les informations
soient réellement lues et comprises, n’est pas une piste viable sur le long terme en matière
de confiance numérique.
640
Dans son avis 2014-2 sur la neutralité des plateformes et son avis 2015-3 sur le projet de Loi pour une
république numérique, le Conseil National du Numérique propose en effet de développer le recours à la
notation des entreprises au travers d’agence qui évaluerait ces dernières sur la base de critères déterminants ;
Extrait de l’avis 2015-3 du Conseil National du Numérique : « Il existe aujourd’hui de nombreuses initiatives
visant à informer sur les pratiques et tendances observées dans les écosystèmes numériques. Toutefois, cette
expertise demeure “éclatée”, à la fois entre les domaines juridiques (vie privée, fiscalité, concurrence...), les
domaines plus techniques (systèmes d’exploitation, référencement, interfaces de programmation, interfaces
web) et les public concernés (particuliers, associations de consommateurs, communauté technophile, éditeurs
d’applications etc.). Au travers d’une plateforme Web, une agence de notation de la loyauté serait chargée
d’animer un réseau ouvert de contributeurs et pourrait occuper les missions suivantes :
1. Rendre accessible via un point d’entrée unique la diversité d’outils et d'informations déjà existants, tels que
des outils de tracking de la circulation des données d’un service à l’autre, de comparaison des CGU et de leur
lisibilité, etc. ;
2. Fédérer les remontées d’informations, sur les problématiques et les bonnes pratiques, en offrant un espace
de signalement aux utilisateurs et aux observateurs plus experts ;
3. Publier à échéance régulière des avis pouvant déboucher sur des labels ou une notation du comportement
des acteurs, sur une base multicritère (respect de la vie privée, clarté des CGU, comportement sur le plan
commercial, sur le plan fiscal, etc.).
4. Mettre ces avis à disposition des consommateurs, entrepreneurs, investisseurs publics et privés.
5. Sur la base de ces remontées directes et indirectes, lancer des études plus approfondies lorsqu’un problème
récurrent émerge et mettre les résultats à disposition des autorités concernées. Mobiliser à cette fin des
capacités techniques de rétro-ingénierie pour détecter par exemple les discriminations illicites (origine
ethnique, IP tracking, etc.). »
Dans l’introduction de leur ouvrage « Banque et assurances digital », E. CAPRIOLI, P. AGOSTI, I.
641
766. Les différents chantiers réglementaires en cours, notamment concernant les services
de paiement, l’intelligence artificielle, et les outils de confiance, avec la révision du
Règlement eIDAS, contribueront, sans doute, à améliorer la confiance numérique des
individus, mais espérons que la France aille également au bout de ses travaux sur l’inclusion
numérique, sans quoi, la problématique de la confiance numérique ne sera
vraisemblablement jamais réellement résolue.
AGOSTI P., CAPRIOLI E., CHOUKRI I. et CANTERO I., L’identité numérique dans le
droit et la pratique, Revue Banque, 2021.
ARCELIN L., ET FOURGOUX J.L., Droit du marché numérique, LGDJ Les intégrales,
2021.
BARBET MASSIN A., FLEURET F., LOURIMI A., O’RORKE W., PION C., Droit des
cryptoactifs et de la blockchain, Lexisnexis Droit du numérique, 2020.
BONNEAU T., Droit bancaire, LGDJ Domat droit privé, 14e éd., 2021.
BONNEAU T., PAILLER P., ROUAUD A.C., TEHRANI A., VABRES R., Droit
Financier, LGDJ Domat droit privé, 2017.
BREHIER B., Droit bancaire et financier : mélanges AEDBF France, Revue Banque, 2021.
DALLE F., QUEMENER M., et WIERRE C., Quels droits face aux innovations numériques
? Gualino, 2020.
LASSERRE CAPDEVILLE J., STORCK M., MIGNOT M., KOVAR J-P., ERESEO N.,
Précis de Droit Bancaire, 3eme édition, Dalloz, 2021
Page 260 sur 317
EYNARD J., L'identité numérique ; quelle définition pour quelle protection ? Larcier,
Création Information Communication, 30 décembre 2020.
FERAL SCHUL C., Cyberdroit, Le droit à l'épreuve de l’Internet, 8eme Edition, Dalloz,
2020.
FLORE D., FRANSSEN V., Société numérique et droit pénal, Bruylant, 2019.
GRYNBAUM L., LE GOFFIC., MORLET HAÏDARA L., Droit des activités numériques,
Précis Dalloz, 2014.
POULLET Y., Le RGPD face aux défis de l'intelligence artificielle, Larcier, 2020
DIOP M.,
DUDEZERT F.,
DWYER N.,
MOHTY O.,
ZWOLINSKA M.,
RAPPORTS D’INFORMATION
ENQUETES ET ETUDES
ACPR
CSA ET HADOPI, « Étude sur les assistants vocaux et enceintes connectée », site
internet du CSA, 2019.
FBF ET IFOP, « « Les Français, leur banque, leurs attentes », Site internet de l’IFOP,
site internet de l’IFOP, 2021.
IFOP, « Comment les enceintes intelligentes peuvent être un « game changer » pour
les marques ? », site internet de l’IFOP, 2019.
INSEE
- « Une personne sur six n’utilise pas Internet, plus d’un usager sur trois
manques de compétences numériques de base - Insee Première - 1780 », site
internet de l’INSEE, 2019.
HCJP
- « Quel délégué à la protection des données (DPO) faut-il à votre entité ? », Revue
Banque n°824, 2018.
ALT E.,
ARCELIN L.,
AUTIER E.,
BANCK A.,
BENEZECH L.,
BENOIS F-R.,
- « Le name and shame », Revues des Juristes de Sciences Po n° 20, Février 2021,
21.
BERGALA L.,
BERNELIN M.,
BERNHEIM-DESVAUX S.,
- « Condamnation de Facebook pour 430 clauses abusives et illicites figurant dans les
conditions générales d'utilisation du réseau social », Contrats Concurrence
Consommation n° 6, Juin 2019, comm. 113.
BLANC P.,
BONNEAU J-C.,
BONNEAU T.,
- "DSP2 : entre continuité et innovation", Banque et droit Hors série n°2016-1, 2016.
BOSCO D.,
BOUCARD F.,
BOURGEOIS M.,
BOURSIER M-E.,
- « Le nouveau cadre juridique des relations entre les banques et leurs clients »,
Contrats Concurrence Consommation n° 3, Mars 2002, chronique 5.
- « La mise en œuvre des nouvelles relations entre les banques et leurs clients », JCP
E n° 9, 27 Février 2003, 312.
- « Cartes de paiement. Cartes de crédit », J. Cl. Banque - Crédit - Bourse, Fasc. 930,
2019.
BOYER S.,
CABON S-M.,
CAFFARD C.,
CAHEN P.,
CAMPI M.,
- « Deux stratégies d’open banking sont possibles pour les banques », Revue Banque
n°837,2019.
CAPRIOLI E.,
CASSON P.,
CATHELINEAU A.,
CAZENEUVE B.,
CERUZZI P. E.,
CHAPTAL S.,
CHATELLIER-CHAMOULAND A.,
CHAUVEL P.,
CONSTANS E.,
CROZE H.,
D’ASSIGNIES R.,
DAUVERGNE G.,
- « Le plan de la France pour mettre fin au paiement par SMS », Revue Banque n°836,
2019.
DEBET A.,
- « Affaire Google Street View : une sanction exemplaire..., mais quelles suites ? »,
Communication Commerce électronique n° 1, Janvier 2012, étude 1.
- « Quelle législation pour la protection des données aux États-Unis (1re partie) ? » ,
Communication Commerce électronique n° 5, Mai 2019, comm. 36.
DE BONY C-E.,
DELEBECQUE P.,
DE LEUSSE J-F.,
- « Pour une agence, nouveau carrefour de la relation client », Revue Banque n°634,
2004.
- « Comment gérer les mots de passe ? », JCP G n° 18, 6 Mai 2019, 499
DESGENS-PASANAU G.,
DE VAUPLANE H.,
- « Quand les robots remplaceront les juges… », Revue Banque n° 809, 2017
DOUVILLE T.,
DREYFUS N.,
- « Assurer le risque cyber : une opportunité pour la défense des marques en ligne ? »,
Communication Commerce électronique n° 5, Mai 2019, étude 11
ELIDRISSI A.,
- « De nouveaux outils pour gérer la relation client », Revue Banque n°605, 2004
FEUGERE W.,
FERAL-SCHUL C.,
FOLLY K. A.,
FONTAINE M.,
FRETIN F.,
GAILLARD E.,
GANASCIA J. G.,
GARBEY G.,
- « Les banques ne sont pas encore prêtes pour le cloud » , Banque et Stratégie n°376,
2019.
GARDON D.,
GARDOU C.,
GATFAOUI S.,
GOBALAKICHENIN S.,
- « Les règles de sécurité prévues par la directive sur les services de paiement dans le
marché intérieur (DSP2) », Cahiers de droit de l'entreprise n° 5, Septembre 2020,
prat. 25
HARDOUIN S.,
- « Agence bancaire de demain : quelle place pour l'humain ? », Revue Banque n°827,
2018
JANSON N.,
JOUFFIN E.,
JOURDAIN P.,
JOVENE J.,
KLEINER C.,
KOLIFRATH G.,
LANCRI M.,
LASSALLE M.,
LE BLANC B.,
LECOURT A.,
LEBOUCHER S.,
LEGEAIS Dominique,
- « Open Banking : menace ou opportunité pour les banques ?”, Revue de Droit
bancaire et financier n° 5, Septembre 2017, repère 5
LE GOFFIC C.,
LESSI J.,
LETOURNEAU P.,
LOISEAU G.,
LUHMANN N.,
MARTIAL-BRAZ N.,
MARTIN A.,
MARTUCCI F.,
MARZANO M.,
- « Qu'est-ce que la confiance ? », Études, vol. tome 412, no. 1, 2010, pp. 53-63.
- « Les objets connectés à travers le prisme du RGPD », Banque & Droit n°HS-2018-
2, 2018
MATHEY N.,
MATHIOS F.,
MAYMONT A.,
MIGNON E.,
MOLY F.,
- « Protection des intérêts clients à l’ère digitale : quels traitements de données ? Une
illustration par le cas du profilage », Revue Banque n°812, 2017
MOREL-MAROGER Juliette.,
MORIO C.,
MOUY S.,
- « Nouvelle donne annoncée dans les relations clients digitales », Revue Banque,
n°860, 2021
NACCARATO M.,
NERI A.,
PERRAY R.,
PIEDELIEVRE S.,
POLROT S.,
PONSOT J-F.,
PONTIER J-M.,
POUZIN L.,
RADE C.,
RAYMOND G.,
RENARD I.,
RODRIGUEZ Karine.,
ROGEY E.,
- « Les « fake news » à l'ère de MAR : l'AMF sanctionne une agence de presse pour
diffusion de fausses informations », Revue de Droit bancaire et financier n° 3, Mai
2020, étude 9
ROUSSILLE M.,
ROZIER G.,
- « ACPR et AMF : publication d'un rapport sur l'application des règles de LCB/FT
au secteur des cryptoactifs dans le cadre du Forum FinTechs ACPR-AMF », Revue
de Droit bancaire et financier n° 6, Novembre 2020, alerte 85
SAMIN T.,
SCEMAMA D.,
STORRER P.,
- « Le risque informatique fait son entrée dans l’arrêté du 3 novembre 2014 relatif au
contrôle interne », Revue Banque n°855, 2021
TANDEAU DE MARSAC.,
THEBAULT P. A.,
THIERRY J-B.,
TRAN C.,
UNTERMAIER-KERLEO E.,
VERBIEST T.,
- CJUE, 2 sept. 2021, aff. C-337/20, Caisse régionale de Crédit agricole mutuel
(CRCAM) – Alpes-Provence
DECISIONS DE LA CNIL
DECISIONS DE L’ANSSI
- « Conférences et séminaires » :
https://acpr.banque-france.fr/page-sommaire/conferences-et-seminaires, consulté le
11/03/2022
- « Sanctions » : https://www.amf-france.org/fr/sanctions-transactions/sanctions-et-
transactions-accueil, consulté le 11/03/2022
- « Rapports d’information :
https://www2.assemblee-nationale.fr/documents/liste/(type)/rapports-
information/(legis)/15, consulté le 11/03/2022
- TROGNEE F., « Les seniors, cible privilégiée des cybercriminels », JDN, 2020
- « Codes » :
https://www.legifrance.gouv.fr/liste/code?etatTexte=VIGUEUR&etatTexte=VIG
UEUR_DIFF, consulté le 11/03/2022
- « Jurisprudence » : https://www.legifrance.gouv.fr/contenu/menu/droit-national-
en-vigueur/jurisprudence, consulté le 11/03/2022
- « Actualités » : https://www.europarl.europa.eu/news/fr
- ANONYME.,
- « Amour sur Internet : "Quand on est naïf, on en fait les frais" », Le Monde,
2012, disponible à l’adresse suivante :
https://www.lemonde.fr/vous/article/2012/07/10/escrocs-de-l-amour-sur-
internet-quand-on-est-naif-on-en-fait-les-frais_1731759_3238.html, consulté
le 11/03/2022
- CHARREL M., Le cours du bitcoin frôle son sommet historique à 66 000 dollars,
Le Monde, 2021, disponible à l’adresse suivante :
https://www.lemonde.fr/economie/article/2021/11/03/le-cours-du-bitcoin-frole-
toujours-des-sommets_6100770_3234.html, consulté le 11/03/2022.
- LEMAITRE F., “La Chine teste sa monnaie virtuelle pour un lancement prévu en
février 2022 », Le Monde, 2021, disponible à l’adresse suivante :
https://www.lemonde.fr/economie/article/2021/01/14/la-chine-teste-sa-monnaie-
virtuelle-pour-un-lancement-prevu-en-fevrier-2022_6066242_3234.html, consulté
le 11/03/2022.
- PEDROLETTI B., « En Chine, le « crédit social » des citoyens fait passer les
devoirs avant les droits”, Le Monde, 2020, disponible à l’adresse suivante :
https://www.lemonde.fr/idees/article/2020/01/16/le-credit-social-les-devoirs-
avant-les-droits_6026047_3232.html, consulté le 11/03/2022.
- PIQUARD A., « Google va renoncer aux cookies, ces fichiers qui traquent les
internautes, une annonce qui ne convainc pas », Le Monde, 2021, disponible à
l’adresse suivante : https://www.lemonde.fr/economie/article/2021/03/05/fin-des-
cookies-les-annonces-de-google-font-grincer-des-dents_6072134_3234.html,
consulté le 11/03/2022.
- TUAL M.,
- « L’Allemagne vote une loi obligeant les réseaux sociaux à supprimer les
contenus haineux », Le Monde, 2017, disponible à l’adresse suivante :
Page 300 sur 317
https://www.lemonde.fr/pixels/article/2017/07/03/l-allemagne-vote-une-loi-
obligeant-les-reseaux-sociaux-a-supprimer-les-contenus-
haineux_5154760_4408996.html, consulté le 11/03/2022.
- « Que font les géants du Web contre les fausses informations ? », Le Monde, 2018,
disponible à l’adresse suivante :
https://www.lemonde.fr/pixels/article/2018/01/05/que-font-les-geants-du-web-
contre-les-fausses-informations_5237787_4408996.html, consulté le 11/03/2022.
- SIX N., « Apple affine le blocage du suivi publicitaire sur iPhone et iPad », Le
Monde, 2021, disponible à l’adresse suivante :
https://www.lemonde.fr/pixels/article/2021/04/28/apple-affine-le-blocage-du-
suivi-publicitaire-sur-iphone-et-ipad_6078379_4408996.html, consulté le
11/03/2022.
REGLEMENTS EUROPEENS
DIRECTIVES EUROPEENES
- Loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés. JORF
du 7 janvier 1978.
- Loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique. JORF, n°
0143 du 22 juin 2004, Texte 2. NOR : ECOX0200175L.
- Loi n° 2005-102 du 11 février 2005 pour l'égalité des droits et des chances, la
participation et la citoyenneté des personnes handicapées, JORF n°36 du 12 février 2005,
Texte n° 1, NOR : SANX0300217L.
- Loi n° 2016-1321 du 7 octobre 2016 pour une République numérique. JORF n°0235 du 8
octobre 2016, Texte 1, NOR : ECFI1524250L.
- Loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles. JORF
n°0141 du 21 juin 2018, Texte 1, NOR : JUSC1732261L.
DECRETS
- Décret n° 2009-834 du 7 juillet 2009 portant création d'un service à compétence nationale
dénommé « Agence nationale de la sécurité des systèmes d'information », JORF n°0156
du 8 juillet 2009, NOR : PRMD0914748D.
- Décret n° 2015-113 du 3 février 2015 portant création d'un service à compétence nationale
dénommé « Agence du numérique », JORF n°0029 du 4 février 2015, NOR :
EINP1427911D.
- Décret n° 2016-1673 du 5 décembre 2016 relatif à la fiabilité des copies et pris pour
l'application de l'article 1379 du code civil. JORF n°0283 du 6 décembre 2016, texte n°
61, NOR : JUSC1624640D.
- Décret n° 2018-418 du 30 mai 2018 relatif aux modalités de mise en œuvre du service de
coffre-fort numérique, JORF n°0123 du 31 mai 2018, NOR : ECOI1801826D.
- Décret n° 2019-536 du 29 mai 2019 pris pour l'application de la loi n° 78-17 du 6 janvier
1978 relative à l'informatique, aux fichiers et aux libertés, JORF n°0125 du 30 mai 2019,
NOR : JUSC1911425D.
ARRETES
- Arrêté du 26 octobre 2010 relatif au fichier national des incidents de remboursement des
crédits aux particuliers, JORF n°0253 du 30 octobre 2010, NOR : ECET1024001A.
- Arrêté du 25 juillet 2016 modifiant l'arrêté du 14 juin 1982 relatif à l'extension d'un
système automatisé de gestion du fichier des comptes bancaires, JORF n°0180 du 4 août
2016, NOR : FCPE1621508A.
Cryptoactifs
- Définitions, 112 et s -K-
- Encadrement, 114 et s
- Problématique pour les états, 121 et s KYC, 137 et s
-L-
-D-
Legal Design, 325 et s
Désinformation, 690 et s LCB-FT, 94 et s
Données à caractère personnel
- Craintes, 183 et s
-M-
- Maîtrise, 205 et s
Mauvaise foi du payeur, 630 et s
- Obligations à la charge des banques, 197
et s Monnaie numérique de banque
- Protection de la vie privée, 187 et s centrale, 131 et s
-O- -S-
Open Banking Signature électronique, 138, 149 et s,
- Définition, 429 et s 162, 164, 379 et s
- Cas d’usages, 445 et s
Secret bancaire, 98, 101, 190 et s
- Encadrement, 455 et s
SuperApp, 558 et s
-P- -T-
Phishing, 541, 637 et s, 698 Traçabilité des opérations, 427 et s ,
444, 455 et s, 633
Prestataires de services de paiement,
437 et s, 463
SOMMAIRE ............................................................................................................ 3
INTRODUCTION .................................................................................................... 9
II - Thèses........................................................................................................... 262