Banque et Assurance digitales
Droit et Pratiques
Pascal Agosti
Isabelle Cantero
Ilène Choukri
RB
Liste des principales abréviations7
Préface de Myriam Roussille17
Introduction19
Partie I
Exigences juridiques applicables à la banque et à l'assurance digitales
Chapitre I
Enjeux et réalités de la protection des consommateurs en ligne27
Section I
Un cadre juridique hétérogène, stratifié et complexe30
§ 1 - L'ordonnance du 6 juin 2005 sur la commercialisation à distance de services financiers auprès des consommateurs : la pierre angulaire de la transposition nationale31
§ 2 - Le détour obligé par la loi pour la confiance dans l'économie numérique et l'ordonnance du 16 juin 200532
§ 3 - Les principaux apports de la loi sur la consommation du 17 mars 2014 pour la banque et l'assurance en ligne33
§ 4 - La loi de séparation et de régulation des activités bancaires du 26 juillet 2013 : les mécanismes de contrôle pour les services bancaires35
§ 5 - Textes spécifiques aux produits et aux services financiers36
Section II
Les défis de l'obligation d'information précontractuelle du consommateur de banque et d'assurance en ligne38
§ 1 - Les contours de l'obligation d'information précontractuelle38
§ 2 - Le contenu de l'obligation d'information précontractuelle39
§ 3 - La déclinaison de sanctions42
Section III
La notion de support durable43
§ 1 - La notion de support durable en droit européen44
§ 2 - Les dispositions opérationnelles du droit français46
A. La reprise de la définition du support durable46
B. De l'usage du support durable en matière de contrats de banque et d'assurance en ligne47
1. Les dispositions du Code de la consommation47
2. Les dispositions du Code monétaire et financier48
3. Les dispositions du Code des assurances49
Section IV
Droits de rétractation et de renonciation dans les services bancaires et assurantiels50
§ 1 - Les dispositions du droit européen en matière de prestations bancaires et d'assurance à distance51
§ 2 - La transposition en droit français51
A. Les caractéristiques générales du droit de rétractation en matière de services financiers52
B. Les dispositions spécifiques à la banque en ligne52
C. Les dispositions spécifiques à l'assurance en ligne54
A. Les modalités pratiques55
1. Concernant le formulaire en ligne55
2. Concernant la détermination du point de départ55
Section V
Les mécanismes de protection contre les clauses abusives en ligne56
§ 1 - Les clauses abusives touchant à l'authentification58
§ 2 - La question de la survenance d'un problème technique59
Section VI
L'impact pour les consommateurs de la nature « hors sol » des contrats de banque et d'assurance digitale61
§ 1 - Au niveau de la réglementation européenne61
A. Le niveau de la protection du consommateur61
B. Le critère déterminant et néanmoins incertain du « lien étroit »62
§ 2 - Au niveau de la législation nationale63
A. Les règles entre États membres63
B. Les rapports avec les États tiers et l'explicitation de la notion de lien étroit63
Chapitre II
La protection des données à caractère personnel67
Section I
Le cadre de la protection et certaines de ses évolutions à anticiper70
§ 1 - La gouvernance des données71
A. Rappel du statut et des principales prérogatives de la CNIL72
B. Quelques lignes directrices sur le Délégué à la protection des données73
1. La désignation du Délégué à la protection des données personnelles73
a. La procédure74
b. La qualification74
c. Les incompatibilités75
2. Les missions75
3. Les moyens76
4. Le statut76
5. Les responsabilités77
§ 2 - Le principe d'une protection différenciée selon les catégories de données77
A. Les données protégées77
1. Les données relatives à la santé77
2. Les données bancaires79
3. Les données relatives aux mineurs81
4. Les données des personnes décédées81
B. Les identifiants numériques82
1. L'adresse IP82
2. Les témoins de connexion (cookies)84
3. Les données pseudonymisées87
§ 3 - L'application des principes de protection aux services de banque et d'assurance en ligne88
A. Le principe de finalité88
B. L'accomplissement des formalités déclaratives92
1. Les principes du contrôle a priori de la CNIL92
2. Les formalités CNIL pour le secteur des assurances93
3. Les formalités CNIL pour le secteur bancaire96
C. La sécurité des données97
D. Durée de conservation des données99
E. L'« Accountability » ou principe de responsabilité posé par le RGPD102
1. Les principes de « Privacy by design » et de « Privacy by default »103
2. L'analyse d'impact sur la vie privée prévue par le RGPD103
3. L'évolution du principe de sécurité pendant le traitement105
a. Les exigences portant sur les mesures de sécurité105
b. La notification des violations de données personnelles106
c. L'évolution du statut du sous-traitant107
§ 4 - Le renforcement des droits des personnes107
A. Les nouveaux droits108
1. Droit à l'information108
2. Droit à limitation du traitement109
3. Droit à portabilité des données110
4. Droit lié à une décision automatisée111
B. Le renforcement des droits existants111
1. Le droit d'opposition111
a. Le droit d'opposition dans la loi « Informatique et Libertés »111
b. Le droit d'opposition dans le RGPD112
2. Le droit d'accès aux données113
a. Le droit d'accès dans la loi « Informatique et Libertés »113
b. Le droit d'accès dans le RGPD116
3. Le droit de rectification117
4. Le droit à l'effacement des données117
Section II
La prospection commerciale des données118
§ 1 - Les obligations posées par la loi pour la confiance dans l'économie numérique (LCEN)119
A. Le cadre juridique de la protection120
1. Définition de la prospection directe120
2. Critères de la prospection directe121
a. Les moyens visés121
b. Les personnes concernées122
B. Le principe de la protection123
1. Le consentement préalable (« Opt-in »)123
2. L'obligation d'information124
§ 2 - Les contraintes liées à protection des données personnelles125
A. La constitution des fichiers de prospects125
1. Les données interdites de prospection126
2. Les données strictement encadrées127
B. Le respect des principes « Informatique et Libertés »129
1. L'information préalable de la personne concernée129
2. Le respect du principe de finalité131
3. L'accomplissement des formalités auprès de la CNIL134
4. Le respect des droits des personnes136
a. Le droit d'opposition137
b. Le droit d'opposition avant toute prospection : les listes d'opposition137
c. Le droit d'opposition dans le RGPD139
§ 3 - Les sanctions139
Section III
Le profilage et le Big Data142
§ 1 - Définitions et caractéristiques du profilage143
§ 2 - Définitions et caractéristiques du Big Data145
§ 3 - La difficile application de principes de protection146
Section IV
Transfert des données à caractère personnel149
§ 1 - Cadre juridique applicable jusqu'en mai 2018151
A. Transfert et directive n° 95/46/CE du 24 octobre 1995151
1. Le principe d'interdiction des transferts ne présentant pas un niveau de protection adéquat151
2. Les dérogations au principe152
a. La libre circulation des données dans les États membres153
b. Les pays bénéficiant d'un niveau de protection adéquat154
i. Les fondements154
ii. Le Safe Harbor154
iii. Le bouclier de protection des données ou « Privacy Shield »156
c. Les clauses contractuelles158
i. Les clauses contractuelles types158
ii. Les règles internes contraignantes159
B. Transfert et loi « Informatique, Fichiers et Libertés »161
1. Le principe162
2. Les dérogations162
3. Les sanctions163
§ 2 - Transfert des données et règlement général de protection des données164
A. Le principe général applicable aux transferts165
B. Les fondements juridiques admis pour les transferts166
1. Transferts fondés sur une décision d'adéquation166
a. Décisions d'adéquation166
b. Décision d'inadéquation167
2. Transferts fondés sur des garanties appropriées168
3. Transferts fondés sur des règles d'entreprise contraignantes169
C. Les dérogations prévues pour des situations particulières170
D. Les aspects internationaux des transferts170
Chapitre III
Conformité légale173
Section I
Lutte contre le blanchiment des capitaux et le financement du terrorisme174
§ 1 - Les différents niveaux de vigilance178
A. Vigilance simplifiée178
B. Vigilance normale179
C. Vigilance renforcée181
§ 2 - Identification et « connaissance client »182
A. Extension du domaine de la connaissance client183
B. Collecte raisonnable des informations en vertu de la protection des données personnelles184
§ 3 - Exemples de jurisprudence en matière de LAB-FT186
Section II
Contrôle interne et sécurité de l'information187
§ 1 - Arrêté du 3 novembre 2014 et contrôle interne dans le secteur bancaire187
§ 2 - Le Système d'Information, support du contrôle interne190
§ 3 - Prestations de services essentiels externalisées194
§ 4 - Contrôle interne dans le secteur des assurances196
Section III
Secret professionnel197
§ 1 - Secret bancaire198
§ 2 - Le secret des données de santé202
Chapitre IV
De la sécurité des systèmes d'information et de l'information205
Section préliminaire
Un cadre juridique de plus en plus étoffé205
Section I
Sécurité et cybersurveillance des salariés206
§ 1 - Charte d'utilisation des ressources numériques207
A. Principes généraux208
B. Élaboration de la charte et respect de procédures209
C. Contenu de la charte212
§ 2 - Construction jurisprudentielle du régime juridique212
A. Consécration de l'application de la charte212
B. Sécurisation interne et cyber-surveillance des salariés214
1. Fichiers et messages électroniques214
2. Navigation sur Internet215
3. Équipements personnels217
4. Usage des réseaux sociaux218
5. Les équipements téléphoniques219
Section II
Identification et authentification220
§ 1 - Principaux fondements relatifs à l'identification et l'authentification222
A. Éléments de définitions222
1. Sources françaises222
2. Sources de l'Union européenne223
a. Identification électronique223
b. Authentification226
B. Des bonnes pratiques relatives à l'authentification228
C. Éclairages de la jurisprudence231
1. Manquement à l'obligation de sécurité231
2. Authentification à facteur unique jugée trop faible231
3. Sur-authentification par SMS232
4. 3D Secure et l'obligation d'information233
§ 2 - Les usages de la pratique en matière d'authentification234
A. Les systèmes reposant sur des codes et mots de passe234
1. Login/mot de passe234
2. Système dit de « bataille navale »234
3. Les OTP/SMS ou OTP par téléphone portable sur un serveur vocal234
B. L'authentification biométrique235
1. Biométrie : des dispositifs sensibles235
2. Authentification par reconnaissance vocale236
3. Les certificats électroniques238
4. France Connect240
5. Gestion de l'identité et Carte nationale d'identité électronique241
Section III
Lutte contre les fraudes numériques et la cybercriminalité242
§ 1 - Les directives européennes244
A. Directive relative aux attaques contre les systèmes d'information244
B. La directive sur le secret des affaires245
§ 2 - De quelques délits applicables aux systèmes d'information246
A. Phishing247
B. Usurpation d'identité249
1. L'infraction250
2. Applications jurisprudentielles250
C. Fraude aux « faux ordres de virement internationaux » (FOVI)253
1. La responsabilité de la banque253
2. La sécurisation de l'accès256
D. Les fuites d'information257
1. « Data Loss Prevention » (DLP) : un moyen de protection des informations de l'entreprise257
2. Une première jurisprudence sur la pratique des DLP258
3. Quels enseignements retenir ?259
E. Ransomware ou l'avènement de la prise d'otage numérique259
1. Les contours du « Ransomware »260
2. Risques juridiques261
3. Parades juridiques261
F. Le vol de données263
Section IV
Obligations relatives à la sécurité des systèmes d'information265
§ 1 - Principaux textes et leurs applications266
A. Obligations dans le cadre de la protection des données à caractère personnel266
B. Obligations dans le cadre de la protection des intérêts de la Nation271
1. Obligations issues de la loi de programmation militaire271
2. Principales obligations à la charge des OIV272
C. Les notifications des failles de sécurité274
1. Les notifications des failles de sécurité dans l'ordonnance du 24 août 2011277
a. Obligation de notification278
b. Le contenu de l'obligation de sécurité278
2. Les notifications dans la directive Sécurité des réseaux informatiques et la LPM279
3. La DSP 2280
D. Obligations de sécurité dans le règlement général de l'AMF281
§ 2. Normes techniques et mesures de sécurité281
A. Application des normes professionnelles282
B. Le standard PCI DSS284
Chapitre V
Les aspects contractuels de l'assurance et de la banque digitale287
Section I
Le cadre juridique applicable à la banque digitale287
§ 1 - Droit de la consommation et banque digitale287
§ 2 - La réforme du Code civil et la banque digitale289
A. Les obligations d'informations précontractuelles290
B. Les clauses abusives291
C. La théorie de l'imprévision291
Section II
Les clauses utiles292
§ 1 - Convention de preuve292
§ 2 - Le descriptif des services293
§ 3 - Obligations / responsabilités294
§ 4 - Les mesures de sécurité294
§ 5 - La clause « informatique et Libertés » et la clause de secret bancaire294
Section III
L'inclusion des stipulations relatives à la banque et à l'assurance digitales294
§ 1 - Inclusion des conditions de Banque en ligne (BEL) dans la convention de compte de dépôt295
§ 2 - Inclusion des dispositions de banque en ligne (BEL) dans un document autonome295
Partie II
Opérations de banque et d'assurance digitales
Chapitre I
Les principes de la digitalisation des documents299
Section I
L'établissement d'un écrit électronique300
§ 1 - L'authentification / l'identification du client300
A. L'identification « KYC » de l'auteur300
B. L'identification « civiliste » de l'auteur de l'acte303
§ 2 - Les règles d'établissement de l'écrit sous forme électronique305
A. L'écrit requis à titre de preuve306
1. L'identification de la personne306
2. L'intégrité de l'écrit dans le temps306
B. L'écrit requis à titre de validité de l'acte308
C. L'original sous forme électronique310
§ 3 - La phase de signature électronique proprement dite311
A. Le type de signature électronique utilisé311
B. Les fonctionnalités attendues de la signature électronique315
1. L'identification du signataire315
2. La manifestation du consentement316
§ 4 - Remise du contrat318
Section II
La conservation des documents319
§ 1 - Conservation de l'écrit électronique319
§ 2 - Les copies électroniques322
Chapitre II
Les opérations de paiement numérique327
Section I
Les opérations de paiement328
§ 1 - Obligations d'information329
§ 2 - Consentement du client330
§ 3 - Preuve de l'opération mal exécutée331
§ 4 - Modalités particulières de transmissions des ordres de paiement331
§ 5 - Conservation - Prescription332
Section II
Les instruments de paiement333
§ 1 - Les virements : le « SEPA Credit Transfer »334
§ 2 - Les prélèvements : le « SEPA Direct Debit »335
§ 3 - Les paiements par carte bancaire : le « SEPA Card Framework »336
§ 4 - L'« Instant Payment »336
Section III
Les formes des moyens de paiement337
§ 1 - Le paiement par SMS337
§ 2 - Le paiement via « E-Wallet » (réseaux sociaux)338
§ 3 - Le paiement via PayPal338
§ 4 - Le paiement par NFC339
§ 5 - Le paiement en recourant à la vérification des transactions via la Blockchain339
Chapitre III
Les fonctionnalités de la banque en ligne341
Section I
Consultation et émission de relevés d'opérations par voie électronique / Gestion des alertes342
Section II
Mise à disposition pour impression de Relevés d'identité bancaire343
Section III
Les virements bancaires344
Section IV
Fonctionnalité de base des espaces clients344
Section V
Mise en place de simulations d'opération (crédit, assurance)346
Section VI
Messagerie bancaire346
Chapitre IV
La contractualisation d'opérations complexes349
Section I
Ouverture d'un compte de dépôt349
§ 1 - Obligation d'information précontractuelle et contractuelle350
§ 2 - Remise d'offre de contrat350
§ 3 - Acceptation du contrat / signature du client350
§ 4 - Refus de souscription du contrat351
§ 5 - L'exécution du contrat351
§ 6 - Sanctions352
Section II
La conclusion d'un contrat de crédit à la consommation353
§ 1 - L'information précontractuelle du consommateur355
§ 2 - Offre de crédit357
§ 3 - Conclusion du contrat de crédit358
A. Les règles de droit commun applicables358
B. Les règles dérogatoires du Code de la consommation358
§ 4 - Remise du contrat de crédit359
§ 5 - Archivage / accessibilité du contrat de crédit359
Section III
La souscription d'un contrat d'assurance359
§ 1 - Notices précontractuelles360
§ 2 - Transmission de la proposition d'assurance émanant du souscripteur363
§ 3 - Établissement de la police d'assurance par la société d'assurance363
§ 4 - Preuve de la remise364
§ 5 - Signature du contrat d'assurance365
§ 6 - Le droit de renonciation367
§ 7 - Questionnaire de santé368
Partie III
Les nouveaux services digitaux
Chapitre préliminaire
Les Fintech, nouveaux acteurs du monde bancaire, financier, assurantiel373
Section I
Fintech : une définition empirique374
Section II
Une prise en compte progressive par les autorités en charge de la régulation financière375
Chapitre I
Les services disposant d'un cadre juridique377
Section I
Le coffre-fort numérique377
§ 1 - Définition du coffre-fort numérique377
Sous-section 5
Appellation de coffre-fort numérique379
§ 2 - Documents cibles379
§ 3 - Labellisation des coffres-forts numériques par la CNIL380
§ 4 - Les mesures de sécurité382
§ 5 - Quid en cas de décès du titulaire du coffre-fort ?382
Section II
Les initiateurs de paiement et les agrégateurs de comptes de paiement384
§ 1 - Régime juridique de l'initiation de paiement386
§ 2 - Régime juridique de l'agrégation de comptes de paiement387
§ 3 - Quelles actions à venir ?390
Section III
Les plateformes de crowdfunding392
§ 1 - Les plateformes de financement participatif sous forme de titres394
A. Le conseiller en investissement participatif394
B. Le régime juridique des conseillers en financement participatif396
1. Obligations397
a. Formalités397
b. Interdictions397
c. Obligations397
2. Le contrôle des conseillers en investissement participatif398
§ 2 - Les plateformes de financement participatif sous forme de dons ou prêts399
A. L'intermédiaire en financement participatif399
B. Les modes de financement : prêts et/ou dons400
1. Nature de la participation en fonction de la situation401
2. Régime du prêt et du crédit402
C. Le régime juridique des intermédiaires en financement participatif402
1. Les obligations encadrant l'activité d'IFP402
a. Formalités403
b. Obligations403
2. Relations avec les autorités de contrôle404
§ 3 - Dispositions communes404
Chapitre II
Les services en cours d'encadrement407
Section I
Les monnaies virtuelles407
§ 1 - Les caractéristiques des monnaies virtuelles408
A. Les définitions du bitcoin408
B. La difficulté de qualifier juridiquement les monnaies virtuelles410
§ 2 - Les risques juridiques liés à l'utilisation des monnaies virtuelles413
Section II
La technologie Blockchain414
§ 1 - Les caractéristiques de la technologie de la Blockchain415
A. Il s'agit d'un protocole ouvert415
B. ...visant à assurer la gestion décentralisée et cohérente de l'historique de transaction416
§ 2 - Le mode de fonctionnement de la technologie de la Blockchain416
A. Description d'une Blockchain416
B. Étapes de validation d'une transaction417
§ 3 - Les aspects juridiques de la Blockchain418
§ 4 - Les applications de la Blockchain419
A. Le transfert de propriété des minibons420
B. Ethereum et la confrontation de la Blockchain à la réalité420
Section III
Les fournisseurs d'API421
§ 1 - Définition de l'API421
§ 2 - Les usages des API dans le monde de la banque, de la finance et de l'assurance422
§ 3 - L'Open banking422
§ 4 - Un encadrement juridique en cours d'évolution423
Section IV
Mobile Virtual Network423
Index427
Bibliographie sélective431