LOI DE MODERNISATION DES SERVICES FINANCIERS - LA LOI GRAMM-LEACH-BLILEY DU 12 NOVEMBRE 1999 par Lucile Gaud

La loi fédérale américaine Gramm-Leach-Bliley de 1999 a réformé le secteur bancaire aux Etats-Unis et a notamment franchi un pas important dans le domaine du respect de la vie privée puisqu’un titre entier de cette loi est consacré à la protection des données à caractère personnel des clients des banques. Ce texte est le plus abouti de la législation américaine en matière de respect de la vie privée. Il a été inspiré par une directive européenne qui a par essence fortement influencé la législation française.

Le 12 Novembre 1999, après 20 années de débats et de controverses, le Congrès américain adopta une importante loi de réforme. Le Gramm-Leach-Bliley Act (GLBA), du nom de ses trois principaux initiateurs, a pour ambition de réformer et moderniser le domaine des services financiers. À l’origine, l’objectif principal de cette loi était de créer une nouvelle organisation supprimant toutes les barrières entre les banques commerciales, les sociétés de placement et les compagnies d’assurances : les entreprises des trois secteurs peuvent désormais s’affilier librement et étendre leurs domaines d’activité. Ce faisant, la loi a annulé le Glass-Steagall Act de 1933 qui prônait la séparation des activités bancaires et d’investissement bancaire : ses dispositions étaient nées de l’idée que l’empiètement des banques sur le secteur de l’investissement avait provoqué le crash boursier de 1929 et la dépression économique qui avait suivi. Cette vision est aujourd’hui dépassée : le pouvoir législatif américain a décidé de répondre à l’appel des banques américaines, dans l’espoir d’améliorer la compétitivité américaine à l’étranger. Cependant, la levée des barrières entre tous ces établissements financiers a également révélé un problème concernant les données personnelles des clients de ces établissements. La fusion des entreprises a pour inévitable conséquence la mise en commun et l’échange d’informations et cette perspective n’était pas des plus rassurantes pour les consommateurs. En conséquence, les rédacteurs ont consacré un pan entier de la loi à la protection des données personnelles des clients des établissements financiers. Le titre V du GLBA constitue le cœur de l’ouvrage : c’est l’acte législatif le plus abouti sur la protection de la vie privée au niveau fédéral américain. Cette protection est perçue différemment aux Etats-Unis et en Europe, mais l’adoption de ce texte a été inspirée en partie par une directive européenne 95/46 du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données. Étant donné l’ampleur du GLBA, nous nous concentrerons ici sur son titre V et ses dispositions sur le respect de la vie privée. La vision française de la protection des données personnelles a bien évidemment été fortement influencée par la directive européenne qui a été transposée en 2004 et a amendé la loi Informatique et Libertés (LIL) du 6 janvier 1978. Les lois sur la vie privée des deux pays reflètent chacune la finalité donnée au respect de la vie privée et des informations personnelles.

Qui est soumis à une obligation de protection et quelles données sont protégées? Le GLBA article 501(a) impose aux institutions financières une obligation « positive et continue de respecter la vie privée de ses clients et de protéger la sécurité et la confidentialité des informations personnelles non-rendues publiques de leurs clients ». Le terme « institution financière » est défini de manière vague à l’article 509(3) comme toute institution qui pratique des activités financières autorisée par la loi sur les compagnies financières « holding ». Cette définition couvre ainsi un très grand nombre d’institutions. En France, la LIL protège la vie privée des individus de manière générale, et pas seulement au niveau du monde financier au contraire du GLBA. Selon l’article 3(I) est soumis à la loi « la personne, l’autorité publique, le service ou l’organisme » qui s’adonne au traitement de données à caractère personnel. Ainsi, la loi s’applique aussi bien aux personnes privées qu’aux personnes publiques, qu’à l’Etat, alors que la loi américaine reste focalisée, du fait de sa nature et de son domaine d’action, aux institutions financières privées.

La catégorie d’informations protégées par le GLBA est très large et porte la dénomination d’ « informations personnelles non-rendues publiques ». Cela regroupe deux familles d’informations différentes. En premier lieu, les « informations financières personnellement identifiables qui ne sont pas accessibles au public », et en second lieu « les listes, descriptions ou autres groupements de clients résultant de l’utilisation d’informations financières personnellement identifiables ». Cette notion d’ « informations financières personnellement identifiables » désigne toute information qu’une institution financière a pu recueillir sur son client au cours de sa relation avec lui. Une information devient accessible au public selon les termes de la loi lorsque l’institution financière croit raisonnablement que l’information a été légalement rendue accessible au public. Là encore, la loi française a une portée plus large et porte sur le traitement de « données à caractère personnel » : il faut entendre par traitement, selon l’article 2, « toute opération ou tout ensemble d’opérations portant sur de telles données, quel que soit le procédé utilisé (…) ». Un traitement désigne donc, entre autres, la transmission et l’échange d’information, ce que cherche à réguler le GLBA. L’article 2 définit une donnée à caractère personnel comme « toute information relative à une personne physique identifiée ou pouvant être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres ». On retrouve donc ici la notion d’information personnellement identifiable, la loi cherche à protéger les données qui concernent la personne elle-même et qui permettent de l’identifier. Elles exigent que les informations soient collectées et traitées de manière loyale et licite. Elle exige qu’elles soient exactes, mises à jour, et qu’elles ne soient conservées que pendant une durée limitée. L’article 6 est très précis et va plus loin que le GLBA qui ne limite en rien la durée de conservation des informations, leur exactitude, etc… Cela pourra s’expliquer par le fait que la loi française a vocation à protéger toutes les données à caractère personnel informatisées, alors que la loi américaine est limitée aux informations financières qui n’ont pas forcément le même emploi et dont la durée de vie peut être plus longue que pour d’autres.

Obligations pesant sur le détenteur de l’information

De manière générale, que ce soit en France ou aux Etats-Unis, la personne qui veut se servir des informations personnelles d’un client doit l’en informer, protéger la confidentialité de ces informations ainsi que leur réutilisation par la suite.

Le GLBA impose aux institutions financières de communiquer annuellement au client leur politique de protection des informations. Si cette notification ne respecte pas les exigences de l’article 503, l’institution, selon l’article 502(a), n’a pas le droit de transférer les données personnelles non rendues publiques de ses clients à un tiers non affilié. L’obligation de notifier va dépendre de la personne destinataire de la notification : elle diffère selon qu’il s’agit d’un client (« customer ») ou d’un consommateur (« consumer »). Un consommateur bénéficie des services de l’institution pour des raisons personnelles ou familiales, alors qu’un client entretient avec l’institution une relation continue et sur le long terme. La conséquence de cette distinction est que seul un client doit être informé, au début de sa relation avec l’institution, puis au moins une fois par an, sur la protection de ses données. Le consommateur lui ne devra être notifié que lorsque l’institution entend communiquer les données le concernant à un tiers non affilié. La notice doit expliquer clairement, en caractères visibles et de manière précise, les pratiques de l’institution en matière de protection de la vie privée : quelles informations sont collectées, avec qui elles sont partagées et quelles sont les procédures mises en place pour les protéger et assurer leur sécurité. En France, le responsable du traitement de l’information doit en général lui aussi notifier préalablement le sujet de l’information avant de pouvoir s’en servir (article 32). La notice doit entre autres renseigner sur l’identité du détenteur, de la finalité du traitement, des destinataires de l’information et du droit du sujet. La règle souffre cependant deux exceptions relatives à la finalité du traitement au nom de la facilitation de la communication par voie électronique. La notice doit être donnée dès l’obtention des informations si celles-ci n’ont pas été recueillies auprès de la personne du sujet elle-même, ou au plus tard lors de la première communication. Le GLBA et la LIL ont donc tous deux le souci de mettre le sujet au courant de la détention des informations le plus tôt possible après le recueillement des données. La notification française est plus protectrice parce qu’elle est imposée sans faire de distinction au niveau des sujets du traitement selon la nature de leur relation avec le responsable du traitement. La loi américaine ne prévoit une notice que lorsque le client est assez « sérieux » avec la banque pour bénéficier de cette protection.

Une seconde obligation est celle imposée par le GLBA aux institutions financières qui ont reçu des informations personnelles non rendues publiques d’une autre institution à laquelle elles ne sont pas affiliées. Selon l’article 502(c), une telle institution tierce non-affiliée ne peut elle-même transférer ces données à nouveau à une autre institution non affiliée à moins qu’une telle communication n’ait été autorisée par la première institution de transférer l’information. Lue a contrario, cette disposition autorise la libre circulation des informations entre institutions affiliées. Cette disposition est un bon exemple de la volonté américaine de limiter les obstacles à la libre circulation des informations. La loi française a une disposition, dans son article 6, sur le traitement ultérieur des données, pas sur leur réutilisation après communication, mais on peut légitimement penser qu’elle s’applique également à cette situation. L’article 6(2) exige que les informations soient collectées pour des finalités déterminées, explicites et légitimes et qu’elles ne soient pas traitées ultérieurement de manière incompatible avec ses finalités. Tout utilisateur de données à caractère personnel doit donc agir en conformité avec les finalités de la collecte de ces informations.

Enfin, en France et aux États-Unis, les personnes qui disposent d’informations personnelles ont une obligation positive d’assurer leur confidentialité. Les Américains doivent mettre en œuvre des procédures pour assurer leur sécurité, leur confidentialité, les protéger contre toute menace anticipée à leur intégrité, ou menace d’accès non autorisé qui pourrait nuire à la personne à qui elles appartiennent (article 502(b)). Les Français ont le même devoir de protéger les données afin qu’elles ne soient pas déformées, endommagées ou que des tiers non autorisés ne puissent y avoir accès. Le même souci de respect de l’intégrité de l’information transparaît dans les deux textes. Droits du client

C’est au niveau des droits conférés aux sujets de l’information collectée que les législations française et américaine diffèrent le plus, le droit français se révélant beaucoup plus protecteur. Les rédacteurs du GLBA se sont mis d’accord sur un système d’ «opt-out» : le client a le droit dans certaines circonstances de s’opposer à la communication des informations le concernant (502(b)). Cette opportunité doit lui être proposée et expliquée avant toute communication d’information à un tiers non affilié. Mais le système d’opt-out n’est pas requis lorsque les informations sont échangées entre compagnies affiliées ou communiquées à un tiers non affilié qui agit au nom de l’institution, à condition que le client en soit informé et que ce tiers non affilié soit obligé contractuellement de maintenir ces informations confidentielles. Certains députés et sénateurs avaient proposé une procédure d’ «opt-in» qui aurait nécessité le consentement exprès du client à la communication des informations mais cette proposition a été rejetée. Les droits des clients sur leurs informations personnelles s’arrêtent là, pour le GLBA.

Le système français est complètement opposé puisque, par défaut, l’article 7 requiert le consentement de la personne concernée pour que le traitement de l’information soit légal. Il y a cependant 5 exceptions à la règle pour lesquelles le consentement ne sera pas nécessaire : le respect d’une obligation légale ou la sauvegarde de la vie de la personne concernée, l’exécution d’une mission de service public, d’un contrat et la réalisation d’un intérêt légitime sous réserve de ne pas méconnaître l’intérêt ou les droits et libertés fondamentaux de la personne concernée. Les exceptions sont très limitées : de manière générale, il faut le consentement de la personne concernée. L’article 38 le confirme : toute personne a le droit de s’opposer pour des motifs légitimes à ce que des données à caractère personnel la concernant fasse l’objet d’un traitement. Le sujet d’informations personnelles en France a à sa disposition une multitude de droits sur ces informations (article 39), il a le droit de demander à les consulter et de demander leur rectification pour des motifs raisonnables.

Conception du respect de la vie privée

Le client français a donc beaucoup plus d’emprise sur les informations qu’il donne que son homologue américain dans le contexte bancaire. Cette différence peut néanmoins s’expliquer en partie si on considère les conceptions quelque peu différentes que nos deux pays ont du respect de la vie privée. Alors que les Européens voient le respect de la vie privée comme une arme pour protéger la dignité de chacun, les Américains la voient plus comme un moyen de défendre leur liberté. La situation financière des individus en est un exemple frappant. En France, il est par nature très mal vu en société de parler argent et salaire : les informations financières sont considérées comme extrêmement privées. Les seules personnes qui voient leur situation financière affichée et accessible au public sont les personnes qui sont inscrites au « Fichier National des Incidents de Remboursement des Crédits aux Particuliers » de la Banque de France. Et ces personnes n’y sont inscrites que parce qu’elles ont prouvé indéniablement qu’elles ont des problèmes financiers. Aux Etats-Unis, les choses sont vues de manière diamétralement opposée ; dans ce pays où les cartes de crédit connaissent un succès plus important qu’en Europe, tous les commerçants ont un accès direct à la situation des crédits de leurs clients ou potentiels clients. Les « credit reports » sont utilisés par tous, et de leur contenu va dépendre la possibilité pour un client d’acheter tel ou tel bien ou service. Alors que les Européens cherchent à garder un contrôle de leur image et n’acceptent de se livrer que pour un but et une période définie, les Américains considèrent eux que l’accessibilité de leurs informations permet au marché de mieux les connaître et donc de mieux les servir. Deux visions différentes mais pourtant logiques et parfaitement cohérentes qui expliquent la différence de protection offerte aux clients pour leurs données personnelles dans le secteur financier.

BIBLIOGRAPHIE

« The Gramm-Leach-Bliley Act: Overview of the key provisions: presentation before the State of New York Banking Department », David L. Glass, New York Law School Journal of Human Rights, Symposium 2000, Vol. 17, p. 1. (17 N.Y.L. Sch. J. Hum. Rts. 1)

« An analysis of the informational privacy protection afforded by the European Union and the United-States », Tracie B. Loring, Spring 2002, Texas International Law Journal Vol. 37, p. 421 (37 Tex. Int’l L.J. 421)

« The two western cultures of privacy : dignity versus liberty », James Q. Whitman, April 2004, Yale Law Journal Vol. 113 p.1151 (113 Yale L.J. 1151)

La Commission Nationale de l’informatique et des libertés (CNIL), http://www.cnil.fr/

« Le droit d’accès dans le secteur bancaire », Commission Nationale de l’informatique et des Libertés (CNIL), 2004, http://www.cnil.fr/fileadmin/documents/approfondir/dossier/CNIL-DAbanque...

« Pour une justification des articles 4, 25 et 26 de la directive européenne 95/46 CE en matière de flux transfrontières et de protection des données », Yves Poullet, 2002, http://ec.europa.eu/justice_home/fsj/privacy/docs/lawreport/poullet_fr.pdf