Le droit à l’effacement, dit encore, droit à l’oubli se rattache à la protection classique de la vie privée, mais son intégration dans le RGPD est particulièrement poussée.

Alors que le droit au déréférencement avait été introduit par la CJUE dans un arrêt notoire du 13 mai 2014 (CJUE, GC, 13 mai 2014, Google Spain SL et Google Inc.), le RGPD met en place une double obligation pour les responsables du traitement et les sous-traitants : ils doivent effacer, dans les meilleurs délais, les données à caractère personnel qu’un citoyen leur demande de supprimer mais aussi, compte tenu de leurs capacités techniques et du coût que cela peut représenter, prendre toute mesure raisonnable pour informer, lorsqu’il a rendu les données publiques, les autres responsables de traitement de la demande d’effacement.

Le considérant 65 du RGPD précise à cet égard, que ce droit à l’effacement est pertinent, en particulier, lorsque la personne concernée a donné son consentement à l’époque où elle était enfant et n’était pas pleinement consciente des risques inhérents au traitement, et qu’elle souhaite par la suite supprimer ces données à caractère personnel, en particulier sur l’internet.

La personne concernée doit donc pouvoir exercer ce droit nonobstant le fait qu’elle n’est plus un enfant.

Afin de renforcer le «droit à l’oubli» numérique, le RGPD pose encore, en son considérant 66, que le droit à l’effacement doit également être étendu de façon à ce que le responsable du traitement qui a rendu les données à caractère personnel publiques soit tenu d’informer les responsables du traitement qui traitent ces données à caractère personnel qu’il convient d’effacer tout lien vers ces données, ou toute copie ou reproduction de celles-ci.

Ce faisant, ce responsable du traitement doit prendre des mesures raisonnables, compte tenu des technologies disponibles et des moyens dont il dispose, y compris des mesures techniques afin d’informer les responsables du traitement qui traitent les données à caractère personnel de la demande formulée par la personne concernée.

§1 : Le principe du droit à l’effacement

L’article 40 de la LIL dispose que « toute personne physique justifiant de son identité peut exiger du responsable d’un traitement que soient […] effacées les données à caractère personnel la concernant, qui sont inexactes, incomplètes, équivoques, périmées, ou dont la collecte, l’utilisation, la communication ou la conservation est interdite. »

Dans le même sens, l’article 17 du RGPD prévoit que « la personne concernée a le droit d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, de données à caractère personnel la concernant et le responsable du traitement a l’obligation d’effacer ces données à caractère personnel dans les meilleurs délais […] ».

Il ressort de ces deux textes que c’est un véritable droit à l’oubli qui a été consacré par le législateur.

§2 : Les conditions du droit à l’effacement

Le législateur a entendu limiter l’exercice du droit à l’effacement à certains cas. A cet égard, il ne peut être exercé que lorsque l’un des motifs suivants s’applique :

  • Les données à caractère personnel ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées d’une autre manière;
  • La personne concernée retire le consentement sur lequel est fondé le traitement et il n’existe pas d’autre fondement juridique au traitement;
  • La personne concernée s’oppose au traitement, et il n’existe pas de motif légitime impérieux pour le traitement
  • Les données à caractère personnel ont fait l’objet d’un traitement illicite;
  • Les données à caractère personnel doivent être effacées pour respecter une obligation légale qui est prévue par le droit de l’Union ou par le droit de l’État membre auquel le responsable du traitement est soumis;
  • Les données à caractère personnel ont été collectées dans le cadre de l’offre de services de la société de l’information, soit lorsque la personne était mineure au moment de la collecte de ses données

§3 : L’exercice du droit à l’effacement

  • Le destinataire de la demande
    • La demande d’effacement doit être adressée au responsable du traitement qui est le débiteur de l’obligation
    • Il est donc inopérant de formuler cette demande auprès de la CNIL
  • La justification de l’identité
    • Pour accéder à la demande de la personne concernée, le responsable du traitement sera fondé à exiger du demander qu’il justifie son identité.
    • Il ne devra pas, néanmoins, lui imposer des pièces justificatives qui seraient disproportionnées eu égard à la demande formulée

§4 : L’exécution du droit à l’effacement

  • Délai
    • A réception de la demande d’effacement, le responsable du traitement devra s’exécuter dans les meilleurs délais et, au plus tard, dans un délai d’un mois.
    • Au besoin, ce délai peut être prolongé de deux mois, compte tenu de la complexité et du nombre de demandes.
    • En cas de prorogation du délai de réponse, le responsable du traitement informe la personne concernée de cette prolongation et des motifs du report dans un délai d’un mois à compter de la réception de la demande.
    • Dans l’hypothèse où le responsable du traitement ne donnerait pas suite à la demande formulée par la personne concernée, il informe celle-ci sans tarder et au plus tard dans un délai d’un mois à compter de la réception de la demande des motifs de son inaction et de la possibilité d’introduire une réclamation auprès d’une autorité de contrôle et de former un recours juridictionnel.
    • En cas de non-exécution de l’effacement des données à caractère personnel dans un délai d’un mois à compter de la demande, la personne concernée peut saisir la Commission nationale de l’informatique et des libertés, qui se prononce sur cette demande dans un délai de trois semaines à compter de la date de réception de la réclamation.
  • Preuve
    • L’article 40, I de la LIL prévoit que lorsque l’intéressé en fait la demande, le responsable du traitement doit justifier, sans frais pour le demandeur, qu’il a procédé aux opérations exigées.
    • En cas de contestation, la charge de la preuve incombe au responsable auprès duquel est exercé le droit d’accès sauf lorsqu’il est établi que les données contestées ont été communiquées par l’intéressé ou avec son accord.
  • Cas particuliers des données rendues publiques
    • L’article 17 du RGPD prévoit que lorsqu’il a rendu publiques les données à caractère personnel et qu’il est tenu de les effacer, le responsable du traitement, compte tenu des technologies disponibles et des coûts de mise en œuvre, prend des mesures raisonnables, y compris d’ordre technique, pour informer les responsables du traitement qui traitent ces données à caractère personnel que la personne concernée a demandé l’effacement par ces responsables du traitement de tout lien vers ces données à caractère personnel, ou de toute copie ou reproduction de celles-ci.
    • L’obligation est ici, non pas de résultat, mais de moyen

§5 : Les limites du droit à l’effacement

Le législateur européen a assorti le droit à l’effacement de plusieurs limites énoncées à l’article 17 du RGPD.

Ainsi, le droit à l’oubli ne s’applique pas :

  • A l’exercice du droit à la liberté d’expression et d’information ;
  • Pour respecter une obligation légale qui requiert le traitement prévue par le droit de l’Union ou par le droit de l’État membre auquel le responsable du traitement est soumis, ou pour exécuter une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement;
  • Pour des motifs d’intérêt public dans le domaine de la santé publique ;
  • A des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques conformément à l’article 89, paragraphe 1, dans la mesure où le droit visé au paragraphe 1 est susceptible de rendre impossible ou de compromettre gravement la réalisation des objectifs dudit traitement ;
  • A la constatation, à l’exercice ou à la défense de droits en justice.

(0)

Tandis que pèse sur le responsable du traitement un certain nombre d’obligations, la personne concernée jouit de plusieurs droits qui lui conférés par la loi informatique et libertés et le RGPD.

Au nombre de ces droits figurent le droit d’accès aux données à caractère personnel.

Il ressort des textes qu’il convient de distinguer le droit d’accès direct du droit d’accès indirect.

Tandis que dans le premier cas, le droit d’accès s’exerce directement auprès du responsable du traitement, dans le second, il s’exerce par l’entremise d’un tiers.

§1 : Le droit d’accès direct

A) Le principe du droit d’accès

  1. La reconnaissance d’un droit d’accès

==> La loi informatique et libertés

Dès 1978, le droit d’accès aux données à caractère personnel avait été envisagé par le législateur.

L’ancien article 35, al. 1er de la loi informatique et libertés prévoyait en ce sens que « le titulaire du droit d’accès peut obtenir communication des informations le concernant. La communication, en langage clair, doit être conforme au contenu des enregistrements ».

==> La directive du 24 octobre 1995

Ce droit d’accès a, par suite, été reconnu et précisé par le législateur européen lors de l’adoption de la directive du 24 octobre 1995.

L’article 12 de ce texte prévoyait, en effet, que :

« Les États membres garantissent à toute personne concernée le droit d’obtenir du responsable du traitement:

 a) sans contrainte, à des intervalles raisonnables et sans délais ou frais excessifs:

– la confirmation que des données la concernant sont ou ne sont pas traitées, ainsi que des informations portant au moins sur les finalités du traitement, les catégories de données sur lesquelles il porte et les destinataires ou les catégories de destinataires auxquels les données sont communiquées,

– la communication, sous une forme intelligible, des données faisant l’objet des traitements, ainsi que de toute information disponible sur l’origine des données,

– la connaissance de la logique qui sous-tend tout traitement automatisé des données la concernant, au moins dans le cas des décisions automatisées visées à l’article 15 paragraphe 1 ».

==> Le RGPD

Le RGPD a poursuivi dans cette voie en énonçant au considérant 63 que la personne concernée doit avoir le droit d’accéder aux données à caractère personnel qui ont été collectées à son sujet et d’exercer ce droit facilement et à des intervalles raisonnables, afin de prendre connaissance du traitement et d’en vérifier la licéité.

Cela inclut le droit des personnes concernées d’accéder aux données concernant leur santé, par exemple les données de leurs dossiers médicaux contenant des informations telles que des diagnostics, des résultats d’examens, des avis de médecins traitants et tout traitement ou intervention administrés.

Le législateur européen en a tiré la conséquence que toute personne concernée par un traitement devait avoir le droit de connaître et de se faire communiquer, en particulier, les finalités du traitement des données à caractère personnel, si possible la durée du traitement de ces données à caractère personnel, l’identité des destinataires de ces données à caractère personnel, la logique qui sous-tend leur éventuel traitement automatisé et les conséquences que ce traitement pourrait avoir, au moins en cas de profilage.

2. Le contenu du droit d’accès

Désormais, l’article 15 du RGPD prévoit que la personne concernée a le droit d’obtenir du responsable du traitement :

  • D’une part, la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées et,
  • D’autre part, lorsque les données la concernant font l’objet d’un traitement, l’accès auxdites données à caractère personnel ainsi que les informations suivantes :
    • Les finalités du traitement ;
    • Les catégories de données à caractère personnel concernées ;
    • Les destinataires ou catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, en particulier les destinataires qui sont établis dans des pays tiers ou les organisations internationales ;
    • Lorsque cela est possible, la durée de conservation des données à caractère personnel envisagée ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée ;
    • L’existence du droit de demander au responsable du traitement la rectification ou l’effacement de données à caractère personnel, ou une limitation du traitement des données à caractère personnel relatives à la personne concernée, ou du droit de s’opposer à ce traitement ;
    • Le droit d’introduire une réclamation auprès d’une autorité de contrôle ;
    • Lorsque les données à caractère personnel ne sont pas collectées auprès de la personne concernée, toute information disponible quant à leur source ;
    • L’existence d’une prise de décision automatisée, y compris un profilage, visée à l’article 22, paragraphes 1 et 4, et, au moins en pareils cas, des informations utiles concernant la logique sous-jacente, ainsi que l’importance et les conséquences prévues de ce traitement pour la personne concernée ;
    • Lorsque les données à caractère personnel sont transférées vers un pays tiers ou à une organisation internationale, la personne concernée a le droit d’être informée des garanties appropriées, en vertu de l’article 46, en ce qui concerne ce transfert.

3. Les modalités d’exercice du droit d’accès

==> Qui ?

Le droit d’accès est un droit personnel qui s’exerce à la demande par la personne concernée par le traitement ou ses ayants droit.

Il peut être observé que le titulaire de ce droit d’accès n’a pas à motiver sa demande. Il lui faudra simplement justifier son identité.

Par ailleurs, l’exercice du droit d’accès est gratuit de sorte qu’il ne saurait être subordonné à la fourniture d’une contrepartie de quelque nature que ce soit.

==> Auprès de qui ?

Le droit d’accès s’exerce directement auprès du responsable du traitement et non auprès de l’autorité de contrôle (la CNIL).

Pour identifier la personne ou le service à contacter, il conviendra de se reporter aux mentions légales du site web du responsable du traitement et, plus précisément, à sa politique de confidentialité.

==> Comment ?

Le droit d’accès peut dans tous les cas s’exercer par écrit. Il peut également s’exercer sur place.

  • Par écrit
    • L’exercice du droit d’accès peut être effectué par courrier ou par voie électronique
    • Il conviendra d’adresser le courrier directement au service ou à la personne concernée et de définir une adresse de réponse.
  • Sur place
    • Il conviendra de se munir d’une pièce d’identité
    • Lorsque le responsable du traitement permet la consultation des données sur place, celle-ci n’est possible que sous réserve de la protection des données personnelles des tiers.
    • Une copie des données à caractère personnel du demandeur peut être obtenue immédiatement.
    • Afin que le demandeur puisse en prendre pleinement connaissance, le responsable de traitement met à la disposition de l’intéressé toutes les données qui le concernent et pendant une durée suffisante.
    • Lors de la délivrance de la copie demandée, le responsable de traitement atteste, le cas échéant, du paiement de la somme perçue à ce titre.

==> Délivrance d’une copie

L’article 39 de la loi informatique et libertés prévoit qu’une copie des données à caractère personnel est délivrée à l’intéressé à sa demande.

Le responsable du traitement peut subordonner la délivrance de cette copie au paiement d’une somme qui ne peut excéder le coût de la reproduction.

Dans le même sens l’article 15 du RGPD dispose que le responsable du traitement peut exiger le paiement de frais raisonnables basés sur les coûts administratifs pour toute copie supplémentaire demandée par la personne concernée.

Lorsque la personne concernée présente sa demande par voie électronique, les informations sont fournies sous une forme électronique d’usage courant, à moins que la personne concernée ne demande qu’il en soit autrement.

==> Cas de dissimulation ou de disparition des données

L’article 39 de la loi informatique et libertés prévoit que, en cas de risque de dissimulation ou de disparition des données à caractère personnel, le juge compétent peut ordonner, y compris en référé, toutes mesures de nature à éviter cette dissimulation ou cette disparition.

B) Les limites au droit d’accès

Le législateur a assorti le droit d’accès de deux limites.

  1. Les demandes manifestement abusives

L’article 39, II de la loi informatique et libertés dispose que le responsable du traitement peut s’opposer aux demandes manifestement abusives, notamment par leur nombre, leur caractère répétitif ou systématique.

En cas de contestation, la charge de la preuve du caractère manifestement abusif des demandes incombe au responsable auprès duquel elles sont adressées.

Ainsi, lorsque l’exerce du droit d’accès est abusif, le responsable du traitement peut opposer un refus à la personne concernée, sans s’exposer à des sanctions.

Il en irait ainsi d’une demande de copie intégrale d’un enregistrement tous les trois mois.

2. Les finalités statistiques, scientifiques ou historiques

L’article 39, II de la loi informatique et liberté prévoit que le responsable du traitement peut refuser d’accès à la demande de la personne concernée lorsque les données à caractère personnel sont conservées sous une forme excluant manifestement tout risque d’atteinte à la vie privée des personnes concernées et pendant une durée n’excédant pas celle nécessaire aux seules finalités d’établissement de statistiques ou de recherche scientifique ou historique.

Reste que ce refus ne sera fondé qu’à la condition que le responsable du traitement ait porté à la connaissance de la CNIL son intention de limiter le droit d’accès.

II) Le droit d’accès indirect

L’accès à certaines données spécifiques n’est pas sans soulever, dans certains cas, des difficultés, en ce que les données ou les finalités du traitement sont sensibles par rapport aux intérêts de la puissance publique ou de la personne elle-même.

Aussi, pour ces cas très particuliers, le législateur a-t-il institué une procédure spécifique qui impose à la personne concernée de s’adresser à un tiers, la CNIL, pour exercer son droit d’accès, lequel devient alors indirect.

Ce droit d’accès, dit indirect, concerne notamment :

  • Les fichiers qui intéressent la sûreté de l’État, la défense ou la sécurité publique
  • Le fichier relatif au Traitement des Antécédents Judiciaires (TAJ)
  • Les fichiers des services de renseignement des ministères de l’intérieur
  • Le fichier de gestion informatisée des détenus en établissement pénitentiaire (GIDE)
  • Le fichier des comptes bancaires dénommé FICOBA
  • Le fichier du service TRACFIN

Lorsque le droit d’accès porte sur l’un de ces fichiers (liste non exhaustive, la personne concernée doit d’adresser à la CNIL qui sera son seul interlocuteur.

Cette dernière ne détenant pas les fichiers visés, elle n’a pas connaissance des informations qui y figurent.

Aussi, est-ce un magistrat de la CNIL qui exercera au nom et pour le compte de la personne concernée son droit d’accès.

A cet égard, il pourra demander à ce que les informations incomplètes, obsolètes ou non conformes aux textes régissant le fonctionnement des fichiers en cause soient complétées, mises à jour ou supprimées.

(0)

Le RGPD a introduit deux nouveaux concepts dans le corpus normatif qui organise la protection des données à caractère personnel : le privacy by design et le privacy by default

S’agissant du concept de privacy by design, il est porteur de l’idée que le responsable du traitement doit adopter des règles internes et mettre en œuvre des mesures qui respectent, en particulier, les principes de protection des données dès la conception du traitement

S’agissant du concept de privacy by default, il signifie que le responsable du traitement doit assurer aux personnes concernées, par défaut, le plus haut niveau de protection, ce qui implique que des mesures de sécurité et de protection soient prises de façon systématique en cas de traitement portant sur des données à caractère personnel

Ces deux concepts sont énoncés à l’article 25 du RGPD qui les envisage séparément.

I) Les mesures prises au titre du privacy by design

L’article 25, 1 du RGPD prévoit que le responsable du traitement doit mettre en œuvre, tant au moment de la détermination des moyens du traitement qu’au moment du traitement lui-même, des mesures techniques et organisationnelles appropriées afin d’assurer un niveau de protection élevée des données à caractère personnelles.

Selon le considérant 78, ces mesures techniques et organisationnelles peuvent consister à:

  • Réduire à un minimum le traitement des données à caractère personnel
  • Pseudonymiser les données à caractère personnel dès que possible
  • Garantir la transparence en ce qui concerne les fonctions et le traitement des données à caractère personnel
  • Permettre à la personne concernée de contrôler le traitement des données
  • Permettre au responsable du traitement de mettre en place des dispositifs de sécurité ou de les améliorer.

Les mesures techniques et organisationnelles doivent être prises au regard de :

  • L’état des connaissances
  • Des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement
  • Des risques, dont le degré de probabilité et de gravité varie, que présente le traitement pour les droits et libertés des personnes physiques,

Le droit à la protection des données lors de l’élaboration et de la conception de tels produits, services et applications et, compte dûment tenu de l’état des connaissances, à s’assurer que les responsables du traitement et les sous-traitants sont en mesure de s’acquitter des obligations qui leur incombent en matière de protection des données.

II) Les mesures prises au titre du privacy by default

L’article 25, 2 du RGPD prévoit que, au titre du privacy by default, le responsable du traitement met en œuvre les mesures techniques et organisationnelles appropriées pour garantir que, par défaut, seules les données à caractère personnel qui sont nécessaires au regard de chaque finalité spécifique du traitement sont traitées.

Cela s’applique à :

  • La quantité de données à caractère personnel collectées
  • L’étendue de leur traitement
  • Leur durée de conservation
  • Leur accessibilité

En particulier, ces mesures garantissent que, par défaut, les données à caractère personnel ne sont pas rendues accessibles à un nombre indéterminé de personnes physiques sans l’intervention de la personne physique concernée.

III) La preuve des exigences de privacy by design et de privacy by default

L’article 25 dispose que, un mécanisme de certification approuvé en vertu de l’article 42 peut servir d’élément pour démontrer le respect des exigences requises au titre du privacy by design et du privacy by default.

A cet égard, l’article 42 prévoit que les États membres, les autorités de contrôle, le comité et la Commission encouragent, en particulier au niveau de l’Union, la mise en place de mécanismes de certification en matière de protection des données ainsi que de labels et de marques en la matière, aux fins de démontrer que les opérations de traitement effectuées par les responsables du traitement et les sous-traitants respectent le présent règlement.

(0)

==> Reconnaissance du principe

L’article 6, 2° de la loi informatique et libertés prévoit que les données à caractère personnel « sont collectées pour des finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités ».

Dans la première version de la loi, le principe de finalité n’avait pas explicitement été érigé au rang de principe, à tout le moins pas directement. Ce principe n’était qu’évoqué en ce que le détournement de la finalité du traitement était sanctionné.

En 2004, lors de la transposition – tardive – de la directive du 24 octobre 1995, le législateur s’est saisi de l’occasion pour préciser que les données doivent être collectées « pour des finalités déterminées » et ne peuvent être « traitées ultérieurement de manière incompatible avec ces finalités ».

Ce complément majeur résulte du point b) du paragraphe 1) de l’article 6 de la directive. Il figurait déjà presque dans les mêmes termes dans la convention n° 108 du Conseil de l’Europe.

Le principe de finalité a été réaffirmé par le RGPD qui prévoit en son article 5, 1, b) que « les données à caractère personnel doivent être collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités »

==> Signification du principe

Le principe de finalité est, sans aucun doute, la pierre angulaire de la loi informatique et libertés. Il signifie que, pour être licite, un traitement de données à caractère personnel doit être assorti d’une finalité.

Autrement dit, la collecte de données à caractère personnel ne peut jamais être une fin en soi. Pour être mise en œuvre, elle doit être justifiée par la poursuite d’un but déterminé. On ne peut pas se livrer à une collecte de données « au cas où ».

Lorsqu’il est procédé à un traitement de données, celui-ci doit poursuivre une finalité, laquelle finalité doit être portée à la connaissance de la personne concernée. Ainsi, le principe de finalité est étroitement lié à l’exigence de consentement qui préside au traitement de données à caractère personnel. Pour consentir à un traitement de données, encore faut-il avoir été informé de sa finalité.

Le considérant 42 du RGPD énonce en ce sens que « pour que le consentement soit éclairé, la personne concernée devrait connaître au moins l’identité du responsable du traitement et les finalités du traitement auquel sont destinées les données à caractère personnel. Le consentement ne devrait pas être considéré comme ayant été donné librement si la personne concernée ne dispose pas d’une véritable liberté de choix ou n’est pas en mesure de refuser ou de retirer son consentement sans subir de préjudice ».

Dans son avis n°03/2013 du 2 avril 2013, le groupe de l’article 29 justifie le principe de finalité en indiquant qu’il répond à trois impératifs :

  • Un impératif de transparence
    • La personne dont les données sont collectées doit être informée de la finalité du traitement afin d’être en capacité d’y consentir.
    • Autrement dit, la transparence garantit la prévisibilité et permet ainsi à la personne concernée de contrôler l’usage de ses données
  • Un impératif de prévisibilité
    • Pour le groupe de l’article 29, dès lors que la finalité du traitement est déterminée, les personnes concernées peuvent savoir à quoi s’attendre, en ce sens qu’elles connaissent le traitement dont est susceptible de faire l’objet leurs données ainsi que l’étendue de ce traitement.
  • Un impératif de sécurité juridique
    • L’exigence de détermination de la finalité du traitement apporte aux personnes concernées une sécurité juridique dans la mesure où elles sont en mesure de contrôler l’usage de leurs données, notamment en exerçant leurs droits, d’accès, d’opposition, de suppression, de rectification etc.

Pratiquement, il ressort de l’article 6 de la LIL que le principe de finalité met à la charge du responsable du traitement, deux séries d’obligations qui interviennent à deux stades bien distincts du traitement :

  • Au stade de la collecte des données
  • Au stade du traitement ultérieur des données

§1 : L’exigence d’une finalité déterminée, explicite et légitime au stade de la collecte des données

Si, pour être licite, une collecte de données à caractère personnel doit être assortie d’une finalité, la satisfaction de cette condition n’est pas suffisante.

L’article 6 de la LIL exige que la finalité de la collecte soit :

  • Déterminée
  • Explicite
  • Légitime

==> Une finalité déterminée

Les données à caractère personnel doivent être collectées à des fins déterminées. Aussi, appartient-il au responsable du traitement de soigneusement analyser, le ou les buts pour lesquelles les données seront collectées.

Cette analyse doit se faire en amont de la collecte. À cet égard, le responsable du traitement, doit documenter sa démarche et être en mesure de justifier la finalité communiquée à la personne visée.

Il devra notamment veiller à ce que la finalité retenue ne soit pas trop large. Elle doit donc être clairement et précisément identifiée. Plus encore, la finalité doit être suffisamment précise pour que la personne concernée soit en mesure de savoir quelles sont les utilisations incluses et exclues de ses données par le responsable du traitement.

Le G29 considère, par exemple, qu’une finalité est très vague ou générale lorsqu’elle est présentée comme consistant à « améliorer l’expérience utilisateur » ou qu’elle est exposée sous le terme « finalité marketing » ou encore « finalité sécurité IT ».

Au vrai, le degré de précision de la finalité annoncée dépend du contexte particulier dans lequel les données sont collectées et de la complexité du traitement.

==> Une finalité explicite

En plus d’être déterminée, la finalité du traitement doit être explicite. Elle doit, autrement dit, être clairement révélée et exprimée de façon intelligible.

L’explicitation de la finalité doit intervenir, selon le Groupe de l’article 69, au plus tard, au moment de la collecte des données.

L’objectif de cette exigence est de garantir la bonne compréhension du but poursuivi par le responsable du traitement, lequel ne saurait être imprécis ou ambiguë.

La finalité annoncée doit, en somme, être suffisamment explicite pour que la personne concernée comprenne l’intention du responsable du traitement.

==> Une finalité légitime

Selon le Groupe de l’article 29 pour que la finalité d’un traitement de données soit légitime, il est nécessaire que, à tous les stades et à tout moment, celui-ci repose :

  • Soit sur le consentement de la personne concernée
  • Soit sur l’un des cas prévus par dérogation à l’exigence de consentement (art. 7 de la LIL)

L’exigence de légitimité signifie encore que les finalités du traitement soient conformes à la loi. Il peut donc s’agir de respecter une réglementation différente de celle posée par la LIL.

Pour apprécier la légitimité de la finalité, pourront ainsi être pris en compte, le droit du travail, le droit de la consommation, la jurisprudence, la coutume, la déontologie.

§2 : L’exigence de compatibilité du traitement ultérieur avec la finalité initiale de la collecte des données

Le principe de finalité n’a pas seulement vocation à s’appliquer au stade de la collecte des données à caractère personnel, il doit également être respecté en cas de traitement ultérieur.

Plus précisément, l’article 6 de la LIL pose une exigence de compatibilité entre la finalité de la collecte et celle des traitements futurs.

Pour écarter le risque d’un usage injustifié, même décalé dans le temps, ce texte pose ainsi un principe d’interdiction de tout traitement ultérieur des données « incompatible avec les finalités pour lesquelles elles ont été collectées ».

Une exception est néanmoins prévue au profit des traitements réalisés à des fins statistiques ou scientifiques ou historiques, sous réserve qu’ils respectent les conditions de licéité.

I) Le principe

C’est donc l’interdiction de tout traitement ultérieur des données « incompatible avec les finalités pour lesquelles elles ont été collectées ».

On peut en déduire que le traitement de données à caractère personnel pour d’autres finalités que celles pour lesquelles les données à caractère personnel ont été collectées initialement n’est autorisé que s’il est compatible avec les finalités pour lesquelles les données à caractère personnel ont été collectées initialement.

Dans ce cas, aucune base juridique distincte de celle qui a permis la collecte des données à caractère personnel n’est requise.

Lorsque, en revanche, le traitement ultérieur incompatible, il conviendra de fonder le traitement sur un nouveau fondement juridique, ce qui pourrait consister, par exemple, à solliciter le consentement de la personne visée.

La question qui immédiatement se pose est alors de savoir ce que l’on doit entendre par la notion de compatibilité du traitement ultérieur avec les finalités initiales de la collecte.

Pour le déterminer, il convient de se reporter au test de compatibilité établi par le Groupe de l’article 29 et aux critères posés par le RGPD

A) Le test de compatibilité établir par le Groupe de l’article 29

  1. La méthode

Afin de déterminer si un traitement ultérieur de données est compatible avec la finalité initiale de leur collecte, le Groupe de l’article 29 suggère de procéder à deux sortes d’évaluations :

  • Une évaluation formelle
    • Elle consistera à comparer les finalités initialement déclarées par le responsable du traitement dans le cadre de l’information fournie à la personne concernée, à celles poursuivies ultérieurement et vérifier que ces dernières sont couvertes implicitement ou explicitement.
    • Cette première méthode peut sembler, à première vue, des plus objectives et neutres.
    • Toutefois, elle risque d’être trop rigide, en ce qu’elle se limite à une analyse seulement textuelle des finalités poursuivies.
  • Une évaluation matérielle
    • Il conviendra ici d’aller au-delà des déclarations officielles pour identifier à la fois nouvelles finalités et celles initialement poursuivies, en tenant compte de la manière dont elles ont été effectivement comprises par la personne concernée.
    • Cette seconde méthode est, de toute évidence, plus souple et pragmatique que la première, mais aussi plus efficace.
    • Elle permet de s’adapter aux évolutions futures de la finalité du traitement, tout en continuant à protéger efficacement la protection des données à caractère personnel.

Plusieurs exemples sont fournis par le Groupe de l’article 29 :

==> Exemple 1 : la compatibilité est évidente à première vue

Un client effectue une commande en ligne auprès d’un commerçant en vue de se faire livrer chaque semaine des paniers de légumes bio.

Après avoir collecté, lors de la conclusion du contrat, l’adresse et les coordonnées bancaires du client, ces données sont traitées ultérieurement par le commerçant les semaines suivantes pour les besoins de la livraison et du paiement.

Ici, il ne fait aucun doute que le traitement ultérieur des données est conforme à la finalité de la collecte initiale.

==> Exemple 2 : La compatibilité n’est pas évidente et nécessite une analyse plus approfondie

Le commerçant souhaite, dans ce scénario utiliser l’adresse e-mail du client afin de lui adresser des offres personnalisées et des bons de réductions pour des produits similaires, y compris sa gamme de produits laitiers biologiques.

Il souhaite également communiquer les données du client, dont son nom, adresse électronique, numéro de téléphone et historique des achats à un autre commerçant qui a ouvert une boucherie biologique dans le même quartier.

Dans les deux cas, ici le commerçant ne peut pas considérer que ce traitement ultérieur est compatible avec la finalité initiale de la collecte de données, de sorte que des analyses approfondies devront être menées par le responsable du traitement.

Pour le groupe de l’article 29, plus la différence entre la finalité initiale de la collecte et celle du traitement ultérieur est grande, plus le test de compatibilité doit être détaillé, ce qui pourra conduire à adopter des mesures supplémentaires pour compenser le changement de finalité, comme, par exemple, fournir des informations supplémentaires à la personne concernée.

==> Exemple 3 : L’incompatibilité est évidente

En plus d’acheter un panier de légumes bio le client commande une gamme d’autres produits biologiques sur le site web du commerçant, dont certains à prix réduit.

Le commerçant, sans informer le client, a mis en place une solution logicielle de personnalisation des prix prête à l’emploi, qui – entre autres choses – détecte si le client utilise un ordinateur Apple ou un PC Windows.

Le commerçant offre alors automatiquement des rabais plus importants aux utilisateurs de Windows.

Dans ce cas, le traitement ultérieur des données est clairement incompatible avec la finalité de la collecte initiale.

Si les données sont traitées de telle manière qu’une personne raisonnable trouverait le traitement, non seulement inattendu, mais égalent inapproprié, il est fort probable que celui-ci puisse être considéré comme incompatible.

2. Les critères

Afin d’évaluer la compatibilité d’un traitement ultérieur de données, le Groupe de l’article 29 a posé un certain nombre de critères

==> La relation entre les finalités pour lesquelles les données ont été collectées et les finalités du traitement ultérieur

Ce facteur est peut-être le plus évident car l’évaluation de la compatibilité repose, d’abord, sur la relation entre la finalité initiale de la collecte et la finalité du traitement ultérieur.

Ce critère peut couvrir des situations où le traitement ultérieur était déjà plus ou moins compris implicitement dans les finalités initiales, ou supposées comme l’étape logique suivante du traitement selon ces fins.

En tout état de cause, plus la différence entre les finalités de la collecte et celles du traitement ultérieur est grande plus l’évaluation de la compatibilité est problématique.

Afin de procéder à cette évaluation, il sera nécessaire de toujours se reporter au contexte factuel et à la finalité telle qu’elle a été comprise par la personne visée.

==> Le contexte dans lequel les données ont été collectées et les attentes raisonnables de la personne concernée quant à leur utilisation ultérieure

Ce deuxième critère est axé sur le contexte spécifique dans lequel les données ont été collectées et sur les attentes raisonnables des personnes concernées quant à l’utilisation de leurs données dans ce contexte.

En d’autres termes, la question ici est de savoir à quoi une personne raisonnable, qui se trouverait dans la situation de la personne concernée, s’attendrait s’agissant du traitement ultérieur de ses données.

A priori, plus le traitement ultérieur des données est inattendu ou surprenant, plus il est probable qu’il soit considéré comme incompatible.

==> La nature des données et l’impact du traitement ultérieur sur les personnes concernées

Le groupe de l’article 29 recommande ici de prendre en compte la nature des données collectées.

Au fond, l’idée sous-jacente est que plus les informations en cause sont sensibles, plus la marge de compatibilité est étroite.

À cela s’ajoute la prise en compte de l’incidence du traitement ultérieur sur les libertés de la personne concernée.

==> Les critères du RGPD

Selon l’article 6, 4 du RGPD, afin de déterminer si le traitement à une autre fin est compatible avec la finalité pour laquelle les données à caractère personnel ont été initialement collectées, le responsable du traitement tient compte, entre autres:

  • de l’existence éventuelle d’un lien entre les finalités pour lesquelles les données à caractère personnel ont été collectées et les finalités du traitement ultérieur envisagé;
  • du contexte dans lequel les données à caractère personnel ont été collectées, en particulier en ce qui concerne la relation entre les personnes concernées et le responsable du traitement;
  • de la nature des données à caractère personnel, en particulier si le traitement porte sur des catégories particulières de données à caractère personnel, en vertu de l’article 9, ou si des données à caractère personnel relatives à des condamnations pénales et à des infractions sont traitées, en vertu de l’article 10;
  • des conséquences possibles du traitement ultérieur envisagé pour les personnes concernées;
  • de l’existence de garanties appropriées, qui peuvent comprendre le chiffrement ou la pseudonymisation.

De toute évidence, les critères ici énoncés par le RGPD sont directement issus de l’avis formulé par le Groupe de l’article 29.

B) Les exceptions

Le principe d’interdiction du traitement ultérieur des données incompatible avec les finalités pour lesquelles elles ont été collectées est assorti de deux exceptions : la première est générale, la seconde spécifique

  1. L’exception générale

Il ressort de l’article 6, 4° du RGPD que, en cas d’incompatibilité du traitement ultérieur avec les finalités poursuivies initialement au stade de la collecte, celui-ci est, malgré tout, autorisé :

  • Si la personne concernée a exprimé son consentement
  • Si le traitement est fondé sur le droit de l’Union ou le droit d’un État membre qui constitue une mesure nécessaire et proportionnée dans une société démocratique pour garantir les objectifs visés à l’article 23, paragraphe 1
    • Au nombre de ces objectifs figurent :
      • la sécurité nationale;
      • la défense nationale;
      • la sécurité publique;
      • la prévention et la détection d’infractions pénales, ainsi que les enquêtes et les poursuites en la matière ou l’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces;
      • d’autres objectifs importants d’intérêt public général de l’Union ou d’un État membre, notamment un intérêt économique ou financier important de l’Union ou d’un État membre, y compris dans les domaines monétaire, budgétaire et fiscal, de la santé publique et de la sécurité sociale;
      • la protection de l’indépendance de la justice et des procédures judiciaires;
      • la prévention et la détection de manquements à la déontologie des professions réglementées, ainsi que les enquêtes et les poursuites en la matière;
      • une mission de contrôle, d’inspection ou de réglementation liée, même occasionnellement, à l’exercice de l’autorité publique, dans les cas visés aux points a) à e) et g);
      • la protection de la personne concernée ou des droits et libertés d’autrui;
      • l’exécution des demandes de droit civil.

2. L’exception spécifique

Par exception au principe d’interdiction du traitement incompatible, l’article 6 de la LIL pose une exception pour les traitements ultérieurs de données :

  • à des fins statistiques
  • à des fins de recherche scientifique
  • à des fins de recherche historique

Selon le Groupe de l’article 29, ce texte ne doit pas être interprété comme instituant une exception générale à l’exigence de compatibilité.

Il ne saurait s’agir d’une règle qui vise à autoriser, en toutes circonstances, le traitement des données à des fins historiques, statistiques ou scientifiques.

Comme dans tout autre cas de traitement ultérieur, toutes les circonstances et tous les facteurs pertinents doivent être pris en compte pour décider quelles garanties peuvent être considérées comme appropriées et suffisantes.

(0)

==> Les textes

Aux termes de l’article 6, 1° de la loi informatique et libertés, « un traitement ne peut porter que sur des données à caractère personnel qui […] sont collectées et traitées de manière loyale et licite ».

Les principes de loyauté et de licéité sont également énoncés par la Charte européenne des droits fondamentaux en son article 8(2).

Le texte prévoit que les données à caractère personnel « doivent être traitées loyalement, à des fins déterminées et sur la base du consentement de la personne concernée ou en vertu d’un autre fondement légitime prévu par la loi. »

Les principes directeurs de l’ONU prévoient encore que « les données concernant les personnes ne doivent pas être obtenues ou traitées à l’aide de procédés illicites ou déloyaux, ni utilisées à des fins contraires aux buts et aux principes de la Charte des Nations Unies. »

Selon le RGPD, les principes de loyauté et de licéité répondent à un impératif de transparence.

À cet égard, le considérant 39 énonce que, « le fait que des données à caractère personnel concernant des personnes physiques sont collectées, utilisées, consultées ou traitées d’une autre manière et la mesure dans laquelle ces données sont ou seront traitées devraient être transparents à l’égard des personnes physiques concernées ».

==> Distinction entre les principes de loyauté et de licéité

Il convient d’observer que le principe de loyauté se distingue du principe de licéité.

  • Un traitement de données peut parfaitement être licite, car autorisé par la loi, mais déloyale car ne répondant pas aux exigences de transparence dictées par le principe de loyauté
  • À l’inverse, un traitement peut être illicite, car prohibé par les textes, mais loyal car effectué en toute transparence pour la personne concernée

Tandis que le respect du principe de licéité s’apprécie au regard d’un seul critère, le respect de la règle de droit, l’observation du principe de loyauté est plus délicate à établir.

Il s’infère, en effet, du principe de loyauté plusieurs obligations pour le responsable du traitement :

  • Une obligation d’information
  • Une obligation de garantir l’exercice des droits d’accès et d’opposition
  • Une obligation de garantir la conservation limitée des données traitées
  • Une obligation de garantir la confidentialité et la sécurité des données traitées

I) Sur l’obligation d’information

A) Sur les modalités d’exécution de l’obligation d’information

Selon le RGPD, le principe de transparence exige que toute information et communication relatives au traitement de ces données à caractère personnel soient aisément accessibles, faciles à comprendre, et formulées en des termes clairs et simples.

Autrement dit, il appartient au responsable du traitement de rendre facilement accessible les informations qu’il lui appartient de communiquer aux personnes dont les données à caractère personnel sont collectées.

Ce principe vaut, notamment, pour les informations communiquées aux personnes concernées sur :

  • l’identité du responsable du traitement
  • les finalités du traitement
  • leur droit d’obtenir la confirmation et la communication des données à caractère personnel les concernant qui font l’objet d’un traitement.

B) Sur le contenu de l’obligation d’information

Le responsable du traitement est tenu de communiquer à la personne concernée un certain nombre d’informations.

  1. Informations relatives à la collecte de données à caractère personnel

a) L’exigence de collecte directe

L’obligation de loyauté, suppose que les données soient collectées directement auprès de la personne concernée

Par nature un traitement de données à caractère personnel est regardé comme déloyal, dès lors qu’il est effectué à l’insu de la personne concernée.

Aussi, appartient-il au responsable du traitement d’informer la personne dont les données sont collectées de l’existence d’un traitement.

Dans un arrêt du 14 mars 2006, la Cour de cassation a qualifié de déloyal la collecte d’adresses électroniques, « en ce qu’elles ont été utilisées sans rapport avec l’objet de leur mise en ligne »[1].

Dans une décision du n°2016-007 du 26 janvier 2016, la CNIL a encore considéré que la collecte de données relatives à la navigation d’internautes au moyen de cookies sans les en avertir constituait un manquement à la règle aux termes de laquelle les données à caractère personnel sont collectées et traitées de manière loyale et licite.

 Ainsi, pour qu’un traitement de données à caractère personnel soit loyal, la personne concernée doit être informée de l’existence du traitement.

b) La prohibition de la collecte indirecte

==> Notion

La collecte est indirecte lorsqu’elle n’est pas directement réalisée auprès de la personne concernée, soit lorsqu’elle intervient par l’entremise d’une tierce personne.

Il en va ainsi en cas d’achat d’un fichier de données ou de collecte sur une plateforme numérique.

En effet, de nombreuses entreprises achètent, cèdent ou revendent des fichiers de données à caractère personnel, qui sont ainsi collectées de façon indirecte.

Dans cette hypothèse, pour ne pas être considérée comme déloyale, la collecte indirecte doit nécessairement s’accompagner d’une information à la personne concernée de l’existence d’un traitement de ses données ainsi que de ses droits qui en découlent (droit d’accès, d’opposition etc.).

Le fait que la personne dont les données sont collectées indirectement ait déjà consenti au traitement de ses données ne dispense pas l’auteur d’une collecte indirecte de satisfaire à son obligation d’information.

==> Droit antérieur

Il peut être observé que, avant l’entrée en vigueur de la loi du 6 août 2004 transposant la directive du 24 octobre 1995, cette obligation n’existait pas.

À cet égard, dans un arrêt du 25 octobre 1995, la Cour de cassation avait explicitement considéré que « la loi du 6 janvier 1978 ne fait nulle obligation au responsable du fichier, qui recueille auprès de tiers des informations nominatives aux fins de traitement, d’en avertir la personne concernée »[2].

==> Droit positif

  • Principe
    • La loi du 6 août 2004 a pris le contre-pied de la Cour de cassation en posant à l’article 32 de la loi informatique et libertés que « lorsque les données à caractère personnel n’ont pas été recueillies auprès de la personne concernée, le responsable du traitement ou son représentant doit fournir à cette dernière les informations énumérées au I dès l’enregistrement des données ou, si une communication des données à des tiers est envisagée, au plus tard lors de la première communication des données»
    • Ainsi, le principe est désormais la prohibition de la collecte de données à caractère personnel, sauf à en informer la personne concernée.
  • Exceptions
    • La prohibition de la collecte indirecte de données a été assortie par le législateur de 5 exceptions énoncées aux articles 26, 27 et 32, III de la loi informatique et libertés :
      • Première exception (art. 32 LIL)
        • Lorsque les données à caractère personnel ont été initialement recueillies pour un autre objet, les dispositions de l’alinéa précédent ne s’appliquent pas aux traitements nécessaires à la conservation de ces données à des fins historiques, statistiques ou scientifiques, dans les conditions prévues au livre II du code du patrimoine ou à la réutilisation de ces données à des fins statistiques dans les conditions de l’article 7 bis de la loi n° 51-711 du 7 juin 1951 sur l’obligation, la coordination et le secret en matière de statistiques.
        • Ainsi, dès lors qu’il s’agit d’exploiter les données collectées à des fins historiques, statistiques ou scientifiques, il n’est pas nécessaire d’en informer la personne concernée.
      • Seconde exception (art. 32 LIL)
        • Il est encore fait exception à la prohibition de la collecte indirecte de données lorsque la personne concernée est déjà informée ou quand son information se révèle impossible ou exige des efforts disproportionnés par rapport à l’intérêt de la démarche.
        • Dans l’hypothèse où l’information de la personne dont les données sont collectées est matériellement difficile à mettre en œuvre, voire impossible, alors l’auteur de la collecte indirecte s’en trouve dispensé.
      • Troisième exception (art. 26 LIL)
        • La collecte indirecte est autorisée lorsque les données recueillies indirectement sont utilisées au profit d’un traitement dit « de souveraineté » mis en œuvre pour l’Etat (intéressant la sûreté de l’Etat, la défense ou la sécurité publique ou ayant pour objet l’exécution de condamnations pénales ou de mesures de sûreté)
        • Reste que cette collecte est subordonnée à autorisation par arrêté du ou des ministres compétents, pris après avis motivé et publié de la Commission nationale de l’informatique et des libertés
      • Quatrième exception (art. 26 LIL)
        • La collecte indirecte de données est encore autorisée lorsqu’elle a pour objet la prévention, la recherche, la constatation ou la poursuite des infractions pénales ou l’exécution des condamnations pénales ou des mesures de sûreté.
        • Là encore, l’autorisation est soumise à l’édiction d’un arrêté du ou des ministres compétents, pris après avis motivé et publié de la Commission nationale de l’informatique et des libertés
      • Cinquième exception (art. 27 LIL)
        • Il est prévu que la collecte indirecte de données est autorisée pour les traitements de données à caractère personnel mis en œuvre pour le compte de l’Etat, agissant dans l’exercice de ses prérogatives de puissance publique, qui portent sur des données génétiques ou sur des données biométriques nécessaires à l’authentification ou au contrôle de l’identité des personnes.
        • L’autorisation ne peut résulter que d’un décret en Conseil d’Etat, pris après avis motivé et publié de la Commission nationale de l’informatique et des libertés.

Au bilan, sauf à s’inscrire dans l’une des exceptions prévues par le législateur, la collecte indirecte de données à caractère personnel est prohibée.

Dans un arrêt du 12 mars 2014, le Conseil d’État a considéré en ce sens que le responsable d’un traitement de données n’est pas exonéré de ses obligations « du fait du caractère indirect de la collecte des données »[3].

En l’espèce, la juridiction administrative relève que :

  • D’une part, les personnes dont les données à caractère personnel étaient extraites de réseaux sociaux pour être agrégées au service d’annuaire ” Pages Blanches ” n’étaient informées de leur droit d’opposition que si elles consultaient ce service
  • D’autre part, le droit d’opposition ne pouvait être exercé de manière effective et durable, eu égard à la complexité de la procédure et à la circonstance que les demandes imprécises ou incomplètes n’étaient pas traitées
  • Enfin, que l’exercice du droit de rectification n’était pas garanti, le responsable du traitement estimant qu’il en était exonéré du fait du caractère indirect de la collecte des données ; qu’ainsi, la formation restreinte de la CNIL, qui est légalement tenue de garantir

Le Conseil d’État en déduit que la collecte ainsi réalisée présentait un caractère déloyal.

2. Informations relatives aux droits de la personne concernée

L’information de la personne dont les données sont collectées de l’existence d’un traitement ne suffit pas, elle doit être complétée par la fourniture d’informations relatives aux droits qui lui sont conférés par la loi informatique et libertés.

Plus précisément, l’information doit porter sur 3 éléments :

  • Les risques, règles, garanties et droits liés au traitement des données à caractère personnel
  • Les modalités d’exercice de leurs droits en ce qui concerne le traitement dont les personnes concernées font l’objet
  • Les finalités spécifiques du traitement qui doit être explicite et légitime et déterminée lors de la collecte des données à caractère personnel

II) Une obligation de garantir la conservation limitée des données traitées

==> La conservation des données

Selon le considérant 39 du RGPD, le respect du principe de loyauté exige que le responsable du traitement garantisse la durée de conservation des données soit limitée au strict minimum.

Aussi, afin de garantir que les données ne sont pas conservées plus longtemps que nécessaire, des délais devraient être fixés par le responsable du traitement pour leur effacement ou pour un examen périodique.

Par ailleurs, la garantie tenant à la conservation des données suppose qu’elles soient conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées;

Dans sa décision du 11 octobre 2005, la CNIL a eu l’occasion d’affirmer que « face à la mémoire de l’informatique, seul le principe du “droit” à l’oubli consacré par l’article 6-5° de la loi du 6 janvier 1978 peut garantir que les données collectées sur les individus ne soient pas conservées, dans les entreprises, pour des durées qui pourraient apparaître comme manifestement excessive »[4].

À cet égard, le droit à l’oubli a été consacré par le RGPD qui prévoit que « la personne concernée a le droit d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, de données à caractère personnel la concernant et le responsable du traitement a l’obligation d’effacer ces données à caractère personnel dans les meilleurs délais ».

==> La durée de conservation

La durée de conservation doit être établie en fonction de la finalité de chaque traitement.

Le responsable de traitement la fixe de façon “raisonnable” en fonction de l’objectif du traitement.

La détermination de la durée de conservation doit s’appuyer sur le critère « une donnée vivante est une donnée dont on a régulièrement besoin ». Cette durée correspond à la durée de vie des archives courantes.

Au-delà, les données peuvent être faire l’objet d’archives intermédiaires, voire d’archives définitives.

III) Sur l’obligation de garantir la confidentialité et la sécurité des données traitées

Autre obligation qui participe du respect du principe de loyauté, celle qui commande au responsable du traitement d’assurer la confidentialité et la sécurité des données traitées.

Autrement dit, les données à caractère personnel doivent être traitées de manière à garantir une sécurité et une confidentialité appropriées, y compris pour prévenir l’accès non autorisé à ces données et à l’équipement utilisé pour leur traitement ainsi que l’utilisation non autorisée de ces données et de cet équipement.

Le niveau de sécurité attendu est fixé par l’article 32 du RGPD.

Cette disposition prévoit que compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins :

  • La pseudonymisation et le chiffrement des données à caractère personnel;
  • Des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement;
  • Des moyens permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique;
  • Une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.

De son côté, l’article 34 de la loi informatique et libertés dispose que « le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. »

Afin de garantir un niveau de sécurité satisfaisant, le chiffrement des données est fortement encouragé par la CNIL.

Dans son rapport annuel de 2017, elle a ainsi souligné que « dans un contexte de numérisation croissante de nos sociétés et d’accroissement exponentiel des cybermenaces, le chiffrement est un élément vital de notre sécurité. Il contribue aussi à la robustesse de notre économie numérique et de ses particules élémentaires que sont les données à caractère personnel, dont la protection est garantie par l’article 8 de la Charte des droits fondamentaux de l’Union européenne ».

Le Conseil national du numérique, dans son avis de septembre 2017, a, pris une position similaire, rappelant que « le chiffrement est un outil vital pour la sécurité en ligne ; en conséquence, il doit être diffusé massivement auprès des citoyens, des acteurs économiques et des administrations ».

[1] Cass. crim., 14 mars 2006, n° 05-83423

[2] Cass., ch. crim., 25 oct. 1995, n° 94-85781

[3] CE, 12 mars 2014, n° 353193, Sté Pages Jaunes

[4] Délibération n°2005-213 du 11 octobre 2005

(0)

Alors que la notion de sous-traitant n’était pas définie dans la convention 108, elle figure désormais en bonne place dans le RGPD.

L’article 4 de ce texte prévoit que le sous-traitant est « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement ».

Selon le G29 tout comme la définition du responsable du traitement, celle du sous-traitant envisage un large éventail d’acteurs pour tenir ce rôle («… une personne physique ou morale, une autorité publique, un service ou tout autre organisme …»).

L’existence d’un sous-traitant dépend du responsable du traitement, qui peut décider :

  • soit de traiter les données au sein de son organisation, par exemple en habilitant des collaborateurs à traiter les données sous son autorité directe
  • soit de déléguer tout ou partie des activités de traitement à une organisation extérieure, comme l’indique l’exposé des motifs de la proposition modifiée de la Commission, par «une personne juridiquement distincte du responsable mais agissant pour son compte»

Par conséquent, les deux conditions fondamentales pour agir en qualité de sous-traitant sont :

  • d’une part, d’être une entité juridique distincte du responsable du traitement
  • d’autre part, de traiter les données à caractère personnel pour le compte de ce dernier.

L’activité de traitement peut se limiter à une tâche ou un contexte bien précis, ou être plus générale et étendue.

En outre, le rôle de sous-traitant ne découle pas de la nature de l’entité traitant des données mais de ses activités concrètes dans un cadre précis.

En d’autres termes, la même entité peut agir à la fois en qualité de responsable du traitement pour certaines opérations de traitement et en tant que sous-traitant pour d’autres opérations, et la qualification de responsable ou de sous-traitant doit être évaluée au regard d’un ensemble spécifique de données ou d’opérations.

L’aspect le plus important est l’exigence que le sous-traitant agisse «…pour le compte du responsable de traitement…». «Agir pour le compte de» signifie servir les intérêts d’un tiers et renvoie à la notion juridique de délégation.

Dans le cas de la législation relative à la protection des données, un sous-traitant est amené à exécuter les instructions données par le responsable du traitement, au moins en ce qui concerne la finalité du traitement et les éléments essentiels des moyens.

Dans cette perspective, la licéité de l’activité de traitement de données du sous-traitant est déterminée par le mandat donné par le responsable du traitement. Un sous-traitant qui outrepasse son mandat et acquiert un rôle important dans la détermination des finalités ou des moyens essentiels du traitement est davantage un (co)responsable qu’un sous-traitant.

A cet égard, l’article 35 de la loi informatique et libertés prévoit que « le contrat liant le sous-traitant au responsable du traitement comporte l’indication des obligations incombant au sous-traitant en matière de protection de la sécurité et de la confidentialité des données et prévoit que le sous-traitant ne peut agir que sur instruction du responsable du traitement. »

Ainsi, est-il fait obligation pour le responsable du traitement de définir contractuellement la mission confiée au sous-traitant.

(0)

L’article 2, al. 1er de la loi informatique et libertés dispose que « la présente loi s’applique aux traitements automatisés de données à caractère personnel, ainsi qu’aux traitements non automatisés de données à caractère personnel contenues ou appelées à figurer dans des fichiers, à l’exception des traitements mis en œuvre pour l’exercice d’activités exclusivement personnelles, lorsque leur responsable remplit les conditions prévues à l’article 5 »

Il ressort de cette disposition que le champ d’application de la loi informatique et libertés est gouverné par un principe que l’on a assorti d’une exception.

§1 : Le principe

En application de l’article 2 de la loi informatique et libertés, ce texte, tel que modifié par les lois du 6 août 2004 et du 20 juin 2018, a vocation à s’appliquer « aux traitements automatisés en tout ou partie de données à caractère personnel, ainsi qu’aux traitements non automatisés de données à caractère personnel contenues ou appelées à figurer dans des fichiers ».

Cette disposition reprend, dans les mêmes termes, l’article 2 du RGPD.

Il ressort de ce texte que plusieurs conditions doivent être réunies pour que la loi informatique et liberté soit applicable :

  • L’objet du traitement
    • Pour que la loi informatique et libertés s’applique, le traitement doit porter sur des données à caractère personnel, définies à l’alinéa 2 de l’article 2 de ladite loi.
    • Aux termes de cette disposition, « constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. »
    • Cette disposition précise que « pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne. »
    • Dans l’hypothèse où la donnée traitée ne répond pas aux critères ci-dessus énoncés, le traitement dont elle fait l’objet n’entre pas dans le champ d’application de la loi informatique et libertés.
    • Il en résulte qu’aucune obligation de déclaration ne pèse sur l’auteur du traitement.
  • L’auteur du traitement
    • Il est indifférent que l’auteur du traitement soit une personne morale ou physique, publique ou privée.
    • La loi ne distingue pas ; elle vise tous les traitements de données.
    • C’est donc un critère matériel qui a été retenu et non organique.
    • Dès lors que le traitement porte sur des données à caractère personnel, la loi informatique et libertés à vocation à s’appliquer.
  • Les modalités du traitement
    • Le texte prévoit que, tant les traitements automatisés, que les traitements manuels relèvent du champ d’application de la loi informatique et libertés.
    • Ainsi, il importe peu que le traitement soit automatisé.
    • Reste que les données doivent avoir vocation à être contenue dans un fichier
      • Indifférence de l’automatisation du traitement
        • Cette précision vise à éviter de créer un risque grave de contournement.
        • Selon le RGPD, la mesure où la protection des personnes physiques devrait, en effet, être neutre sur le plan technologique et ne devrait pas dépendre des techniques utilisées.
        • C’est la raison pour laquelle, la loi informatique et libertés doit s’appliquer, tout autant aux traitements de données à caractère personnel à l’aide de procédés automatisés, qu’aux traitements manuels.
        • La question qui alors se pose est de savoir ce que l’on doit entendre par traitement automatisé
        • Aux termes de l’article 2 de la loi informatique et libertés « constitue un traitement de données à caractère personnel toute opération ou tout ensemble d’opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction»
      • Exigence de constitution d’un fichier
        • Pour que le traitement de données à caractère personnel soit soumis aux dispositions de la loi informatique et libertés il doit donner lieu à la constitution d’un fichier.
        • Au sens de l’article 2 de la loi informatique et libertés « constitue un fichier de données à caractère personnel tout ensemble structuré et stable de données à caractère personnel accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique.»
        • Dès lors, que les données collectées ont vocation à être triées, classées et structurées, on considère que la condition tenant à la constitution d’un fichier est remplie.

§2 : Les exceptions

Plusieurs exceptions ont été prévues par le législateur à l’application de la loi informatique et libertés :

  • Les traitements de données à des fins exclusivement personnelles
  • Les traitements de données consistant en des copies temporaires
  • Les traitements de données portant sur des activités ne relevant pas de la compétence de l’Union européenne

A) L’exclusion des traitements de données à des fins exclusivement personnelles

L’article 2 de la loi informatique et liberté exclut de son champ d’application les « traitements mis en œuvre pour l’exercice d’activités exclusivement personnelles, lorsque leur responsable remplit les conditions prévues à l’article ».

Le RGPD est venu conforter cette règle en prévoyant expressément qu’il n’avait pas vocation à s’appliquer aux traitements de données à caractère personnel effectués par une personne physique au cours d’activités strictement personnelles ou domestiques, et donc sans lien avec une activité professionnelle ou commerciale.

Au nombre de ces activités pourraient figurer des activités personnelles ou domestiques consistant en l’échange de correspondance, la tenue d’un carnet d’adresses, ou encore l’utilisation de réseaux sociaux et les activités en ligne qui ont lieu dans le cadre de ces activités.

Dans une délibération n° 2005-284 du 22 novembre 2005, la CNIL avait décidé en ce sens que n’étaient pas tenus à l’obligation de déclaration « les sites web diffusant ou collectant des données à caractère personnel mis en œuvre par des particuliers dans le cadre d’une activité exclusivement personnelle ».

À l’inverse, elle considère que « la diffusion et la collecte de données à caractère personnel opérée à partir d’un site web dans le cadre d’activités professionnelles, politiques, ou associatives restent soumises à l’accomplissement des formalités préalables prévues par la loi ».

À cet égard, le RGPD prévoit le règlement s’applique aux responsables du traitement ou aux sous-traitants qui fournissent les moyens de traiter des données à caractère personnel pour de telles activités personnelles ou domestiques.

En outre, les données collectées ne doivent concerner que la sphère privée de l’auteur du traitement.

C’est ainsi que dans un arrêt du 11 décembre 2014 la CJUE a jugé que « l’exploitation d’un système de caméra, donnant lieu à un enregistrement vidéo des personnes stocké dans un dispositif d’enregistrement continu tel qu’un disque dur, installé par une personne physique sur sa maison familiale afin de protéger les biens, la santé et la vie des propriétaires de la maison, ce système surveillant également l’espace public, ne constitue pas un traitement des données effectué pour l’exercice d’activités exclusivement personnelles ou domestiques, au sens de cette disposition. » (CJUE, 11 déc. 2014, aff. C-212/13).

B) L’exclusion des traitements de données consistant en des copies temporaires

Pour prendre en compte les spécificités d’Internet et des réseaux numériques, le législateur a souhaité exclure du champ d’application de la loi, en application de l’article 4 de la loi du 6 janvier 1978, les « copies temporaires qui sont faites dans le cadre des activités techniques de transmission et de fourniture d’accès à un réseau numérique, en vue du stockage automatique, intermédiaire et transitoire des données et à seule fin de permettre à d’autres destinataires du service le meilleur accès possible aux informations transmises ».

Cette dérogation, non prévue par le RGPD, vise en fait notamment le recours, par les fournisseurs d’accès, aux serveurs « proxys » -ou « mandataires »-, qui visent à économiser des capacités de communication sur le réseau, en mémorisant temporairement les adresses des internautes et les sites web consultés afin qu’il ne soit pas nécessaire d’accéder au serveur initial, parfois éloigné et distant, en cas de nouvelle requête.

Ces opérations d’optimisation et de régulation du trafic comportent nécessairement le stockage temporaire de données à caractère personnel, dont l’exclusion du champ d’application de la loi se justifie pleinement, puisqu’il ne comporte aucun danger pour les libertés personnelles des internautes, compte tenu de leur effacement rapide par les serveurs « proxys ».

C) Les traitements de données portant sur des activités ne relevant pas de la compétence de l’Union européenne

Le RGPD prévoit, dans son considérant 16, qu’il n’a pas vocation à s’appliquer à des questions de protection des libertés et droits fondamentaux ou de libre flux des données à caractère personnel concernant des activités qui ne relèvent pas du champ d’application du droit de l’Union, telles que les activités relatives à la sécurité nationale.

Il en va de même pour les activités ayant trait à la politique étrangère et de sécurité commune de l’Union.

(0)

I) La genèse

==> Noli me tangere

 Si, comme l’a écrit Nietzche, « notre époque se nourrit et vit des moralités du passé », depuis le début du XXe siècle les défenseurs du principe de laïcité n’ont eu de cesse de combattre ces moralités, afin qu’il soit procédé, comme l’a suggéré Georges Ripert, à « l’élimination complète de la force religieuse dans la création du droit »[1].

Il est, pourtant, une partie de cette force créatrice qui n’a pas succombé ; il s’agit de ce par quoi est maintenue la personne humaine au sommet de la pyramide des valeurs. Sans que les juristes y prêtent, pour la plupart, grande attention, le caractère sacré de la personne, est directement issu de la Genèse.

L’homme y est décrit comme une créature suprême, façonnée à l’image de Dieu. Ainsi, le vieil adage juridique Noli me tangere (ne me touche pas) est-il directement tiré de l’Evangile selon Saint Jean[2], le Christ exhortant Marie-Madelaine de ne pas le toucher afin que la croyance en sa résurrection relève de l’ordre de sa seule foi.

Cependant, comme le souligne Bernard Beigner, à la différence de l’interprétation faite par les théologiens, les juristes ont interprété ces paroles « d’une manière aussi libre et aussi peu théologique que l’adage tiré de saint Luc : « Les lis ne filent pas » pour justifier le principe de double masculinité dans la succession royale au trône de France »[3].

C’est la raison pour laquelle noli me tangere a perdu toute signification évangélique et, après avoir servi de fondement au droit romain[4], est désormais repris par notre droit pour justifier la primauté de la personne humaine sur toute autre considération[5].

En outre, en plus de cette erreur d’interprétation, les juristes se sont livrés à un amalgame, en assimilant, durant des siècles, la personne au corps humain[6], si bien que seul l’être charnel bénéficiait d’une protection juridique.

Il a fallu attendre la fin du XIXe siècle pour que « l’éminente dignité humaine en réfère aussi bien à l’animus qu’au corpus »[7]. C’est précisément à cette époque que certaines voix ont commencé à faire valoir, notamment sous l’impulsion de la doctrine germano-suisse, qu’il serait opportun de créer un droit de la personnalité soit, d’étendre la protection juridique conférée par l’adage noli me tangere, à l’être spirituel.

==> La naissance des droits de la personnalité

En France, c’est le professeur Perreau qui, le premier[8], s’est ouvertement prononcé en faveur d’une telle extension, lorsque, dans un article intitulé « Des droits de la personnalité »[9], il émet l’idée de la reconnaissance de droits – subjectifs – extrapatrimoniaux[10].

Dans un premier temps, cette position est pour le moins accueillie fraichement par la doctrine française. Roubier, par exemple, raille cette théorie de faire état de « droits fantômes conçus par des imaginations déréglées »[11]. Nombreux sont, cependant, les auteurs qui, dans un second temps, se sont ravisés, adhérant massivement à la proposition formulée par Perreau trente ans auparavant[12].

Finalement, pour reprendre une expression de Ripert, c’est la lutte « des forces sociales » qui a eu raison des querelles de juristes. Cette lutte s’est manifestée dans le courant des années soixante par une pléiade de décisions jurisprudentielles qui ont ému l’opinion publique.

À cette période, est en train de naître la presse, dite à « scandale », dans laquelle les lecteurs peuvent lire les frasques des différentes célébrités qui animent la vie publique de l’époque. Peu enclines à laisser paraitre au grand jour des évènements qu’elles jugent relever de leur intimité, certaines d’entre elles décident de requérir les services de la justice afin que cessent ces atteintes dont elles font de plus en plus fréquemment l’objet[13].

Malheureusement, les juges ne disposent guère plus que de l’inusable article 1382 du Code civil pour répondre à leurs attentes. Le vide juridique qui existe en la matière, est comparable à celui que l’on rencontre dans un trou noir[14].

Aussi, le législateur décide-t-il d’intervenir afin que ce vide qui, jusqu’alors, était comblé par les rustines du droit de la responsabilité, le soit, désormais, par le droit de la personnalité.

C’est ainsi, que, par une loi du 17 juillet 1970, a été reconnu, à l’article 9 du Code civil, le droit au respect la vie privée[15].

La protection conférée par l’adage noli me tangere à l’être charnel est étendue à l’être spirituel. Au même moment, l’informatique fait une entrée fracassante dans une société en pleine mutation et met rapidement en évidence, les limites de cette nouvelle législation.

==> Le projet SAFARI

 Bien que les textes qui consacrent le droit à la vie privée soient nombreux[16], la notion de « vie privée » n’est définie par aucun d’eux. C’est pourquoi il est revenu aux juges la tâche d’en délimiter les contours. Si, au fil de leurs décisions, ces derniers ont pu affirmer que toutes les informations relatives à la vie privée sont des informations personnelles[17], ils ont également eu l’occasion de souligner que les données à caractère personnel ne relevaient pas toutes de la vie privée[18].

Force est de constater, comme le souligne Guy Braibant, que « la notion d’atteinte à la vie privée ne permet […] pas d’épuiser tous les cas de méconnaissance des droits des personnes auxquels la mise en œuvre de traitements de données à caractère personnel est susceptible de donner lieu »[19].

La question s’est alors posée de savoir si la protection conférée par le droit au respect de la vie privée, était suffisante quant à protéger l’être informationnel dans son ensemble. Une fois encore, ce sont les forces sociales qui se sont illustrées, lorsque, dans un retentissant article publié dans le journal Le Monde, le journaliste Philippe Boucher dénonce le projet SAFARI (Système Automatisé pour les fichiers administratifs et le répertoire des individus)[20].

Ce projet avait ambition de réaliser une interconnexion générale des différents fichiers administratifs à l’aide de l’identification unique de chaque français. Comme le souligne le titre de l’article, la réalisation d’un tel dispositif aurait eu pour conséquence de sonner l’ouverture de « la chasse aux français ».

Le danger qui guettait les administrés était, en somme, qu’un ordinateur central recoupe chacune de leurs données personnelles, sans qu’ils puissent invoquer un quelconque droit à la vie privée pour l’en empêcher.

Ce droit ne peut, en effet, être exercé que s’il est porté atteinte au libre choix d’une personne de ne pas divulguer une information la concernant. Or tel n’est pas ce que prévoit le projet SAFARI. Celui-ci vise, non pas à permettre une immixtion de l’administration dans l’intimité de ses administrés, mais seulement une interconnexion des données qui lui ont volontairement été divulguées.

Dans cette perspective, Adolphe Touffait, procureur général près la Cour de cassation déclare, à l’époque, que « la dynamique du système qui tend à la centralisation des fichiers risque de porter gravement atteinte aux libertés, et même à l’équilibre des pouvoirs politiques »[21].

II) L’autonomisation du droit des données à caractère personnel

==> La loi informatique et libertés

 En réaction au vent de panique créé par le projet SAFARI, le premier ministre décide, immédiatement, de saisir le garde des sceaux afin que soit créée, en urgence, une commission chargée de formuler des propositions « tendant à garantir que le développement de l’informatique dans les secteurs publics, semi-publics et privés, se réalisera dans le respect de la vie privée, des libertés individuelles et des libertés publiques ».

Le défi lancé à la Commission informatique et libertés est de taille. Comme le fait remarquer Bernard Tricot « il est toujours difficile de bâtir une muraille de Chine juridique sur laquelle viendront s’écraser les assauts de l’informatique ».

Par chance, les travaux réalisés par la Commission sont d’une excellente facture, ce qui permet la rédaction d’un remarquable projet de loi.

Déposé en août 1976, ce projet accouche de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.

Par cette loi, la protection conférée par l’adage noli me tangere est étendue à l’être informationnel dans son entier.

Désormais, c’est la personne humaine réunie dans ses trois composantes qui est protégée par le droit. Comme pour remercier le remarquable travail de la Commission qui avait fort bien œuvré, elle est instituée gardienne de la loi informatique et libertés.

À l’image d’une pierre jetée dans l’eau, l’adoption de cette législation, très innovante, a pour effet immédiat de se propager partout en Europe.

Nombre d’États souhaitent, dans le sillage de la France, protéger leurs ressortissants de l’informatique, qui dorénavant est perçue comme « une dévoreuse d’identité, elle capte l’individu sous toutes ses facettes et porte au grand jour des aspects qu’il souhaiterait conserver secret »[22].

==> La propagation internationale du mouvement de protection de la vie privée

Exception faite des États-Unis qui, pour des considérations essentiellement d’ordre économique, préfèrent fermer les yeux sur les dangers qui menacent l’intimité des citoyens américains, de nombreux pays ont, dès le début des années quatre-vingts, pris des mesures concertées, afin que l’appétit de l’ogre informatique à engloutir des données, s’arrête là où commence le droit des personnes à ne pas abandonner les éléments de leur identité.

La première de ces mesures peut être portée au crédit de l’OCDE (Organisation de Coopération et de Développement Economique), qui adopte le 23 septembre 1980 des lignes directrices destinées à régir la protection de la vie privée et les flux transfrontières de données à caractères personnel.

Quatre mois plus tard, cette organisation internationale est suivie par le Conseil de l’Europe qui adopte, le 28 janvier 1981, la convention pour la protection des personnes à l’égard du traitement des données à caractère personnel[23]. On l’appelle également la convention 108. L’objectif de ce traité est de « garantir sur le territoire de chaque partie, à toute personne physique, quelles que soient sa nationalité ou sa résidence, le respect de ses droits et de ses libertés fondamentales, et notamment de sa vie privée, à l’égard du traitement automatisé de données à caractère personnel la concernant »[24].

Enfin, par une résolution n°45/95 du 14 décembre 1990, l’assemblée générale des Nations Unies[25] apporte une touche d’universalité à ces conventions, dont la portée ne dépasse guère plus les frontières de l’Europe. Pis, seule la convention 108 présente un caractère contraignant[26]. Fort légitimement, on est alors en droit de s’interroger sur l’utilité de proclamer des grands principes, s’il n’existe aucun moyen de les faire appliquer, à plus forte raison lorsqu’il s’agit de garantir des libertés.

Indépendamment de l’impact international provoqué par la loi informatique et libertés, il doit être souligné, comme l’affirme le Conseil constitutionnel dans sa décision n° 92-316 du 20 janvier 1993, que cette loi participe, avant tout, au système de protection de la liberté personnelle et individuelle[27] ce qui, sans lui conférer une valeur constitutionnelle, « l’enracine en quelque sorte dans le bloc de constitutionnalité qui la vivifie »[28].

==> Le toilettage de la loi informatique et libertés

 La loi informatique et libertés se trouve être à la croisée de nombreuses libertés fondamentales, au-delà même du droit au respect à la vie privée[29].

En témoignent les rapports étroits qu’elle entretient avec le droit bancaire, le droit de la santé, le droit de la consommation, le droit de la communication, le droit de la propriété intellectuelle, ou encore le droit social. Sont ici concernés tous les droits qui appréhendent des secteurs dans lesquels sont collectées et traitées des données à caractère personnel. L’étendue du champ d’application de la loi informatique et libertés apparaît illimitée.

C’est de là qu’est issue la très grande portée de cette loi, laquelle montre une aptitude à se saisir des situations nouvelles créées par les machines. Ces situations « s’étendent à tous les aspects de la vie publique et privée, des activités collectives et individuelles »[30].

Bien que très étendu puisse apparaître le champ d’application de la loi informatique et libertés lors de son adoption, il est, toutefois un évènement qui, assez paradoxalement, va, plus tard, le rendre trop étroit. Quel est cet évènement ? Il s’agit de la naissance de l’internet qui s’est accompagnée, nous l’avons vu, de nouvelles techniques de collectes de données à caractère personnel.

Surtout, ce qui est nouveau, c’est que, une fois collectées, les données peuvent, en quelques clics de souris, circuler d’ordinateur en ordinateur, sans compter que la menace vient désormais, moins de l’administration publique que des agents privés. Naturellement, on ne saurait reprocher au législateur de n’avoir pas anticipé ces phénomènes.

Quoi qu’il en soit, un toilettage de la loi informatique et libertés devient, rapidement, nécessaire. Contrairement, à son élaboration qui s’est faite dans un cadre national, la refonte de cette loi est impulsée par les instances communautaires, qui brandissent – de façon assez discutable – leur compétence quant à connaître de tout ce qui relève de la circulation des marchandises. Or, selon elles, les données à caractère personnel peuvent y être assimilées.

Comment, dès lors, parvenir d’une part, à une harmonisation des législations nationales et, d’autre part, à la libre circulation des données à caractère personnel, tout en garantissant un niveau élevé de protection des libertés individuelles.

 Pour le conseil d’Etat, qui se prononce en assemblée générale, dans un avis du 13 juin 1993, le texte qui va être adopté ne saurait contenir de « dispositions qui conduiraient à priver des principes de valeur constitutionnelle de la protection que leur accorde la loi du 6 janvier 1978 actuellement en vigueur »[31].

De la même manière, dans une résolution de l’assemblée nationale du 25 juin 1993, il est estimé que la Communauté européenne ne peut « justifier son intervention dans la réglementation des traitements des données à caractère personnel qu’à la condition que la réalisation de cet objectif ne nuise pas au haut degré de protection dont doivent bénéficier les personnes physiques à l’égard de ces traitements et encore moins à assimiler ces données à de simples marchandises ».

Fort heureusement, en raison de la grande considération que les instances communautaires portent à la loi informatique et libertés, les recommandations formulées par les autorités françaises, notamment par la CNIL, ont été suivies rigoureusement.

Cela s’est traduit par l’adoption d’une directive, le 24 octobre 1995, qui dispose, dans son dixième considérant, que « […] le rapprochement [des] législations ne doit pas conduire à affaiblir la protection qu’elles assurent mais doit, au contraire, avoir pour objectif de garantir un niveau élevé de protection dans la Communauté »[32]. Par ce texte communautaire est assuré « la protection des libertés et droits fondamentaux des personnes physiques, notamment de leur vie privée, à l’égard du traitement des données à caractère personnel »[33].

En France, il faut attendre près de dix ans pour que cette directive soit transposée. Elle le fut, par une loi du 6 août 2004, qui, sans remplacer la précédente du 6 juillet 1978, a simplement été intégrée à elle.

==> Le RGPD

Une proposition de règlement et une proposition de directive ont été formulées par la Commission européenne le 25 janvier 2012[34], en vue de remplacer respectivement la – déjà obsolète – directive du 24 octobre 1995 et la décision cadre 2008/977/JAI sur la protection des données dans le cadre de la coopération policière et judiciaire[35].

A cet égard, le législateur européen s’est donné pour objectif de renforcer les droits des personnes et le marché intérieur de l’UE, garantir un contrôle accru de l’application de la réglementation, simplifier les transferts internationaux de données à caractère personnel et instaurer des normes mondiales en matière de protection des données.

La France a pris une part très active dans les négociations afin de maintenir et promouvoir son modèle de protection des données qui constitue encore aujourd’hui une référence en Europe et dans le monde.

A l’issue de longues négociations, le Parlement européen et le Conseil ont adopté le « paquet protection des données » le 27 avril 2016, fruit d’un compromis entre les Etats membres de l’Union européenne.

Ce paquet se compose :

  • D’un règlement relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement (UE) 2016/679).
  • D’une directive relative aux traitements mis en œuvre à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales (directive (UE) 2016/680).

Au-delà des exigences propres à la mise en conformité avec le droit européen de la protection des données à caractère personnel, le règlement prévoit plus d’une cinquantaine de marges de manœuvre qui permettent aux Etats membres de préciser certaines dispositions ou d’aller plus loin que ce que prévoit le droit européen.

Certaines de ces marges de manœuvre permettent de maintenir des dispositions déjà existantes dans notre droit national. D’autres, en revanche, peuvent être mises en œuvre afin notamment de prendre en compte l’évolution technologique et sociétale.

Le rapport annuel du Conseil d’Etat de 2014, intitulé « Le numérique et les droits fondamentaux » a souligné la nécessité de repenser la protection des droits fondamentaux afin de mettre le numérique au service des droits individuels et de l’intérêt général.

De même, le rapport d’information déposé par la Commission des lois constitutionnelles, de la législation et de l’administration générale de la République de l’Assemblée nationale a également révélé l’importance des « incidences des nouvelles normes européennes en matière de protection des données personnelles sur la législation française »

Les nouvelles exigences posées par le législateur européen ont été transposées en droit français lors de l’adoption de la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles.

 

[1] G. Ripert, Les forces créatrices du droit, LGDJ, coll. « reprint », 1998, p. 146.

[2] V. en ce sens G. Cornu, Linguistique juridique, Montchrestien, coll. « Domat », 2005, p. 356 ; H. Roland et L. Boyer, Adages du droit français, Litec, coll. « traités », 3éd., Paris, 1992, n°251, p. 533 ; B. Beignier, Droit de la personnalité, PUF, coll. « Que sais-je ? », 1992, p. 14-15.

[3] Cité in B. Beignier, op. préc., p. 15.

[4] Ulpien affirmait « dominus membrorum suorum nemo videtur » (nul n’est propriétaire de son corps), Digeste, IX-2-13, cité in B. Beignier, op. préc., p. 76.

[5] Selon R. Andorno, « le système juridique repose sur la base de la distinction radicale personnes-choses, qui est une condition sine qua non, non seulement de l’existence du système, mais du respect dû à la personne humaine » (R. Andorno, « Procréations artificielles, personnes et choses », RRJ, 1992, n°1, pp. 13 s.).

[6] J. Carbonnier, Droit civil. Introduction, Les personnes, La famille, l’enfant, le couple, PUF, coll. « Quadrige manuels », 2004, n°4, p.19.

[7] Bernard Beigner, op. préc., p. 7.

[8] Emile Beaussire par son ouvrage « les principes du droit » publié en 1888 et A. Boistel dans son cours de philosophie du droit en 1889 avaient néanmoins déjà développé la notion de droits innés au nombre desquels figurait le droit au respect de l’individualité.

[9] E.-H. Perreau, « Des droits de la personnalité », RTDCiv, 1909, pp. 501 et s.

[10] Perreaufait, par exemple, référence au dommage moral, à la protection du corps et de l’esprit, à l’honneur ou encore au « droit à la liberté ».

[11] P. Roubier, préface in R. Nerson, Les droits extrapatrimoniaux, LGDJ, 1939.

[12] Sans doute est-ce là le résultat de l’influence de Jean Dabin, qui avance dans son ouvrage relatif aux droits subjectifs, que ces deniers incluent, tant les intérêts juridiquement protégés, que les « droits de liberté ». Dans le droit fil de cette idée Roger Nerson, élève de Roubier, écrit plus tard dans sa thèse qu’« un droit extrapatrimonial est un droit dont la fin est de satisfaire un besoin non économique : besoin souvent moral, parfois d’ordre matériel » (R. Nerson, op. préc., p. 6).

[13] V. en ce sens notamment, Aff. Marlène Dietrich, CA Paris, 16 mars 1955, D. 1955, p. 295 ; Aff. Picasso, CA Paris, 6 juill. 1965, Gaz. Pal. 1966, 1, p. 39 ; Aff. Trintignant, CA Paris, 17 mars 1966, D. 1966, p. 749; Aff. Bardot, TGI Seine, 24 nov. 1965, JCP G 1966, II, 14521, puis CA Paris, 27 févr. 1967 : D. 1967, p. 450, note Foulon-Piganiol.

[14] R. Badinter, « Le droit au respect de la vie privée », JCP G, 1968, I, 2136, n° 12.

[15] Article 9 de la loi n°70-643 du 17 juillet 1970 : « chacun a droit au respect de sa vie privée ».

[16] On peut citer l’article 8 de la Convention européenne de sauvegarde des droits de l’homme, l’article 7 de la Chartes des droits fondamentaux de l’Union Européenne ou encore l’article 1er de la Directive Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques JO 31 juillet 2002, L. 201, pp. 37-47.

[17] Comme le souligne Emmanuel Derieux « à défaut d’une définition légale précise de la vie privée […], c’est dans la jurisprudence, tant antérieure que postérieure à la loi de 1970 que l’on doit chercher la signification ou l’interprétation de cette notion. […] On considère généralement – encore que cela puisse varier selon les circonstances et l’identité des individus concernés – que relèvent de la vie privée d’une personne : sa vie sentimentale ; ses relations amicales ; sa situation de famille ; ses ressources et moyens d’existence ; ses loisirs […] ; sens opinions politiques ; son appartenance syndicale ou religieuse ; son état de santé ; le mode d’éducation choisi pour ses enfants ; son adresse […] » (E. Derieux, Droit des médias. Droit français, européen et international, LGDL, coll. « Manuel », 2008, n°1803-1804, p. 583).

[18] On pense notamment aux données relatives au patrimoine, à la confession ou encore à la profession.

[19] G. Braibant, Rapport Données personnelles et société de l’information. Transposition en droit français de la directive numéro 95/46, La documentation française, coll. « rapports officiels », 1998, p. 7. V. également sur la notion d’atteinte à la vie privée, B. Beignier, « Vie privée et vie publique », Légipresse, sep. 1995, n°124, pp. 67-74 ; O. d’Antin et L. Brossollet, « Le domaine de la vie privée et sa délimitation jurisprudentielle » Légicom, octobre 1999, n° 20, pp. 9-19 ; J. Curto, « La fin justifie-t-elle les moyens ? De la notion de vie privée et de la preuve déloyale » Revue Lamy Droit Civil, avr. 2012, n°92, pp. 55-56.

[20] Ph. Boucher, « Safari ou la chasse aux Français », Le Monde, 21 mars 1974.

[21] A. Touffait, Discours du 9 avril 1973 devant l’Académie des Sciences morales et politiques, cité in Ph. Boucher, art. préc.

[22] D. Pousson, « L’identité informatisée », in L’identité de la personne humaine. Étude de droit français et de droit comparé, Bruylant, Bruxelles, 2002, p. 373.

[23] Cette convention a été complétée par un amendement adopté le 15 juin 1999, lequel prévoit l’ouverture à la signature de l’Union européenne et par un protocole additionnel relatif aux autorités de contrôle des flux transfrontières de données à caractère personnel.

[24] Article 1er de la convention 108, publiée par le décret n°85-1203 du 15 novembre 1985, JO 20 nov., p. 13436

[25] Résolution 45/95 du 14 décembre 1990 adoptée par l’assemblée générale des Nations Unies relative aux principes directeurs pour la règlementation des fichiers personnels informatisés.

[26] La convention 108 prend directement sa source dans la Convention de sauvegarde des droits de l’homme et des libertés fondamentales laquelle est d’application directe. L’arrêt du Conseil d’État du 18 novembre 1992 semble aller en ce sens (CE, 18 nov. 1992, Licra, AJDA 1993, n°3, p. 213, note Letterson).

[27] Décision n° 92-316 DC du 20 janvier 1993, JORF n°18 du 22 janvier 1993 p. 1118.

[28] A. Lucas, J. Devèze, J. Frayssinet, op. cit. note n°100, n°41, p. 28.

[29] Ibid.

[30] P. Laroque, « Informatique et libertés publiques », in Techniques de l’Ingénieur, Fascicules H 8770, éd. Techniques, 1970.

[31] V. en ce sens, Les grands avis du Conseil d’État, Paris, LGDJ, 1997, p. 399, note de B. Stirn.

[32] Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, JO 23 nov. 1995, L. 281, pp. 31-50.

[33] Article 1er, 1° de la directive 95/46/CE.

[34] Communication de la Commission « une approche globale de la protection des données à caractère personnel dans l’Union européenne », 4 novembre 2010, COM(2010)609 final.

[35] Décision-cadre 2008/977/JAI du Conseil du 27 novembre 2008 relative à la protection des données à caractère personnel traitées dans le cadre de la coopération policière et judiciaire en matière pénale, J.O.C.E. L 350 du 30 décembre 2008.

(0)

Le choix de la méthode de calcul du TEG n’est pas neutre. Selon la méthode mise en œuvre, le résultat obtenu est susceptible de sensiblement différer (A). En France, le législateur a fait le choix d’admettre deux méthodes de calcul dont l’adoption dépend de la nature du crédit consenti (B).

I) Le choix de la méthode de calcul du coût du crédit

==>La loi du 28 décembre 1966: la liberté de choix

Le taux effectif global a été institué par la loi n° 66-1010 du 28 décembre 1966 relative à l’usure, aux prêts d’argent et à certaines opérations de démarchage et de publicité.

Lorsque cette notion a été introduite en droit français, le législateur avait pour seule ambition d’appréhender plus finement le taux d’usure, ce qui supposait de tenir compte, dans son calcul, de tous les frais exposés par l’emprunteur en sus du paiement des intérêts au taux nominal.

S’il peut être reconnu à cette loi d’avoir créé un outil qui permet de refléter le coût réel du crédit en exprimant, non seulement la rémunération perçue par le prêteur, mais encore le montant de la charge effectivement supporté par l’emprunteur[1], elle n’en a pas moins été silencieuse sur la méthode de calcul du taux effectif global.

Cela signifiait que les établissements bancaires étaient libres d’adopter la méthode de calcul de leur choix. Afin de procéder au calcul du taux effectif global, deux méthodes s’opposent : la méthode proportionnelle et la méthode équivalente.

À titre de remarque liminaire, il convient d’observer que le choix d’une méthode n’a d’incidence, ni sur le coût réel du crédit, ni sur le montant des échéances de remboursement.

Une comparaison, au moyen des mathématiques financières, révèle que seul le coût apparent du crédit diffère d’une méthode à l’autre.

Pour exemple, tandis que pour un emprunt de 1.000 euros remboursé en deux fois sur une année au taux mensuel de 0,5%, la méthode proportionnelle conduit à afficher un taux annuel de 6%, la méthode équivalente conduit, pour un même emprunt, à communiquer sur un taux annuel de 6,1%.

La méthode proportionnelle présente indubitablement l’avantage de ne soulever aucune difficulté de mise en œuvre, de sorte que sa compréhension est à la portée de l’emprunteur non averti. Elle conduit néanmoins à obtenir un taux effectif global moins précis que si l’on avait recouru à la méthode équivalente.

Bien que plus fiable, cette seconde méthode n’est pas sans avoir, elle aussi, son lot d’inconvénients : elle est assise sur une formule plus complexe que celle qui préside à la mise en œuvre de la méthode proportionnelle, ce qui a pour conséquence immédiate de rendre le calcul du taux effectif global moins transparent pour les emprunteurs.

Sans surprise, tant qu’aucun texte n’imposait l’utilisation d’une méthode en particulier, les établissements bancaires se sont tournés vers celle qui leur serait la plus favorable : la méthode proportionnelle.

Cette méthode privilégie les prêteurs en ce qu’elle leur permet de communiquer sur un coût du crédit plus flatteur que celui obtenu au moyen de la méthode équivalente.

Cette liberté de choix dont jouissaient les professionnels du crédit quant à la méthode de calcul du taux effectif global a prospéré pendant près de dix ans. Il a fallu attendre le milieu des années soixante-dix pour que la jurisprudence s’empare du sujet.

==>L’intervention de la jurisprudence

Dans un arrêt du 30 janvier 1975, la Cour de cassation a notamment considéré que, pour les prêts à amortissement échelonné, le taux de période devait être calculé actuariellement, soit en tenant compte des modalités d’amortissement de la créance[2]. Elle n’a cependant pas dit, dans cette décision, quelle méthode devait être adoptée pour obtenir un taux effectif global annuel.

Après avoir réaffirmé cette position dans un arrêt du 8 juin 1977 rendu par la chambre criminelle[3], la Cour de cassation s’est explicitement prononcée en faveur de la méthode proportionnelle dans un arrêt remarqué du 9 janvier 1985.

Aux termes de cette décision, elle a affirmé que « la méthode de calcul dite du taux équivalent […] ne peut être retenue dans la mesure où elle repose sur la fiction selon laquelle un débiteur tenu au paiement d’une seule échéance par an aurait la possibilité d’obtenir dans l’intervalle un taux d’intérêt équivalent à celui de son prêt pour les sommes restées en sa possession ».

La haute juridiction en déduit « que seule peut être retenue la méthode proportionnelle […] qui consiste à multiplier le taux de période par le nombre de périodes comprises dans l’année »[4].

Quelques mois plus tard, le pouvoir réglementaire entérine l’adoption de cette méthode par décret du 4 septembre 1985[5].

==>Le décret du 4 septembre 1985: le choix de la méthode proportionnelle

L’article 1er de ce texte dispose en ce sens que « le taux effectif global d’un prêt est un taux annuel, proportionnel au taux de période, à terme échu et exprimé pour cent unités monétaires. Le taux de période et la durée de la période doivent être expressément communiqués à l’emprunteur. »

En raison de l’imprécision de la méthode proportionnelle qui conduit inexorablement à afficher un taux effectif global inférieur à celui effectivement pratiqué par les établissements de crédit, la position française fait l’objet de nombreuses critiques émanant, en particulier, des associations de consommateurs. Cette situation a convaincu le législateur européen d’engager une réflexion sur le sujet.

==>L’intervention du législateur européen

Il s’en est suivi l’adoption par le Conseil, en date du 22 décembre 1986, de la directive n°87/102/CEE relative au rapprochement des dispositions législatives, réglementaires et administratives des États membres en matière de crédit à la consommation.

Bien que cette directive prévoit, pour la première fois, l’obligation pour les banques de communiquer aux emprunteurs le coût total du crédit consenti, elle n’en laisse pas moins un goût d’inachevé, en ce qu’elle abandonne aux États membres le choix de la méthode à appliquer pour calculer le taux effectif global.

==>Le choix de la méthode équivalente

Il faut attendre la directive n°90/88/CEE adoptée le 22 février 1990 pour que les instances communautaires imposent une méthode de calcul aux États membres[6].

Ces dernières justifient la création de cette nouvelle obligation en avançant « qu’il convient, en vue de l’instauration d’une telle méthode et conformément à la définition du coût total du crédit au consommateur, d’élaborer une formule mathématique unique de calcul du taux annuel effectif global et de déterminer les composantes du coût du crédit à retenir dans ce calcul au moyen de l’indication des coûts qui ne doivent pas être pris en compte »

La méthode de calcul finalement retenue par le législateur européen est la méthode équivalente. La directive autorise toutefois certains États membres, dont la France, à maintenir la méthode proportionnelle jusqu’au 31 décembre 1995, afin de leur permettre d’adapter leur législation et de laisser le temps aux professionnels du crédit d’assimiler et de mettre en œuvre ce changement qui n’est pas sans avoir profondément modifié leur façon de procéder.

==>La résistance du législateur français

L’accueil réservé par les autorités françaises à ce texte est pour le moins mitigé, sinon glacial. En témoigne, la réponse écrite formulée par le ministre des finances de l’époque à un parlementaire qui estime que le réalisme de la méthode équivalente est « discutable puisqu’elle repose sur l’idée parfaitement théorique que l’emprunteur pourrait replacer sa trésorerie obtenue à un taux égal à celui de l’emprunt. De surcroît, son adoption ne serait pas sans inconvénient. D’une part, elle conduirait à afficher, toutes choses égales par ailleurs, des taux en hausse sensible selon leur durée. D’autre part, les emprunteurs, qui sont les principaux intéressés par l’affichage du TEG, ne retireraient guère d’avantages de ce changement de méthode : le montant des intérêts débiteurs à leur charge resterait inchangé mais le mode de calcul serait substantiellement obscurci »[7].

N’entendant pas déférer aux injonctions qui lui avaient été adressées par législateur européen, le gouvernement français a, pour marquer sa position, codifié les dispositions du décret qui avait institué la méthode proportionnelle aux articles R. 313-1 et suivants du Code de la consommation par voie de décret adoptée en date du 27 mars 1997[8].

==>La directive du 16 février 1998: la confirmation de la méthode équivalente

Cette initiative n’a manifestement pas suffi à faire reculer les instances communautaires, lesquelles ont très clairement réaffirmé leur position en adoptant la directive 98/7/CE du 16 février 1998 relative au rapprochement des dispositions législatives, réglementaires et administratives des États membres en matière de crédit à la consommation[9].

Lors de la phase d’élaboration du texte, le Conseil et le Parlement se sont appuyés, en particulier, sur les travaux de scientifiques, lesquels sont arrivés à la conclusion que seule la méthode équivalente permettait d’obtenir un taux effectif conforme à celui effectivement pratiqué[10].

En 1996, la Commission européenne était d’ores et déjà été convaincue par cette analyse. Dans un rapport portant sur l’application de la directive du 22 février 1990, elle n’hésita pas à affirmer que « pour le consommateur, les contrats de crédit à la consommation français apparaissent donc artificiellement plus favorables que dans tous les autres États membres de la Communauté européenne. […] La méthode française s’écarte tellement de la méthode communautaire que les taux d’intérêt français sont trompeurs non seulement pour les consommateurs d’autres pays européens, mais aussi pour les consommateurs français qui ne peuvent obtenir une vision correcte des différences dans les prix du crédit, par exemple entre un crédit remboursé par mensualités et un crédit à remboursements trimestriels »[11].

Le rapport accable un peu plus la méthode française en ajoutant qu’elle « semble se fonder sur le raisonnement selon lequel la fonction du TAEG est d’indiquer la charge pour le consommateur (bien qu’il semble admis que la formule communautaire soit d’usage dans les milieux commerciaux). Ce raisonnement est toutefois erroné et relève d’une mauvaise compréhension de la fonction du TAEG. Le TAEG n’indique pas “la charge pour le consommateur”, les consommateurs ne peuvent évaluer la charge sur leur budget que si elle est exprimée en unités monétaires puisque la totalité de leurs revenus mensuels et de leurs dépenses s’expriment de cette façon. Pour répondre aux interrogations du consommateur sur le choix d’un crédit donné, les obligations prévues dans la directive sur l’indication des versements, du coût total et du montant total de la dette sont essentielles. Seuls les clients commerciaux peuvent utiliser le TAEG comme indicateur de la charge parce qu’ils peuvent le comparer à leur taux de profit ou au taux de l’intérêt que produisent d’autres capitaux.

Deux ans plus tard, la directive du 16 février 1998 est venue consacrer la méthode équivalente qui, dorénavant, s’impose à tous les États membres sans possibilité pour eux de conserver la méthode proportionnelle. Le texte prévoit, en ce sens, à titre liminaire, « qu’il convient afin de promouvoir l’établissement et le fonctionnement du marché intérieur et d’assurer aux consommateurs un haut degré de protection, d’utiliser une seule méthode du calcul du taux annuel effectif global afférent au coût du crédit au consommateur dans l’ensemble de la Communauté européenne ». Il en est déduit, dans le troisième considérant, « qu’il convient, en vue de l’instauration de cette méthode unique, d’élaborer une formule mathématique unique de calcul du taux annuel effectif global et de déterminer les composantes du coût du crédit à retenir dans ce calcul au moyen de l’indication des coûts qui ne doivent pas être pris en compte »

Bien que la méthode équivalente soit présentée par le législateur européen comme « unique », son application demeure néanmoins circonscrite au seul domaine des crédits à la consommation. Pour les autres crédits, les établissements bancaires sont libres de choisir la méthode qui leur sied. Aux termes de l’article 2 de la directive, les États membres disposent d’un délai de deux ans à compter de son entrée en vigueur pour transposer ces nouvelles règles.

==>Le décret du 10 juin 2002: la reconnaissance de la méthode équivalente

Le législateur français s’y conformera en 2002 par l’adoption du décret n°2002-928 du 10 juin 2002. L’application de la méthode équivalente s’impose désormais aux établissements bancaires pour les crédits à la consommation. Les dispositions du décret ainsi adopté sont codifiées aux articles R. 313-1 et suivants du Code de la consommation.

Par suite, dans le droit fil de la réforme initiée par la directive n°90/88/CEE adoptée le 22 février 1990, le législateur européen a poursuivi son œuvre d’encadrement des crédits à la consommation, en envisageant, dans la directive 2008/48/CE du 23 avril 2008, des hypothèses supplémentaires nécessaires au calcul du taux annuel effectif global[12].

Il est par exemple prévu, en annexe I de la directive, que « en cas de facilité de découvert, le montant total du crédit est réputé prélevé en totalité et pour la durée totale du contrat de crédit. Si la durée du contrat de crédit n’est pas connue, on calcule le taux annuel effectif global en partant de l’hypothèse que la durée du crédit est de trois mois ».

Il est encore précisé que « pour les contrats de crédit aux consommateurs pour lesquels un taux débiteur fixe a été convenu dans le cadre de la période initiale, à la fin de laquelle un nouveau taux débiteur est établi et est ensuite périodiquement ajusté en fonction d’un indicateur convenu, le calcul du taux annuel effectif global part de l’hypothèse que, à compter de la fin de la période à taux débiteur fixe, le taux débiteur est le même qu’au moment du calcul du taux annuel effectif global, en fonction de la valeur de l’indicateur convenu à ce moment-là ».

==>La loi Lagarde du 1er juillet 2010

La directive du 23 avril 2008 a été transposée, en droit français, par la loi n° 2010-737 du 1er juillet 2010 portant réforme du crédit à la consommation. À cet égard, le législateur en a profité pour introduire dans le Code de la consommation la distinction entre le Taux Effectif Global (TEG) et le Taux Annuel Effectif Global (TAEG).

La distinction entre ces deux notions tient, pour l’essentiel, à la méthode – équivalente ou proportionnelle – utilisée pour calculer le coût du crédit à communiquer à l’emprunteur. L’autre critère de distinction réside dans l’inclusion des frais d’acte notarié dans le coût total du crédit. Tandis que ces frais doivent être inclus dans l’assiette du TEG, la loi du 23 avril 2008 les a expressément exclus du calcul du TAEG, à tout le moins s’agissant de l’acquisition d’un bien immobilier.

Parachevant la transposition de la directive du 23 avril 2008, le gouvernement a, par suite, adopté le décret n° 2011-136 du 1er février 2011 relatif à l’information précontractuelle et aux conditions contractuelles en matière de crédit à la consommation. Ce texte précise les modalités de calcul du TEG, en complétant l’annexe dont était assorti l’article R. 313-1 du Code de la consommation introduit, initialement, par le décret du 10 juin 2002. Là ne s’est pas arrêtée l’évolution des règles applicables aux crédits consentis à des particuliers.

==>La directive DCI du 4 février 2014

Animés par une volonté de renforcer la protection des emprunteurs, le Parlement et le Conseil ont adopté, le 4 février 2014, la directive 2014/17/UE sur les contrats de crédit aux consommateurs relatifs aux biens immobiliers à usage résidentiel[13]. La genèse de cette directive, dite DCI, procède de la poursuite du même objectif que celui visé par le législateur européen lorsqu’il avait institué la méthode équivalente comme méthode de calcul du coût des crédits à la consommation. Il ressort, en ce sens, du considérant 37 de la directive DCI que les consommateurs doivent « être protégés contre la publicité déloyale ou mensongère et pouvoir comparer les offres. Il est dès lors nécessaire de prévoir des dispositions spécifiques sur la publicité des contrats de crédit ainsi qu’une liste d’éléments à faire figurer dans les annonces publicitaires et les documents à caractère commercial destinés aux consommateurs lorsque ces publicités mentionnent les taux d’intérêt ou des chiffres relatifs au coût du crédit, afin de permettre aux consommateurs de comparer les offres. ».

L’un des apports majeurs de ce texte est qu’il étend aux crédits immobiliers l’application de la méthode équivalente s’agissant du calcul du taux d’intérêt communiqué aux emprunteurs. Désormais, la mention du TAEG est exigée, tant pour les crédits à la consommation, que pour les crédits immobiliers. Quant au TEG, sa communication est circonscrite aux seuls crédits destinés à financer les besoins d’une activité professionnelle ou destinées à des personnes morales de droit public.

==>L’ordonnance du 25 mars 2016: la primauté de la méthode équivalente

La directive DCI du 4 février 2014 a été transposée, en droit français, par l’ordonnance n° 2016-351 du 25 mars 2016 sur les contrats de crédit aux consommateurs relatifs aux biens immobiliers à usage d’habitation. Elle est entrée en vigueur le 1er octobre 2016

À compter de cette date, il convient de distinguer les crédits soumis au Code de la consommation, de ceux régis par le Code monétaire et financier.

Les premiers, que sont les crédits à la consommation et les crédits immobiliers, sont assortis d’un coût qui s’exprime en TAEG calculé selon la méthode équivalente.

Quant aux seconds, qui englobent les crédits consentis aux professionnels et aux personnes morales de droit public, sont assortis d’un coût qui s’exprime en TEG calculé selon la méthode proportionnelle.

Selon que l’on calcule le coût du crédit en TAEG ou en TEG la méthode de calcul n’est pas la même, raison pour laquelle il convient de les envisager séparément.

II) La dualité des méthodes de calcul du coût du crédit

À titre de remarque liminaire, il convient d’observer que, conformément à l’article R. 314-1 du Code de la consommation, le calcul du TEG/TAEG repose sur l’hypothèse que le contrat de crédit restera valable pendant la durée convenue et que le prêteur et l’emprunteur rempliront leurs obligations selon les conditions et dans les délais précisés dans le contrat de crédit.

Cette disposition précise que, s’agissant des contrats de crédit qui comportent des clauses qui permettent des adaptations du taux d’intérêt et, le cas échéant, des frais entrant dans le taux effectif global mais ne pouvant pas faire l’objet d’une quantification au moment du calcul, le TEG/TAEG est calculé en partant de l’hypothèse que le taux d’intérêt et les autres frais resteront fixes par rapport au niveau initial et s’appliqueront jusqu’au terme du contrat de crédit.

L’article L. 312-2 du Code de la consommation ajoute que lorsque le prêt fait l’objet d’un amortissement échelonné, le taux effectivement pratiqué doit, en toute hypothèse, être calculé en tenant compte des modalités de l’amortissement de la créance.

Pour le reste, il convient de distinguer selon que le coût du crédit s’exprime en TEG ou en TAEG.

==> Le calcul du TEG : la méthode proportionnelle

L’article R. 314-2 du Code de la consommation dispose que « pour les opérations de crédit destinées à financer les besoins d’une activité professionnelle ou destinées à des personnes morales de droit public, le taux effectif global est un taux annuel, proportionnel au taux de période, à terme échu et exprimé pour cent unités monétaires. »

Deux enseignements peuvent être tirés de cette disposition.

D’une part, pour les crédits consentis à des professionnels où à des personnes morales de droit public, le coût du crédit s’exprime en taux effectif global.

D’autre part, le taux effectif global, applicable à cette catégorie de crédit, se calcule selon la méthode que l’on qualifie de proportionnelle.

La spécificité de cette méthode de calcul du taux d’intérêt est qu’elle s’effectue en deux temps.

Dans un premier temps, il convient de calculer ce que l’on appelle un taux de période, lequel correspond à la périodicité des remboursements effectués par l’emprunteur (mois, trimestre, semestre, etc…).

À cet égard, l’alinéa 2 de l’article R. 314-2 du Code de la consommation précise que « lorsque la périodicité des versements est irrégulière, la période unitaire est celle qui correspond au plus petit intervalle séparant deux versements. Le plus petit intervalle de calcul ne peut cependant être inférieur à un mois. ».

En tout état de cause, le taux de période est calculé actuariellement, à partir d’une période unitaire correspondant à la périodicité des versements effectués par l’emprunteur.

Cette opération mathématique consiste à ramener des flux financiers non directement comparables, car se produisant à des dates différentes, à une même base, en calculant la valeur actualisée de chaque flux futur, positif ou négatif, de remboursement, de paiement d’intérêt ou autre, ce qui donne la valeur actualisée.

Pour bien comprendre la logique qui préside à cette méthode de calcul, il convient de partir du constat que les modalités de paiement des intérêts diffèrent d’un emprunt à l’autre. Or payer les intérêts dus chaque année pour un emprunt en une seule fois à la fin de la période annuelle, ne revient pas au même que de payer les intérêts chaque mois.

Supposons, par exemple, que l’on emprunte la somme de 10.000 euros laquelle doit être entièrement remboursée au bout d’un an, avec un taux d’intérêt nominal de 12%.

Dans l’hypothèse où les intérêts sont payés chaque mois, l’emprunteur doit régler au prêteur chaque mois un douzième de 12%, c’est-à-dire 1%, soit 100 euros.

Au total, le montant des intérêts s’élèvera, au bout d’un an, à 12 X 100 €, soit à 1.200 €.

Manifestement, cette solution ne revient pas au même selon que l’on se place du point de vue de l’emprunteur ou du prêteur.

En effet, tandis que le premier aurait pu faire fructifier cette somme, le second aurait pu les prêter.

Le taux actuariel tient ainsi compte du facteur temps, à supposer que le prêt des intérêts progressivement versés rapporte des intérêts composés de 1% par mois. L’intérêt produit par le capital d’un euro au bout d’un mois étant de 0,01 euros, ledit capital prend la valeur de 1,01 euros à l’issue de cette période.

Selon la méthode proportionnelle, le taux actuariel assure l’égalité entre, d’une part, les sommes prêtées et, d’autre part, tous les versements dus par l’emprunteur au titre de ce prêt, en capital, intérêts et frais divers.

Schéma 1.JPG

Avec :

  • S = Somme prêté
  • V = versement périodique
  • Ip = intérêt périodique
  • P = période
  • F = frais divers

Dans un second temps, il convient, pour obtenir le taux effectif global, de multiplier le taux de période par le nombre de période que comporte l’année civile.

L’article R. 314-2 dispose en ce sens que « lorsque les versements sont effectués avec une fréquence autre qu’annuelle, le taux effectif global est obtenu en multipliant le taux de période par le rapport entre la durée de l’année civile et celle de la période unitaire ».

Schéma 2.JPG

Avec :

  • K = constante de calcul relative à la période

S’agissant de l’ouverture d’une ligne de crédit à court terme, l’alinéa 3 de cette disposition prévoit que le TEG qui figure sur la convention de compte, doit être calculé sur la totalité des droits mis à la disposition du client, comme si l’entreprise avait mobilisé l’intégralité de sa ligne de tirage sur la durée théorique de cette possibilité de tirage.

Ainsi, la méthode proportionnelle conduit, au fond, à exprimer le taux effectif global en un taux proportionnel, car en relation, de façon proportionnelle, au taux de période.

==> Le calcul du TAEG : la méthode équivalente

L’article R. 314-3, al. 1er du Code de la consommation prévoit que le coût des crédits consentis à des consommateurs, qui s’exprime en taux annuel effectif global, se calcule selon la méthode d’équivalence.

À la différence de la méthode proportionnelle, la méthode équivalente n’exige pas, pour calculer le taux effectif global, de déterminer, au préalable, le taux de période : il évalue directement un taux annuel. Cette particularité permet d’obtenir un taux effectif global plus juste.

En effet, s’il est d’usage que les établissements bancaires communiquent sur un taux de crédit annuel, la périodicité de remboursement est, le plus souvent, mensuelle.

La question qui alors se pose est de savoir comment convertir un taux débiteur annuel en un taux débiteur mensuel. Cette conversion s’impose dès lors que l’on exige de l’emprunteur qu’il rembourse, chaque mois, les intérêts correspondant à la rémunération du prêteur.

Lorsque l’on applique la méthode proportionnelle, il suffit, pour déterminer le taux de période, de recourir à une simple division. Lorsque, en revanche, l’on recourt à la méthode équivalente, l’opération est bien moins évidente, car elle repose sur le calcul du taux équivalent.

Des taux d’intérêt se rapportant à des périodes différentes sont dits équivalents si la valeur future d’une même somme à une même date est la même avec chaque taux.

Contrairement à la méthode proportionnelle, la méthode équivalente conduit ainsi à l’obtention d’un taux débiteur annuel qui peut varier selon la périodicité des versements.

Cette méthode met toutefois en œuvre, une formule plus lourde qu’une division : elle repose sur un calcul d’actualisation des flux à compter de la date de déblocage des fonds.

L’article R. 314-3, al. 2 prévoit en ce sens que « le taux annuel effectif global est calculé actuariellement et assure, selon la méthode des intérêts composés, l’égalité entre, d’une part, les sommes prêtées et, d’autre part, tous les versements dus par l’emprunteur au titre de ce prêt pour le remboursement du capital et le paiement du coût total du crédit au sens du 7° de l’article L. 311-1 ces éléments étant, le cas échéant, estimés. »

Concrètement, la détermination du taux effectif global procède de la résolution d’une équation mathématique – énoncée à l’article 2 du décret du 29 juin 2016[14] – qui vise à égaliser le total (actualisé) des sommes prêtées et des échéances dues par l’emprunteur, selon la formule suivante :

Schéma 3.JPG

Avec :

  • X est le TAEG ;
  • m désigne le numéro d’ordre de la dernière utilisation effectuée sur le crédit ;
  • k désigne le numéro d’ordre de la dernière utilisation effectuée sur le crédit, donc 1 ≤ k ≤ m ;
  • Ck est le montant de la dernière utilisation effectuée sur le crédit numéro k ;
  • tk désigne l’intervalle de temps, exprimé en années et fractions d’année, entre la date de la première utilisation effectuée sur le crédit et la date de chacune des utilisations suivantes effectuées, donc t 1 = 0 ;
  • m’ est le numéro d’ordre du dernier remboursement ou paiement de frais ;
  • l est le numéro d’ordre d’un remboursement ou paiement de frais ;
  • Dl est le montant d’un remboursement ou paiement de frais ;
  • sl est l’intervalle de temps, exprimé en années et fractions d’années, entre la date de la première utilisation effectuée sur le crédit et la date de chaque remboursement ou paiement de frais.

Cette équation représente l’égalité entre la, ou, les mises à disposition des fonds et tous les remboursements ou dépenses, actualisés à la date du premier déblocage.

Au bilan, il apparaît que c’est désormais la méthode équivalente qui s’impose comme la méthode de calcul de référence du coût du crédit.

Sous l’impulsion du législateur européen, elle est d’application générale, tandis que le recours à la méthode proportionnelle est circonscrit au domaine des seuls crédits consentis aux professionnels et aux personnes morales de droit public

Si, à cet égard, il échoit aux établissements bancaires de bien distinguer selon les deux catégories de crédits envisagées par le Code de la consommation afin de déterminer la méthode applicable au calcul du taux, il leur appartient, en toute hypothèse, de communiquer à l’emprunteur, préalablement à la conclusion du contrat de crédit, le coût de l’opération, exprimé, tantôt en TAEG, tantôt en TEG.

[1] Ch. Gavalda et J. Stoufflet, Droit bancaire, 9e éd., 2015, Litec, n° 602

[2] Cass. crim., 30 janv. 1975 : Defrénois 1975, p. 696, note Morin.

[3] Cass. crim., 8 juin 1977 : JCP G 1978, II, 188875, note Y. Husset.

[4] Cass. 1ère civ. 9 janv. 1985, JCP G 1986, II, 20532.

[5] Décret n°85-944 du 4 septembre 1985 relatif au calcul du taux effectif global

[6] Directive 90/88/CEE du Conseil du 22 février 1990 modifiant la directive 87/102/CEE relative au rapprochement des dispositions législatives, réglementaires et administratives des États membres en matière de crédit à la consommation

[7] Rép. Min. fin. n°66948 du 8 février 1993, JO du 29 mars 1993, page 1129

[8] Décret n°97-298 du 27 mars 1997 relatif au code de la consommation

[9] Directive 98/7/CE du Parlement européen et du Conseil du 16 février 1998 modifiant la directive 87/102/CEE relative au rapprochement des dispositions législatives, réglementaires et administratives des États membres en matière de crédit à la consommation

[10] V. en ce sens P. Schelmann, Étude relative à la méthode de calcul du TAEG dans les États membres de l’EEE, disponible auprès de la DG XXIV.

[11] Rapport de la Commission européenne sur l’application de la directive n° 90/88/CEE, Document COM (96) 79 final, du 12 avril 1996, page 18, § 77

[12] Directive 2008/48/CE du Parlement européen et du Conseil du 23 avril 2008 concernant les contrats de crédit aux consommateurs et abrogeant la directive 87/102/CEE du Conseil.

[13] Directive 2014/17/UE du 4 février 2014 sur les contrats de crédit aux consommateurs relatifs aux biens immobiliers à usage résidentiel et modifiant les directives 2008/48/CE et 2013/36/UE et le règlement (UE) no 1093/2010

[14] Décret no 2016-884 du 29 juin 2016 relatif à la partie réglementaire du code de la consommation: https://www.legifrance.gouv.fr/jo_pdf.do?id=JORFTEXT000032797752.

(0)

==>La loi du 28 décembre 1966: la liberté de choix

Le taux effectif global a été institué par la loi n° 66-1010 du 28 décembre 1966 relative à l’usure, aux prêts d’argent et à certaines opérations de démarchage et de publicité.

Lorsque cette notion a été introduite en droit français, le législateur avait pour seule ambition d’appréhender plus finement le taux d’usure, ce qui supposait de tenir compte, dans son calcul, de tous les frais exposés par l’emprunteur en sus du paiement des intérêts au taux nominal.

S’il peut être reconnu à cette loi d’avoir créé un outil qui permet de refléter le coût réel du crédit en exprimant, non seulement la rémunération perçue par le prêteur, mais encore le montant de la charge effectivement supporté par l’emprunteur[1], elle n’en a pas moins été silencieuse sur la méthode de calcul du taux effectif global.

Cela signifiait que les établissements bancaires étaient libres d’adopter la méthode de calcul de leur choix. Afin de procéder au calcul du taux effectif global, deux méthodes s’opposent : la méthode proportionnelle et la méthode équivalente.

À titre de remarque liminaire, il convient d’observer que le choix d’une méthode n’a d’incidence, ni sur le coût réel du crédit, ni sur le montant des échéances de remboursement.

Une comparaison, au moyen des mathématiques financières, révèle que seul le coût apparent du crédit diffère d’une méthode à l’autre.

Pour exemple, tandis que pour un emprunt de 1.000 euros remboursé en deux fois sur une année au taux mensuel de 0,5%, la méthode proportionnelle conduit à afficher un taux annuel de 6%, la méthode équivalente conduit, pour un même emprunt, à communiquer sur un taux annuel de 6,1%.

La méthode proportionnelle présente indubitablement l’avantage de ne soulever aucune difficulté de mise en œuvre, de sorte que sa compréhension est à la portée de l’emprunteur non averti. Elle conduit néanmoins à obtenir un taux effectif global moins précis que si l’on avait recouru à la méthode équivalente.

Bien que plus fiable, cette seconde méthode n’est pas sans avoir, elle aussi, son lot d’inconvénients : elle est assise sur une formule plus complexe que celle qui préside à la mise en œuvre de la méthode proportionnelle, ce qui a pour conséquence immédiate de rendre le calcul du taux effectif global moins transparent pour les emprunteurs.

Sans surprise, tant qu’aucun texte n’imposait l’utilisation d’une méthode en particulier, les établissements bancaires se sont tournés vers celle qui leur serait la plus favorable : la méthode proportionnelle.

Cette méthode privilégie les prêteurs en ce qu’elle leur permet de communiquer sur un coût du crédit plus flatteur que celui obtenu au moyen de la méthode équivalente.

Cette liberté de choix dont jouissaient les professionnels du crédit quant à la méthode de calcul du taux effectif global a prospéré pendant près de dix ans. Il a fallu attendre le milieu des années soixante-dix pour que la jurisprudence s’empare du sujet.

==>L’intervention de la jurisprudence

Dans un arrêt du 30 janvier 1975, la Cour de cassation a notamment considéré que, pour les prêts à amortissement échelonné, le taux de période devait être calculé actuariellement, soit en tenant compte des modalités d’amortissement de la créance[2]. Elle n’a cependant pas dit, dans cette décision, quelle méthode devait être adoptée pour obtenir un taux effectif global annuel.

Après avoir réaffirmé cette position dans un arrêt du 8 juin 1977 rendu par la chambre criminelle[3], la Cour de cassation s’est explicitement prononcée en faveur de la méthode proportionnelle dans un arrêt remarqué du 9 janvier 1985.

Aux termes de cette décision, elle a affirmé que « la méthode de calcul dite du taux équivalent […] ne peut être retenue dans la mesure où elle repose sur la fiction selon laquelle un débiteur tenu au paiement d’une seule échéance par an aurait la possibilité d’obtenir dans l’intervalle un taux d’intérêt équivalent à celui de son prêt pour les sommes restées en sa possession ».

La haute juridiction en déduit « que seule peut être retenue la méthode proportionnelle […] qui consiste à multiplier le taux de période par le nombre de périodes comprises dans l’année »[4].

Quelques mois plus tard, le pouvoir réglementaire entérine l’adoption de cette méthode par décret du 4 septembre 1985[5].

==>Le décret du 4 septembre 1985: le choix de la méthode proportionnelle

L’article 1er de ce texte dispose en ce sens que « le taux effectif global d’un prêt est un taux annuel, proportionnel au taux de période, à terme échu et exprimé pour cent unités monétaires. Le taux de période et la durée de la période doivent être expressément communiqués à l’emprunteur. »

En raison de l’imprécision de la méthode proportionnelle qui conduit inexorablement à afficher un taux effectif global inférieur à celui effectivement pratiqué par les établissements de crédit, la position française fait l’objet de nombreuses critiques émanant, en particulier, des associations de consommateurs. Cette situation a convaincu le législateur européen d’engager une réflexion sur le sujet.

==>L’intervention du législateur européen

Il s’en est suivi l’adoption par le Conseil, en date du 22 décembre 1986, de la directive n°87/102/CEE relative au rapprochement des dispositions législatives, réglementaires et administratives des États membres en matière de crédit à la consommation.

Bien que cette directive prévoit, pour la première fois, l’obligation pour les banques de communiquer aux emprunteurs le coût total du crédit consenti, elle n’en laisse pas moins un goût d’inachevé, en ce qu’elle abandonne aux États membres le choix de la méthode à appliquer pour calculer le taux effectif global.

==>Le choix de la méthode équivalente

Il faut attendre la directive n°90/88/CEE adoptée le 22 février 1990 pour que les instances communautaires imposent une méthode de calcul aux États membres[6].

Ces dernières justifient la création de cette nouvelle obligation en avançant « qu’il convient, en vue de l’instauration d’une telle méthode et conformément à la définition du coût total du crédit au consommateur, d’élaborer une formule mathématique unique de calcul du taux annuel effectif global et de déterminer les composantes du coût du crédit à retenir dans ce calcul au moyen de l’indication des coûts qui ne doivent pas être pris en compte »

La méthode de calcul finalement retenue par le législateur européen est la méthode équivalente. La directive autorise toutefois certains États membres, dont la France, à maintenir la méthode proportionnelle jusqu’au 31 décembre 1995, afin de leur permettre d’adapter leur législation et de laisser le temps aux professionnels du crédit d’assimiler et de mettre en œuvre ce changement qui n’est pas sans avoir profondément modifié leur façon de procéder.

==>La résistance du législateur français

L’accueil réservé par les autorités françaises à ce texte est pour le moins mitigé, sinon glacial. En témoigne, la réponse écrite formulée par le ministre des finances de l’époque à un parlementaire qui estime que le réalisme de la méthode équivalente est « discutable puisqu’elle repose sur l’idée parfaitement théorique que l’emprunteur pourrait replacer sa trésorerie obtenue à un taux égal à celui de l’emprunt. De surcroît, son adoption ne serait pas sans inconvénient. D’une part, elle conduirait à afficher, toutes choses égales par ailleurs, des taux en hausse sensible selon leur durée. D’autre part, les emprunteurs, qui sont les principaux intéressés par l’affichage du TEG, ne retireraient guère d’avantages de ce changement de méthode : le montant des intérêts débiteurs à leur charge resterait inchangé mais le mode de calcul serait substantiellement obscurci »[7].

N’entendant pas déférer aux injonctions qui lui avaient été adressées par législateur européen, le gouvernement français a, pour marquer sa position, codifié les dispositions du décret qui avait institué la méthode proportionnelle aux articles R. 313-1 et suivants du Code de la consommation par voie de décret adoptée en date du 27 mars 1997[8].

==>La directive du 16 février 1998: la confirmation de la méthode équivalente

Cette initiative n’a manifestement pas suffi à faire reculer les instances communautaires, lesquelles ont très clairement réaffirmé leur position en adoptant la directive 98/7/CE du 16 février 1998 relative au rapprochement des dispositions législatives, réglementaires et administratives des États membres en matière de crédit à la consommation[9].

Lors de la phase d’élaboration du texte, le Conseil et le Parlement se sont appuyés, en particulier, sur les travaux de scientifiques, lesquels sont arrivés à la conclusion que seule la méthode équivalente permettait d’obtenir un taux effectif conforme à celui effectivement pratiqué[10].

En 1996, la Commission européenne était d’ores et déjà été convaincue par cette analyse. Dans un rapport portant sur l’application de la directive du 22 février 1990, elle n’hésita pas à affirmer que « pour le consommateur, les contrats de crédit à la consommation français apparaissent donc artificiellement plus favorables que dans tous les autres États membres de la Communauté européenne. […] La méthode française s’écarte tellement de la méthode communautaire que les taux d’intérêt français sont trompeurs non seulement pour les consommateurs d’autres pays européens, mais aussi pour les consommateurs français qui ne peuvent obtenir une vision correcte des différences dans les prix du crédit, par exemple entre un crédit remboursé par mensualités et un crédit à remboursements trimestriels »[11].

Le rapport accable un peu plus la méthode française en ajoutant qu’elle « semble se fonder sur le raisonnement selon lequel la fonction du TAEG est d’indiquer la charge pour le consommateur (bien qu’il semble admis que la formule communautaire soit d’usage dans les milieux commerciaux). Ce raisonnement est toutefois erroné et relève d’une mauvaise compréhension de la fonction du TAEG. Le TAEG n’indique pas “la charge pour le consommateur”, les consommateurs ne peuvent évaluer la charge sur leur budget que si elle est exprimée en unités monétaires puisque la totalité de leurs revenus mensuels et de leurs dépenses s’expriment de cette façon. Pour répondre aux interrogations du consommateur sur le choix d’un crédit donné, les obligations prévues dans la directive sur l’indication des versements, du coût total et du montant total de la dette sont essentielles. Seuls les clients commerciaux peuvent utiliser le TAEG comme indicateur de la charge parce qu’ils peuvent le comparer à leur taux de profit ou au taux de l’intérêt que produisent d’autres capitaux.

Deux ans plus tard, la directive du 16 février 1998 est venue consacrer la méthode équivalente qui, dorénavant, s’impose à tous les États membres sans possibilité pour eux de conserver la méthode proportionnelle. Le texte prévoit, en ce sens, à titre liminaire, « qu’il convient afin de promouvoir l’établissement et le fonctionnement du marché intérieur et d’assurer aux consommateurs un haut degré de protection, d’utiliser une seule méthode du calcul du taux annuel effectif global afférent au coût du crédit au consommateur dans l’ensemble de la Communauté européenne ». Il en est déduit, dans le troisième considérant, « qu’il convient, en vue de l’instauration de cette méthode unique, d’élaborer une formule mathématique unique de calcul du taux annuel effectif global et de déterminer les composantes du coût du crédit à retenir dans ce calcul au moyen de l’indication des coûts qui ne doivent pas être pris en compte »

Bien que la méthode équivalente soit présentée par le législateur européen comme « unique », son application demeure néanmoins circonscrite au seul domaine des crédits à la consommation. Pour les autres crédits, les établissements bancaires sont libres de choisir la méthode qui leur sied. Aux termes de l’article 2 de la directive, les États membres disposent d’un délai de deux ans à compter de son entrée en vigueur pour transposer ces nouvelles règles.

==>Le décret du 10 juin 2002: la reconnaissance de la méthode équivalente

Le législateur français s’y conformera en 2002 par l’adoption du décret n°2002-928 du 10 juin 2002. L’application de la méthode équivalente s’impose désormais aux établissements bancaires pour les crédits à la consommation. Les dispositions du décret ainsi adopté sont codifiées aux articles R. 313-1 et suivants du Code de la consommation.

Par suite, dans le droit fil de la réforme initiée par la directive n°90/88/CEE adoptée le 22 février 1990, le législateur européen a poursuivi son œuvre d’encadrement des crédits à la consommation, en envisageant, dans la directive 2008/48/CE du 23 avril 2008, des hypothèses supplémentaires nécessaires au calcul du taux annuel effectif global[12].

Il est par exemple prévu, en annexe I de la directive, que « en cas de facilité de découvert, le montant total du crédit est réputé prélevé en totalité et pour la durée totale du contrat de crédit. Si la durée du contrat de crédit n’est pas connue, on calcule le taux annuel effectif global en partant de l’hypothèse que la durée du crédit est de trois mois ».

Il est encore précisé que « pour les contrats de crédit aux consommateurs pour lesquels un taux débiteur fixe a été convenu dans le cadre de la période initiale, à la fin de laquelle un nouveau taux débiteur est établi et est ensuite périodiquement ajusté en fonction d’un indicateur convenu, le calcul du taux annuel effectif global part de l’hypothèse que, à compter de la fin de la période à taux débiteur fixe, le taux débiteur est le même qu’au moment du calcul du taux annuel effectif global, en fonction de la valeur de l’indicateur convenu à ce moment-là ».

==>La loi Lagarde du 1er juillet 2010

La directive du 23 avril 2008 a été transposée, en droit français, par la loi n° 2010-737 du 1er juillet 2010 portant réforme du crédit à la consommation. À cet égard, le législateur en a profité pour introduire dans le Code de la consommation la distinction entre le Taux Effectif Global (TEG) et le Taux Annuel Effectif Global (TAEG).

La distinction entre ces deux notions tient, pour l’essentiel, à la méthode – équivalente ou proportionnelle – utilisée pour calculer le coût du crédit à communiquer à l’emprunteur. L’autre critère de distinction réside dans l’inclusion des frais d’acte notarié dans le coût total du crédit. Tandis que ces frais doivent être inclus dans l’assiette du TEG, la loi du 23 avril 2008 les a expressément exclus du calcul du TAEG, à tout le moins s’agissant de l’acquisition d’un bien immobilier.

Parachevant la transposition de la directive du 23 avril 2008, le gouvernement a, par suite, adopté le décret n° 2011-136 du 1er février 2011 relatif à l’information précontractuelle et aux conditions contractuelles en matière de crédit à la consommation. Ce texte précise les modalités de calcul du TEG, en complétant l’annexe dont était assorti l’article R. 313-1 du Code de la consommation introduit, initialement, par le décret du 10 juin 2002. Là ne s’est pas arrêtée l’évolution des règles applicables aux crédits consentis à des particuliers.

==>La directive DCI du 4 février 2014

Animés par une volonté de renforcer la protection des emprunteurs, le Parlement et le Conseil ont adopté, le 4 février 2014, la directive 2014/17/UE sur les contrats de crédit aux consommateurs relatifs aux biens immobiliers à usage résidentiel[13]. La genèse de cette directive, dite DCI, procède de la poursuite du même objectif que celui visé par le législateur européen lorsqu’il avait institué la méthode équivalente comme méthode de calcul du coût des crédits à la consommation. Il ressort, en ce sens, du considérant 37 de la directive DCI que les consommateurs doivent « être protégés contre la publicité déloyale ou mensongère et pouvoir comparer les offres. Il est dès lors nécessaire de prévoir des dispositions spécifiques sur la publicité des contrats de crédit ainsi qu’une liste d’éléments à faire figurer dans les annonces publicitaires et les documents à caractère commercial destinés aux consommateurs lorsque ces publicités mentionnent les taux d’intérêt ou des chiffres relatifs au coût du crédit, afin de permettre aux consommateurs de comparer les offres. ».

L’un des apports majeurs de ce texte est qu’il étend aux crédits immobiliers l’application de la méthode équivalente s’agissant du calcul du taux d’intérêt communiqué aux emprunteurs. Désormais, la mention du TAEG est exigée, tant pour les crédits à la consommation, que pour les crédits immobiliers. Quant au TEG, sa communication est circonscrite aux seuls crédits destinés à financer les besoins d’une activité professionnelle ou destinées à des personnes morales de droit public.

==>L’ordonnance du 25 mars 2016: la primauté de la méthode équivalente

La directive DCI du 4 février 2014 a été transposée, en droit français, par l’ordonnance n° 2016-351 du 25 mars 2016 sur les contrats de crédit aux consommateurs relatifs aux biens immobiliers à usage d’habitation. Elle est entrée en vigueur le 1er octobre 2016

À compter de cette date, il convient de distinguer les crédits soumis au Code de la consommation, de ceux régis par le Code monétaire et financier.

Les premiers, que sont les crédits à la consommation et les crédits immobiliers, sont assortis d’un coût qui s’exprime en TAEG calculé selon la méthode équivalente.

Quant aux seconds, qui englobent les crédits consentis aux professionnels et aux personnes morales de droit public, sont assortis d’un coût qui s’exprime en TEG calculé selon la méthode proportionnelle.

Selon que l’on calcule le coût du crédit en TAEG ou en TEG la méthode de calcul n’est pas la même, raison pour laquelle il convient de les envisager séparément.

[1] Ch. Gavalda et J. Stoufflet, Droit bancaire, 9e éd., 2015, Litec, n° 602

[2] Cass. crim., 30 janv. 1975 : Defrénois 1975, p. 696, note Morin.

[3] Cass. crim., 8 juin 1977 : JCP G 1978, II, 188875, note Y. Husset.

[4] Cass. 1ère civ. 9 janv. 1985, JCP G 1986, II, 20532.

[5] Décret n°85-944 du 4 septembre 1985 relatif au calcul du taux effectif global

[6] Directive 90/88/CEE du Conseil du 22 février 1990 modifiant la directive 87/102/CEE relative au rapprochement des dispositions législatives, réglementaires et administratives des États membres en matière de crédit à la consommation

[7] Rép. Min. fin. n°66948 du 8 février 1993, JO du 29 mars 1993, page 1129

[8] Décret n°97-298 du 27 mars 1997 relatif au code de la consommation

[9] Directive 98/7/CE du Parlement européen et du Conseil du 16 février 1998 modifiant la directive 87/102/CEE relative au rapprochement des dispositions législatives, réglementaires et administratives des États membres en matière de crédit à la consommation

[10] V. en ce sens P. Schelmann, Étude relative à la méthode de calcul du TAEG dans les États membres de l’EEE, disponible auprès de la DG XXIV.

[11] Rapport de la Commission européenne sur l’application de la directive n° 90/88/CEE, Document COM (96) 79 final, du 12 avril 1996, page 18, § 77

[12] Directive 2008/48/CE du Parlement européen et du Conseil du 23 avril 2008 concernant les contrats de crédit aux consommateurs et abrogeant la directive 87/102/CEE du Conseil.

[13] Directive 2014/17/UE du 4 février 2014 sur les contrats de crédit aux consommateurs relatifs aux biens immobiliers à usage résidentiel et modifiant les directives 2008/48/CE et 2013/36/UE et le règlement (UE) no 1093/2010

(0)