Texte de la question
M. Benoit Potterie attire l'attention de Mme la secrétaire d'État, auprès du ministre de l'Europe et des affaires étrangères, chargée des affaires européennes, sur la différence de réglementation concernant l'enregistrement des informations bancaires par les entreprises au niveau européen. Depuis l'instauration du Règlement général sur la protection des données (RGPD), la collecte de données bancaires est réglementée au niveau européen mais laissée à l'interprétation des différentes commissions nationales de l'informatique et des libertés (CNIL). Ainsi, la CNIL de France impose aux entreprises le consentement « clair et éclairé » des clients, sous forme d'une case à cocher, pour leur permettre d'enregistrer de leurs informations bancaires. Pourtant, les entreprises françaises doivent faire face à une concurrence importante d'entreprises étrangères qui peuvent, même au niveau européen, enregistrer les informations bancaires de leurs clients français de manière beaucoup moins restrictive que pour les entreprises françaises. Par exemple, sur certains sites marchands, la case pour l'enregistrement des données bancaires est pré-cochée pour inciter les clients à sauvegarder leurs données bancaires. De ce fait, les entreprises françaises ont le sentiment d'être lésées face à une concurrence étrangère toujours plus importante. De plus, les sites marchands français ont pu remarquer que leurs clients avec des cartes bancaires déjà enregistrées ont tendance à commander plus facilement. Cette inégalité commerciale face aux concurrents européens risque de s'accentuer avec le développement de l'usage de l'internet mobile, sur lequel la fluidité du parcours client est un critère encore plus déterminant. C'est la raison pour laquelle il souhaite l'interroger sur l'action entreprise par le Gouvernement pour aboutir à une harmonisation de l'application des règles définies par le RGPD.
Texte de la réponse
Le fait de pré-cocher la case de recueil du consentement pour l'enregistrement des données bancaires en ligne est une pratique illégale au regard du règlement 2016/679 dit règlement général sur la protection des données à caractère personnel (RGPD). Cette interdiction de pré-cocher les cases du consentement s'applique aussi aux entreprises étrangères dès lors qu'elles ciblent des personnes résidant sur le territoire de l'Union européenne. Cette interdiction est précisée dans les lignes directrices relatives à l'interprétation et l'application du RGPD du Comité européen de la protection des données (CEPD) sur le consentement au sens du RGPD, qui ont été adoptées le 28 novembre 2017 puis révisées le 10 avril 2018. Elles prévoient que « le consentement nécessite une déclaration de la part de la personne concernée ou un acte positif clair, ce qui signifie qu'il doit toujours être donné par une déclaration ou un geste actif. » Il y est ainsi rappelé que le recours à des cases cochées par défaut n'est pas valable en vertu du RGPD. La Cour de justice de l'Union européenne a confirmé cette interdiction à l'occasion d'un arrêt rendu le 1er octobre 2019, dans l'affaire Plane49, C-637/17. Au total, plus d'une dizaine de lignes directrices relatives à l'interprétation et l'application du RGPD ont été publiées afin d'éviter une application hétérogène du règlement sur le territoire de l'Union. Celles-ci fournissent des orientations détaillées sur la façon d'appliquer le RGPD et sont accompagnées d'exemples concrets qui visent à harmoniser l'interprétation et l'application des règles définies par le règlement au niveau européen. La France est représentée au niveau européen par la Commission nationale de l'informatique et des libertés (CNIL), qui joue un rôle décisif dans le cadre des actions menées par le CEPD, notamment dans la définition du contenu de ces lignes directrices. Par son indépendance et son expérience en matière de protection des données personnelles, la CNIL s'inscrit ainsi dans l'objectif de la France de garantir l'harmonisation de l'application des règles définies par le RGPD sur l'ensemble du territoire de l'Union européenne.