Un article des Echos “Le Crédit Agricole sommé par un tribunal civil de lever le secret bancaire” (18-19 juin 2010, consultable en ligne -payant-) met en évidence l’incohérence et l’inadaptation de la réglementation sur le secret bancaire. J’avais déjà relevé ce point dans un billet précédent sur le fichier positif de crédit. Les données bancaires échappent aux règles de droits communs de la loi “Informatique et Liberté” et ce de manière tout à fait légale car elles sont couvertes par la loi bancaire. Les règles de celle-ci ont été édictées bien avant que l’ère numérique ne change le paysage en rendant les données pervasives. Fondamentalement, elles ne reposent pas sur la même philosophie de protection de l’utilisateur mais plutôt sur la protection du “silo d’information” et donc de son détenteur qui se voit investi des droits correspondants. Cette situation se retrouve dans les autres “silos d’information’” traditionnels qui préexistaient à l’ère numérique : les données médicales et administratives. Il y est aussi très malaisé d’exercer ses droits car la règlementation n’est pas orientée vers l’utilisateur.
L’absence d’adaptation de cette réglementation sur les données bancaires crée néanmoins des incohérences dont le cas révélé par les Echos est un bon exemple. L’histoire est la suivante : Le croisiériste Renaissance a fait faillite en 2001 alors qu’il avait acheté des paquebots à Alstom et que ce dernier lui avait apporté des garanties sur une partie des prêts nécessaires à ces achats qui avaient été souscrits auprès du Crédit Agricole CIB (dénommé Crédit Agricole Indosuez en 2001 et Calyon entre temps) – Alstom étant aussi un gros client de la même banque. Lors de cette faillite, le titre Alstom a subi une très forte chute en bourse du fait de la révélation de ces garanties et des actionnaires institutionnels américains ont entamé une action en nom collectif contre ce dernier. Dans le cadre de cette action, le tribunal américain a demandé les études de solvabilité et de risques de Renaissance réalisées à l’époque par le Crédit Agricole CIB. Celui-ci a refusé de les fournir en s’abritant derrière le secret bancaire qui stipule (Art. L511-33) “Outre les cas où la loi le prévoit, le secret professionnel ne peut être opposé ni à la Commission bancaire ni à la Banque de France ni à l’autorité judiciaire agissant dans le cadre d’une procédure pénale”. A contrario, une lecture stricte de cette règle interdit donc toute communication de données bancaires lors d’une procédure civile.
L’application stricte de cette règle pose un problème de légalité par rapport aux conventions de contrôle fiscal puisque cela place la France dans l’impossibilité de transmettre des données bancaires (tous les détenteurs de comptes à l’étranger n’étant pas pénalement qualifiables pour autoriser une simple investigation). Et ce n’est pas tout car, comme le fait remarquer l’avocat des parties américaines, “Il est étrange de constater que le secret bancaire en France soit encore mieux protégé qu’en Suisse ou un tribunal civil peut lever le secret bancaire…l’intérêt de faire manifester la vérité dans le cadre d’une enquête n’est pas moins important au civil qu’au pénal”.
L’affaire a été portée devant le tribunal de Nanterre et celui-ci a jugé (25 mai 2010) (par ce que je qualifierais de “tour de passe-passe juridique”) que “le secret bancaire peut être évoqué dans une procédure civile mais sous une condition précise : que le client de la banque ait explicitement demandé à garder le secret professionnel”(cf article cité). Dans le cas présent comme il s’agit d’une société mise en liquidation sans représentant légal, la banque va devoir s’exécuter à l’encontre du secret bancaire.
Les prochains épisodes de cette série judiciaire ne sont pas écrits mais cela pose clairement la question de l’adaptation de la réglementation sur les données bancaires et la modification de la philosophie de celle-ci. Les propriétaires des données bancaires, ceux qui doivent être protégés par la réglementation sont les utilisateurs, ceux à qui se rapportent les données. Ils doivent pouvoir en contrôler l’accès, la mise à disposition et l’usage de manière directe. Ils ne doivent pas être intermédiés et dépossédés de ces droits par les détenteurs des “silos de données” dont les intérêts à l’ère numérique sont en train de s’écarter de ceux de leurs utilisateurs.
Je dirai que le principe de réalité a commencer à être transcrit dans la jurisprudence. Quand sera t-il régularisé dans la loi ?