Le spectre du terrorisme et de la cyber-criminalité. L’internationalisation
des échanges et des fraudes « dures » comme le blanchiment d’argent.
La généralisation, dans le domaine « b to c », des e-contrats
d’adhésion permettant de souscrire toujours plus vite.
Autant de phénomènes constatés et autant d’arguments avancés
par les gouvernements successifs pour renforcer, couche par couche, les
obligations des professionnels. Obligation d’identifier son co-contractant,
d’enregistrer ses « traces », de fournir ses informations aux
autorités. Dans cette démarche légale visant à recréer, de façon artificielle
et textuelle, un intuitu personae perdu, certains acteurs jouent un rôle
particulier.
C’est ainsi que les établissements de crédit et
établissements financiers, entre auxtres acteurs « sensibles » (A),
mais aussi les opérateurs de télécommunication électronique et les prestataires
techniques (B) se voient appliquer des
législations spécifiques.
Mais jusqu’où un professionnel doit il « fliquer »
son client ?
A - Secteur
bancaire et financier et acteurs « sensibles » : « dis moi
qui tu es je te dirai si je te vends ».
Ciblage, commercialisation de fichiers, lutte contre les
impayés. Nombreux sont les professionnels, de tous secteurs, qui aimeraient
emmagasiner le maximum d’informations « qualifiantes » relatives à
leurs clients.
Dans ce domaine, les « établissements du secteur
bancaire » (que l’on appellera ici « banquiers » par souci de
simplicité) disposent, de par la loi, d’un traitement de faveur : celui de
devoir accéder et enregistrer un
certain nombre de données, en particulier dans la phase précontractuelle mais
aussi, parfois, lors de certaines opérations « sensibles ».
Un traitement de faveur d’ailleurs partagé, notamment grâce
à l’ordonnance du 30 janvier 2009 venue transposer la directive 2005/60/CE
« lutte contre le blanchiment » et
attribuant à certains acteurs dits « sensibles »
(listés à l’article L 561-2 du Code
monétaire et financier), un certain nombre d’obligations
en matière, justement, de lutte contre le blanchiment et le
terrorisme. On retrouvera ainsi
à appliquer les règles concernant la lutte contre le
blanchiment et le
terrorisme décrites ci-après à des acteurs
variés tels que les avocats, les mutuelles, certains
assureurs, les casinos, les commerçants dans le domaine des
métaux précieux ou
d’œuvres ou encore les experts comptables. A beaucoup de
monde, en somme, me^me si les textes font ici et là quelques
distinctions dans lesquelles nous ne rentrerons pas.
C’est ainsi que le Code monétaire et financier
dispose :
- Dans son article L561-5 (en matière d’entrée en relation et
de réalisation de transaction dans le cadre de la lutte contre le terrorisme et
le blanchiment) :
I. Avant d'entrer en relation d'affaires avec leur client ou de l'assister dans la préparation ou la réalisation d'une transaction, les personnes mentionnées à
l'article L. 561-2 identifient leur
client et, le cas échéant, le bénéficiaire effectif de la relation
d'affaires par des moyens adaptés et
vérifient ces éléments d'identification sur présentation de tout document écrit
probant.
Elles identifient dans les mêmes
conditions leurs clients
occasionnels et, le cas échéant, le bénéficiaire effectif de la relation
d'affaires, lorsqu'elles soupçonnent
que l'opération pourrait participer au blanchiment des capitaux ou au
financement du terrorisme ou, dans
des conditions fixées par décret en Conseil d'Etat, lorsque les opérations sont d'une certaine nature ou dépassent un
certain montant.
II.Par dérogation au I, lorsque le risque de blanchiment des
capitaux ou de financement du terrorisme paraît faible et dans des
conditions fixées par décret en Conseil d'Etat, il peut être procédé uniquement pendant l'établissement de la
relation d'affaires à la vérification de l'identité du client
et, le cas échéant, du bénéficiaire effectif.
- Dans son article L561-6 : (en matière d’entrée en relation
d’affaires dans le cadre de la lutte contre le terrorisme et le blanchiment)
« Avant d'entrer en relation
d'affaires avec un client, les personnes mentionnées à l'article L. 561-2 recueillent les informations
relatives à l'objet et à la nature de cette relation et tout autre élément
d'information pertinent sur ce client.
Pendant toute sa durée
et dans les conditions fixées par décret en Conseil d'Etat, ces personnes
exercent sur la relation d'affaires, dans la limite de leurs droits et
obligations, une vigilance constante et pratiquent un examen attentif des
opérations effectuées en veillant à
ce qu'elles soient cohérentes avec la connaissance actualisée qu'elles ont de leur client. »
- Dans son article R312-2 (lors de l’ouverture d’un
compte) :
Le banquier doit, préalablement à l'ouverture d'un compte,
vérifier le domicile et l'identité
du postulant, qui est tenu de présenter un document
officiel portant sa photographie. Les caractéristiques et les références de ce document sont enregistrées par le banquier.
- Dans ses articles L563-1
et R563-1 (en matière de réception de fonds et dans le cadre de la lutte contre
les loteries, jeux et paris prohibés) :
Les organismes, institutions et
services régis par le titre Ier du présent livre qui détiennent ou reçoivent
des fonds du public sont tenus d'appliquer les mesures d'interdiction prises en
vertu du présent chapitre.
Pour l'application de l'article L.
563-1, les organismes financiers et les
personnes mentionnés à l'article L. 562-1 vérifient l'identité d'une
personne physique par la présentation d'un
document officiel en cours de validité portant sa photographie. Ils conservent la copie de ce
document ou ses références.
Les mentions relatives à l'identité à vérifier
comprennent les nom, prénoms
ainsi que les date et lieu de naissance. Outre ces mentions, les références
à conserver incluent la nature, le numéro, les date et lieu de
délivrance du document ainsi que le nom de l'autorité ou personne qui l'a
délivré ou authentifié.
Ainsi, à l’heure où le « droit au compte » est
consacré par les textes comme un principe fondamental du droit bancaire (L312-1
du Code monétaire et financier), à l’heure où
1- Via
une obligation « d’identification »
2- Via
une obligation de « vérification » de cette identification
3- et,
parfois, via une obligation d’enregistrement de certaines données.
De quoi se sentir l’âme d’un officier de police judiciaire,
seul habilité, par nature, à opérer des contrôles d’identité (articles 78-1 à
78-6 du Code de procédure pénale).
Mais qu’impliquent concrètement ces notions vagues
d’identification, de conservation et surtout, de vérification ? (i)
clairement, jusqu’où peut/doit aller le banquier ? (ii)
I La nécessaire qualification du client
Une relecture attentive de la loi permet de définir, pour
chacune des trois obligations précitées, un comportement à adopter :
1- en matière d’identification tout d’abord. Dans ce cadre,
en l’absence de termes plus précis que « par des moyens adaptés » et
la présence de l’obligation de vérification qui suit, on pourra se contenter de
dire que l’obligation d’identification consiste à demander clairement au client
de fournir des éléments d’identification, à l’oral ou via un formulaire.
On
remarquera toutefois la présence, dans l’article L561-5
précité, d’une dimension
« liberté d’appréciation du
risque »,
cette liberté pouvant permettre au professionnel de choisir de
ne pas contrôler
les clients occasionnels ou de ne demander au client de justifier de
son
identité qu’une fois le contrat signé.
Une liberté majeure donc, que le juriste, conscient des
conséquences en matière de preuves et justificatifs, se gardera bien d’agiter.
L’on notera aussi à ce stade les dispositions de l’article
L561-7 du Code monétaire et financier qui prévoit l’impossibilité de
sous-traiter les opérations de collecte d’identité imposées par la législation
de lutte contre le terrorisme et le blanchiment à d’autres personnes que celles
listées par la loi. Une interdiction de sous-traitance qui s’applique
d’ailleurs à l’opération de vérification d’identité, qui est sa suite logique.
2 - en matière de vérification donc. Ici, l’on notera que
l’obligation sera vraisemblablement satisfaite par la demande de présentation
d’un document. Seul problème, les différences « terminologiques »
notables des différents articles de loi en cause. C’est ainsi que le chargé de
clientèle zélé devra demander à son client, en vue de satisfaire à son
obligation de vérification :
- Lors
de l’entrée en relation et à l’occasion de chaque transaction : un
« document écrit probant ».
- Lors
de l’ouverture de compte : un « document officiel portant sa
photographie » et comportant l’identité et l’adresse dudit client.
- Lors
de la réception de fonds : un « document officiel en cours de
validité » comportant les nom, prénoms du client, ses date et lieu de
naissance, un numéro de document, une
date et lieu de délivrance du document ainsi que le nom d’une l’autorité ou
personne l’ayant délivré ou authentifié.
Bref, autant dire que la fouille au corps et la présentation
obligatoire du livret de famille et de l’arbre généalogique ne sont pas voués à
être mis en place prochainement. Reste à savoir comment le guichetier zélé
susvisé, qui effectue à la fois des ouvertures de compte, des réceptions de
fonds et des transactions diverses derrière son guichet, pourra procéder à une
vérification suffisante….et présenter de façon claire à un client irritable
pourquoi tel document est recevable et pas tel autre.
Dans le domaine de l’éligibilité des documents, on
remarquera tout d’abord que la notion de « document officiel » est à
la patinoire juridique ce que la possibilité de définition de « document
d’identité » est à la création doctrinale du fond du jardin. L’on notera aussi
à ce stade que rien dans les textes précités ne permettrait d’opérer une
distinction entre « documents d’identité » et « documents de
voyage », distinction qui aurait pu permettre d’exclure des documents éligibles
le passeport et surtout ce permis de conduire et sa mauvaise presse en matière
de sécurisation.
A y regarder de plus près, les notions de « document
officiel » et de « document
écrit probant » pourraient être assimilables, bien que rien n’empêche de
voir dans l’écrit probant un spectre plus large. Le document éligible serait
donc un document « officiel », c'est-à-dire, vulgairement, normalisé.
Ce
document pourrait être délivré par une
autorité, mais pas
seulement, l’article précité R563-1
précité parlant
d’ « autorité ou
de personne l’ayant délivré ou
authentifié » et l’article 8 1) de la
directive 2005/60/CE du 26 octobre 2005 évoquant lui-même, sur le sujet des
documents acceptables dans le cadre « d’opérations d’établissement de
crédit ou d’établissement financiers », des documents « de source fiable et indépendante ».
On serait d’ailleurs bien mal tenté de donner plus
facilement un caractère « officiel » à un document émanant de l’Etat
français (pour des raisons évidentes de connaissance dudit document). Ce choix
aurait en effet de très fortes chances d’émoustiller les autorités de Bruxelles
qui, fortes du principe de libre circulation des personnes, de l’abolissement
des frontières intérieures voire des articles L121-1 et suivants du Code de
l’entrée et du séjour des étrangers », ne comprendraient pas que l’on
refuse un « document officiel » d’un des pays de l’Union, privant
ainsi injustement un ressortissant d’un autre Etat membre de prestations
« françaises », aussi fondamentales.
Les notions d’« officiel » ou de
« probant » dégrossies, l’on pourrait encore chercher dans la
législation quelques exemples permettant de dresser des listes de documents.
Une inspiration pourrait venir de l’arrêté du 19 décembre 2007, pris en
application de l’article R60 Code électoral, et qui dispose que les « titres permettant de justifier de son
identité » dans le cadre d’une procédure électorale sont :
« 1° Carte nationale d'identité ;
2° Passeport ;
3° Carte d'identité de parlementaire avec photographie, délivrée par le
président d'une assemblée parlementaire ;
4° Carte d'identité d'élu local avec photographie, délivrée par le représentant
de l'Etat ;
5° Carte du combattant de couleur chamois ou tricolore ;
6° Carte d'invalidité civile ou militaire avec photographie ;
7° Carte d'identité de fonctionnaire de l'Etat avec photographie ;
8° Carte d'identité ou carte de circulation avec photographie, délivrée par les
autorités militaires ;
9° Permis de conduire ;
10° Permis de chasser avec photographie, délivré par le représentant de l'Etat
;
11° Livret ou carnet de circulation, délivré par le préfet en application de la
loi n° 69-3 du 3 janvier 1969 ;
12° Récépissé valant justification de
l'identité, délivré en échange des
pièces
d'identité en cas de contrôle judiciaire, en application
du neuvième alinéa
(7°) de l'article 138 du code de procédure pénale
13° Attestation de dépôt d'une demande de carte nationale d'identité ou de
passeport, délivrée depuis moins de trois mois par une commune et comportant
une photographie d'identité du demandeur authentifiée par un cachet de la
commune.
Ces titres doivent être en cours de validité, à l'exception de la carte
nationale d'identité et du passeport, qui peuvent être présentés en cours de
validité ou périmés. »
Une liste de documents à mettre en balance avec les critères
exigés par la loi, tels que précédemment analysés pour arriver à dresser une
liste « justifiable » de documents éligibles, de préférence unique
pour simplifier les processus internes….à charge pour le guichetier de composer
avec le client avocat qui lui expliquera que, venant ouvrir un compte, la
présentation de son permis de conduite périmé remplit tout à fait les critères
légaux (mais les clients avocats sont minoritaires, ouf !).
3- en matière de conservation enfin. Dans ce cadre, on se
contentera de noter que la loi, lorsqu’elle prévoit une obligation de
conservation, parle de conservation de mentions, conservation de
« caractéristiques d’un document » ou plus simplement de conservation
de copie de document. De quoi légitimer aux yeux de
L’on notera par contre dans ce domaine, plus alarmant, une
bien curieuse rédaction de l’article L561-6, relative à la possession de
données « actualisées » sur les clients, et lourde de conséquence
tant elle semble mettre à la charge des acteurs concernés, en filigrane, une
obligation de mise à jour régulière et active des informations clients.
Une disposition qui pourrait donc être interprétée comme
allant au-delà de l’obligation « passive » d’enregistrement des
modifications fournies par les clients sur la base de leur « droit de
rectification » issu de l’article 40 de la loi informatique et libertés.
Jusqu’à imposer une démarche de mise à jour proactive de ces informations
clients de la part du professionnel, de manière à lui permettre de détecter
plus facilement les fraudes au regard du contexte (et d’être sanctionné à
défaut de mise à jour ?).
Restera enfin à déterminer la durée et les modalités d’utilisation des données conservées. En l’absence de règles générales, on se félicitera
- de la précision de l’article L561-12 du Code monétaire et financier qui précise que les données collectées dans le cadre de la législation de lutte contre le terrorisme et le blanchiment sont conservées 5 ans à compter de la cessation de la relation.
- des possibilités de l’article
L561-7 II du Code monétaire et financier, qui dispose que, dans le cadre de l’application
de la législation de lutte contre le terrorisme et le blanchiment (uniquement),
des possibilités de « croisement de données sont possibles. Notamment :
Voilà qui a le mérite de clarifier un peu les choses.
II Les autres opérations nécessaires ?
Le périmètre d’action défini par la loi étant éclairci,
reste à savoir si l’obligation du « banquier » s’arrête à ça :
la collecte d’éléments d’identification, leur vérification par recueil d’un
document correspondant à des critères, et, pour preuve de « due
diligence » ou par obligation légale, l’enregistrement de ce document
et/ou de ses informations.
Clairement, le banquier serait il astreint à une obligation
de vérification de la véracité/authenticité du document, ou son obligation
s’arrêterait t-elle à une obligation de collecte et de (re)copiage sage?
Cette question mérite certainement une solution sous forme
de réponse à un triple questionnement :
1- ayant
mis à la charge des banques, littéralement, une obligation de vérification, le
législateur n’attend il pas de l’organisme bancaire mette en œuvre « tous
les moyens dont il dispose » pour assurer l’exécution de cette obligation,
de la même manière que si cet article était inséré dans le cadre d’un
contrat ?
2- de
même, le législateur n’attend il pas que les banques exécutent cette obligation
de bonne foi, comme cela serait encore imposé pour le cas où les articles
précités seraient de nature contractuelle ?
3- les
banques n’auraient elle pas intérêt à profiter de cette obligation pour
« pousser le contrôle » et se prémunir contre des préjudices ?
Aux deux premières questions, il s’agira de répondre,
logiquement, que la loi n’est pas un contrat.
De plus, et pour le cas où ces textes seraient utilisés pour
mettre en jeu une responsabilité pénale (avec une sanction à identifier….), les
textes précités devraient, selon les principes généraux de droit pénal (et
l’article 111-4 du Code pénal), s’interpréter de façon stricte. Aussi, tout ce
qui n’est pas clairement marqué ne saurait être pénalement reproché au banquier
et la responsabilité du banquier ne pourrait, en tout état de cause, être
recherchée au-delà de l’acceptation du justificatif d’identité manifestement
« non officiel » ou « non probant ».
Reste la dimension de risque de responsabilité civile, pour laquelle l’on notera qu’il se constitue
majoritairement par les plaintes d’éventuels clients victimes d’une usurpation.
En
réponse à ce risque, ou même sur le plan de
l’image de
marque, le banquier se demandera donc s’il n’a pas
intérêt à profiter de la
législation et de ses termes ambigus qui lui imposent de
demander un document
répondant à des critères pour « pousser
le contrôle », et ce afin de
s’assurer de la conformité/cohérence du document
(ex : présence de
sécurités, respect de la présentation
« officielle »), sans toutefois
procéder à un véritable contrôle
d’identité (une vérification de
conformité/cohérence
n’étant pas qualifiable, en soi, de contrôle
d’identité, distinction logique
appelant à distinguer la vérification des qualités
d’une personne -ex :
appel à la banque de France- et la vérification
« d’authenticité »
d’un document -ex : régularité de forme,
vérification d’absence de signalement
de vol de ce document-).
La réponse semble assez « facile », et l’on voit
mal un guichetier dit « zélé », voyant devant lui un document
manifestement fantaisiste ou falsifié mais comportant toutes les informations
requises par la loi, ne pas refuser ce document …. et ce sans qu’il soit
nécessaire de poser de sanction pénale à la clé.
Reste au banquier à garder en tête que cette vérification,
potentiellement salutaire, peut aussi s’avérer source potentielle de
contentieux, en cas de décision un peu trop zélée, mal justifiée ou due à une
mauvaise connaissance du document en cause. A ce sujet, et outre les
conséquences relatives d’une « action en droit au compte »
devant
Pour éviter ces écueils, le recours à une solution spécialisée,
et surtout extérieure, peut constituer un précieux atout, propice pour prouver
sa « neutralité de jugement ».
B Opérateurs de
télécommunication électronique et intermédiaires techniques : « dis
moi ce que tu fais et je (ne) te dirai (pas) à qui je le signale »
Contrairement
à se qui existe pour les acteurs précités, il
ne semble pas exister d’obligation formelle pour
l’opérateur ou l’intermédiaire
d’identifier ses clients ni de conserver de quelconque document
justificatifs
d’identité. En pratique, les opérateurs de
télécommunication et les
« intermédiaires
techniques » étant responsables de la collecte et de
la conservation de
certaines données (i), une collecte diligente
d’informations peut être
justifiée (ii).
I La nécessaire
collecte des traces de l’abonné
Sans rentrer dans le détail des décrets d’application de la
loi, qui mentionnent précisément la teneur des informations à conserver par
chaque acteur, il reste important de rappeler que :
- Les opérateurs de télécommunication et les fournisseurs
d’accès (dont les cyber-cafés), sont soumis à l’article L34-1 du Code des
postes et télécommunication qui dispose (de façon claire et concise) :
« Les opérateurs de communications électroniques, et notamment
les personnes dont l'activité est d'offrir un accès à des services de
communication au public en ligne, effacent ou rendent anonyme toute donnée
relative au trafic, sous réserve des dispositions des II, III, IV et V.
Les personnes qui, au titre d'une
activité professionnelle principale ou accessoire, offrent au public une
connexion permettant une communication en ligne par l'intermédiaire d'un accès
au réseau, y compris à titre gratuit, sont soumises au respect des dispositions
applicables aux opérateurs de communications électroniques en vertu du présent
article.
II. - Pour les besoins de la recherche, de la constatation et de la poursuite
des infractions pénales, et dans le seul
but de permettre, en tant que de besoin, la mise à disposition de l'autorité judiciaire d'informations, il peut
être différé pour une durée maximale d'un an aux opérations tendant à effacer
ou à rendre anonymes certaines catégories de données techniques. Un décret en Conseil d'Etat, pris après avis
de
III. - Pour les besoins de la facturation et du paiement des prestations de
communications électroniques, les opérateurs peuvent, jusqu'à la fin de la période au cours de laquelle la facture peut être
légalement contestée ou des poursuites engagées pour en obtenir le
paiement, utiliser, conserver et, le
cas échéant, transmettre à des tiers concernés directement par la facturation
ou le recouvrement les catégories de
données techniques qui sont déterminées, dans les limites fixées par le V,
selon l'activité des opérateurs et la nature de la communication, par décret en Conseil d'Etat pris après
avis de
- Les fournisseurs d’accès (encore eux !) et les
hébergeurs sont soumis à l’article 6.1 de la loi pour la confiance en
l’économie numérique qui dispose, de façon claire et concise :
« II. - Les personnes mentionnées aux 1 et 2 du I détiennent et
conservent les données de nature à permettre l'identification de quiconque a
contribué à la création du contenu ou de l'un des contenus des services dont elles sont prestataires.
Elles fournissent aux personnes qui éditent un service de communication au
public en ligne des moyens techniques permettant à celles-ci de satisfaire aux
conditions d'identification prévues au III.
L'autorité judiciaire peut requérir
communication auprès des prestataires mentionnés aux 1 et 2 du I des données
mentionnées au premier alinéa. »
A la lecture de ces textes, l’on comprend aisément l’ampleur
particulière de la tâche, d’autant que les autorités judiciaires ou fiscales,
friandes de réquisitions judiciaires, supportent de plus en plus mal les
réponses dans l’« à peu près », en particulier en ce qui concerne les
prestataires qui facturent les clients, et disposent logiquement d’informations
plus fiables que de simples hébergeurs gratuits dont le seul mail est souvent
probant.
Toutefois, sur un plan purement textuel, et selon le même
principe que celui vu pour les banques, une interprétation stricte de la loi
pénale est de rigueur. Ainsi, l’agacement des autorités suite à réception de
données « fantasques » ne saurait se transformer en sanction pénale,
au contraire de l’absence de réponse.
II Une collecte de
données justifiable légalement
Malgré l’absence de texte, et pratiquement, l’on imagine
difficilement ouvrir une ligne téléphonique, un accès Internet ou un compte chez
son hébergeur sans se voir demander son identité. La pratique n’est d’ailleurs
pas rare de voir son opérateur demander, à l’ouverture de compte, un document justificatif
d’identité (et d’adresse) et à en opérer une copie.
Bien que non légitimée par la loi, cette pratique, usitée
chez les cyber-commerçants, parait acceptable. Acceptable car :
- reposant sur un intérêt légitime de protection du
prestataire ou tout au moins sur une nécessité suite à une demande de
contractualisation d’un client. De quoi arguer de la conformité à l’article 7
de la loi informatique et libertés, qui liste les cas dans lesquels un
traitement de données personnelles peut être opéré « sans
consentement » de la personne.
- se constituant, même si cela est plus discutable selon de
quel acteur on parle, comme le préalable indispensable à la bonne exécution des
obligations de conservation de données issues des textes précités.
Là encore, l’appréhension de la complexité de la tâche (multiplicité des documents et des sécurités, méconnaissance de certains documents qui ne peuvent pourtant être valablement refusés) et des enjeux juridiques lourds (risque civil voire pénal en cas de refus de vente mal justifié) appellera à une prise de précaution particulière.