Protection des données personnelles dans le contentieux d'ordre économique

{"question": {"@xmlns": "http://schemas.assemblee-nationale.fr/referentiel", "@xmlns:xsi": "http://www.w3.org/2001/XMLSchema-instance", "@xsi:type": "QuestionEcrite_Type", "uid": "QANR5L17QE5289", "identifiant": {"numero": "5289", "regime": "5eme Republique", "legislature": "17"}, "type": "QE", "indexationAN": {"rubrique": "droits fondamentaux", "teteAnalyse": null, "analyses": {"analyse": "Protection des données personnelles dans le contentieux d'ordre économique"}}, "auteur": {"identite": {"acteurRef": "PA841853", "mandatRef": "PM843413"}, "groupe": {"organeRef": "PO845419", "abrege": "SOC", "developpe": "Socialistes et apparentés"}}, "minInt": {"organeRef": "PO855075", "abrege": "Justice", "developpe": "Ministère de la justice"}, "minAttribs": {"minAttrib": {"infoJO": {"typeJO": "JO_QUESTION", "dateJO": "2025-03-25", "pageJO": null, "numJO": null, "urlLegifrance": null, "referenceNOR": null}, "denomination": {"organeRef": "PO855075", "abrege": "Justice", "developpe": "Ministère de la justice"}}}, "textesQuestion": {"texteQuestion": {"infoJO": {"typeJO": "JO_QUESTION", "dateJO": "2025-03-25", "pageJO": "1987", "numJO": "20250012", "urlLegifrance": null, "referenceNOR": null}, "texte": "Mme Céline Hervieu appelle l'attention de M. le ministre d'État, garde des sceaux, ministre de la justice, sur l'application du règlement UE 2016/679 du Parlement européen et du Conseil du 27 avril 2016 - communément désigné comme règlement général sur la protection des données (RGPD) - au contentieux d'ordre économique. Entré en vigueur le 25 mai 2018, le RGPD, qui s'inscrit dans la continuité de la loi française « informatique et libertés » de 1978, encadre le traitement des données à caractère personnel de manière uniforme sur tout le territoire de l'Union européenne. Ce règlement impose à toutes les entités privées, publiques et sous-traitantes collectant ou traitant des données de respecter des règles strictes visant à protéger la vie privée des citoyens européens. Toutefois, il est apparu au cours d'instances récentes que le RGPD n'est pas appliqué aux contentieux d'ordre économique. Cette exclusion du champ d'application du règlement serait en contradiction avec les textes européens qui placent la protection des données personnelles comme un droit fondamental applicable à toutes les activités impliquant un traitement de données. Cette situation est d'autant plus préoccupante que les pratiques des sociétés de recouvrement, des établissements bancaires et des sociétés de crédit à la consommation, telles que les appels téléphoniques répétés, la surfacturation de frais de retard ou les saisies disproportionnées sur des faibles revenus, touchent particulièrement les personnes en difficulté financière. Par ailleurs, cette problématique ne se limite pas aux individus, mais affecte également les petites et moyennes entreprises (PME), notamment dans le contexte économique actuel marqué par une hausse significative des faillites d'entreprises. Ces structures, souvent fragiles sur le plan financier, doivent également être protégées face à des pratiques qui peuvent aggraver leur vulnérabilité. Dans ce contexte, elle souhaite l'interroger sur les raisons pour lesquelles le contentieux d'ordre économique pourrait être exclu du champ d'application du RGPD, alors même que les textes européens semblaient inclure ce domaine dans leur périmètre. Elle souhaite également savoir quelles mesures le Gouvernement envisage pour garantir aux personnes en difficulté financière, ainsi qu'aux petites et moyennes entreprises, un droit effectif à la protection de leurs données personnelles face aux pratiques parfois abusives des établissements bancaires."}}, "textesReponse": {"texteReponse": {"infoJO": {"typeJO": "JO_QUESTION", "dateJO": "2025-08-19", "pageJO": "7255", "numJO": "20250033", "urlLegifrance": null, "referenceNOR": null}, "texte": "Le règlement général sur la protection des données (RGPD) s'applique « au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu'au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier ». Les traitements de données des établissements bancaires relèvent donc bien de ce texte. En pratique, la Commission nationale de l'informatique et des libertés (CNIL) a ainsi déjà sanctionné, à plusieurs reprises, des établissements financiers ne respectant pas le RGPD. Le Comité européen de la protection des données (CEPD) a également rappelé, le 27 mai dernier, au sujet des trois propositions de la Commission européenne concernant les services de paiement et l'accès aux données financières que « des garanties […] devraient être incluses dans la législation concernant le partage des données à des fins de fraude afin de garantir le droit fondamental à la protection des données ». Enfin, un règlement sur la résilience opérationnelle numérique du secteur financier (Digital Operational Resilience Act, « DORA »), établissant des règles en matière de cybersécurité et de gestion des risques informatiques pour un grand nombre d'entités financières a récemment été adopté par l'Union européenne. Le champ d'application de ce texte inclut la majorité des institutions financières, telles que les sociétés de gestion de portefeuille, les infrastructures de marché, les entreprises d'investissement, etc. Leurs obligations se trouvent donc renforcées sur le plan de la cybersécurité."}}, "cloture": {"codeCloture": "REP_PUB", "libelleCloture": "Réponse publiée", "dateCloture": "2025-08-19", "infoJO": {"typeJO": "JO_QUESTION", "dateJO": "2025-08-19", "pageJO": "7255", "numJO": "20250033", "urlLegifrance": null, "referenceNOR": null}}, "signalement": null, "renouvellements": null}}