Pétition en ligne et interdiction de collecter des données bancaires : cadre juridique et enjeux pratiques

août 21, 2025 John Sulivan Juridique Commentaires fermés sur Pétition en ligne et interdiction de collecter des données bancaires : cadre juridique et enjeux pratiques

La collecte de données bancaires dans le cadre de pétitions en ligne soulève des questions juridiques fondamentales à l’intersection du droit numérique, de la protection des données personnelles et du droit financier. En France, cette pratique fait l’objet d’un encadrement strict qui vise à protéger les citoyens contre les risques de fraude et d’utilisation abusive de leurs informations financières. Face à la multiplication des plateformes de mobilisation citoyenne et l’augmentation des transactions en ligne, le législateur a mis en place un arsenal juridique spécifique qui interdit, sauf exceptions très encadrées, la collecte de données bancaires lors de la signature de pétitions numériques.

Cadre juridique de la collecte de données dans les pétitions en ligne

Le droit français établit une distinction nette entre la collecte de données ordinaires et celle de données sensibles, parmi lesquelles figurent les informations bancaires. Les pétitions en ligne sont soumises au Règlement Général sur la Protection des Données (RGPD) ainsi qu’à la Loi Informatique et Libertés du 6 janvier 1978 modifiée. Ces textes fondamentaux posent les principes de licéité, de minimisation et de finalité des données.

Selon l’article 4 du RGPD, les données bancaires sont considérées comme des données à caractère personnel dont le traitement requiert une vigilance particulière. La Commission Nationale de l’Informatique et des Libertés (CNIL) précise que la collecte de ces informations doit être justifiée par une finalité légitime, explicite et déterminée.

Pour les pétitions en ligne, l’interdiction de collecter des données bancaires découle de plusieurs fondements juridiques :

  • L’article 226-18 du Code pénal qui sanctionne la collecte frauduleuse de données
  • L’article L.521-3-1 du Code monétaire et financier qui encadre les services de paiement
  • La Directive européenne sur les services de paiement (DSP2) qui impose des normes strictes en matière de sécurisation des transactions

Le Conseil d’État, dans sa décision n°429154 du 3 décembre 2020, a confirmé la nécessité d’une séparation claire entre l’acte de signer une pétition et celui d’effectuer une transaction financière. Cette jurisprudence a renforcé l’interdiction de conditionner la signature d’une pétition à la fourniture de données bancaires.

En pratique, les organisateurs de pétitions doivent distinguer clairement deux démarches distinctes : d’une part, la collecte de signatures pour la pétition, et d’autre part, la collecte éventuelle de dons, qui doit faire l’objet d’une démarche séparée et facultative. Cette distinction est fondamentale pour assurer la conformité avec le cadre légal.

Exceptions légales et conditions d’autorisation de collecte

Malgré l’interdiction générale, certaines exceptions permettent, sous conditions strictes, la collecte de données bancaires en lien avec des pétitions. Ces dérogations s’inscrivent dans un cadre juridique précis qui vise à maintenir l’équilibre entre facilitation de l’engagement citoyen et protection des données personnelles.

La principale exception concerne les plateformes qui combinent pétition et appel aux dons. Dans ce cas, la jurisprudence et les recommandations de la CNIL imposent une séparation nette entre les deux processus. L’arrêt de la Cour de cassation (Civ. 1ère, 17 octobre 2019, n°18-21.869) a établi que la collecte de données bancaires ne peut intervenir qu’après la finalisation du processus de signature, et uniquement si le signataire manifeste expressément sa volonté de contribuer financièrement.

Les conditions cumulatives pour autoriser cette collecte sont :

  • Un consentement explicite et spécifique du signataire
  • Une information claire sur la finalité de la collecte des données bancaires
  • Une séparation visuelle et fonctionnelle entre la pétition et le formulaire de don
  • L’impossibilité de conditionner la validité de la signature à un don

Les organisations à but non lucratif bénéficient d’un régime particulier défini par l’article 9 du RGPD et précisé par les lignes directrices du Comité Européen de la Protection des Données. Ce régime leur permet de collecter des données bancaires pour des dons, à condition que cette collecte soit strictement distincte de la démarche pétitionnaire.

La décision de la CNIL du 8 janvier 2021 (délibération n°2021-004) a précisé les modalités techniques de cette séparation. Elle impose notamment l’utilisation de pages distinctes, avec un parcours utilisateur qui ne laisse aucune ambiguïté sur la nature facultative de la contribution financière.

Les partis politiques, lors de campagnes combinant pétition et collecte de fonds, sont soumis aux dispositions spécifiques de la loi du 11 mars 1988 relative à la transparence financière de la vie politique, tout en devant respecter les principes généraux du RGPD concernant la séparation des processus.

Risques juridiques et sanctions applicables aux infractions

Les organisateurs de pétitions qui contreviendraient à l’interdiction de collecter des données bancaires s’exposent à un éventail de sanctions administratives et pénales. Ces mesures répressives visent à dissuader les pratiques illicites et à protéger les droits des signataires.

Sur le plan administratif, la CNIL dispose d’un pouvoir de sanction gradué. Elle peut prononcer des amendes administratives pouvant atteindre :

  • 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial pour les violations les plus graves
  • 10 millions d’euros ou 2% du chiffre d’affaires pour les manquements de moindre gravité

La décision SAN-2019-005 du 21 janvier 2019 illustre la sévérité de la CNIL envers les organismes qui collectent indûment des données sensibles. Dans cette affaire, une association avait été sanctionnée pour avoir collecté des données bancaires sans base légale appropriée.

Au niveau pénal, l’article 226-18 du Code pénal punit de cinq ans d’emprisonnement et de 300 000 euros d’amende le fait de collecter des données à caractère personnel par un moyen frauduleux, déloyal ou illicite. L’arrêt de la Chambre criminelle de la Cour de cassation du 14 mars 2017 (n°16-82.649) a confirmé que la collecte de données bancaires sans consentement éclairé constitue une infraction pénale caractérisée.

Les juridictions civiles reconnaissent également aux victimes le droit à réparation du préjudice subi. La responsabilité civile du collecteur de données peut être engagée sur le fondement de l’article 1240 du Code civil, comme l’a rappelé la Cour d’appel de Paris dans son arrêt du 7 février 2020 (n°19/00659).

En cas de fuite de données bancaires, les organisateurs peuvent être tenus responsables au titre de l’article 34 de la Loi Informatique et Libertés qui impose une obligation de sécurité des données. Cette responsabilité a été confirmée par le Conseil d’État dans sa décision du 19 juillet 2019 (n°424216).

Les plateformes d’hébergement de pétitions peuvent également voir leur responsabilité engagée en tant que sous-traitants au sens du RGPD, si elles facilitent une collecte illicite de données bancaires, comme l’a précisé la jurisprudence européenne (CJUE, 5 juin 2018, C-210/16).

Solutions techniques et bonnes pratiques pour les organisateurs

Face aux contraintes juridiques, les organisateurs de pétitions en ligne peuvent adopter diverses solutions techniques pour respecter la législation tout en optimisant leur démarche de mobilisation et de financement.

La mise en place d’une architecture technique conforme constitue la première étape. Cette architecture doit garantir :

  • Une séparation claire des flux de données entre la pétition et les éventuelles sollicitations financières
  • Des formulaires distincts avec des finalités explicites
  • Un parcours utilisateur transparent qui n’induit pas en erreur le signataire

Les plateformes spécialisées comme Change.org, Avaaz ou MesOpinions ont développé des interfaces conformes qui séparent distinctement la signature de pétition et le don facultatif. Ces modèles techniques peuvent servir de référence pour les organisations souhaitant développer leur propre solution.

L’utilisation de prestataires de paiement certifiés (PSP – Payment Service Provider) constitue une bonne pratique reconnue. Ces intermédiaires, agréés par l’Autorité de Contrôle Prudentiel et de Résolution (ACPR), prennent en charge la collecte sécurisée des données bancaires, évitant ainsi à l’organisateur de la pétition de traiter directement ces informations sensibles.

La mise en place d’une politique de confidentialité détaillée est indispensable. Elle doit préciser :

  • Les finalités distinctes de collecte des données (signature de pétition d’une part, don éventuel d’autre part)
  • Les bases légales spécifiques pour chaque traitement
  • Les droits des personnes concernées
  • Les mesures de sécurité mises en œuvre

L’Analyse d’Impact relative à la Protection des Données (AIPD) peut s’avérer nécessaire pour les traitements à grande échelle. La CNIL recommande cette démarche préventive qui permet d’identifier et minimiser les risques liés au traitement des données.

La formation des équipes impliquées dans la gestion des pétitions constitue un facteur clé de conformité. Le Délégué à la Protection des Données (DPO), lorsqu’il est désigné, joue un rôle central dans cette sensibilisation et dans la vérification de la conformité des dispositifs mis en place.

Perspectives d’évolution du cadre juridique face aux innovations technologiques

Le cadre juridique encadrant les pétitions en ligne et la collecte de données bancaires connaît des mutations rapides, influencées par les avancées technologiques et l’évolution des pratiques citoyennes numériques.

L’émergence des cryptomonnaies et des moyens de paiement alternatifs pose de nouveaux défis réglementaires. La question se pose de savoir si les adresses de portefeuilles de cryptomonnaies doivent être considérées comme des données bancaires traditionnelles. Le règlement MiCA (Markets in Crypto-Assets) adopté par l’Union européenne en 2023 apporte des premiers éléments de réponse en assimilant certaines informations liées aux cryptoactifs à des données financières protégées.

La tokenisation des actions militantes, qui permet de transformer un soutien en jeton numérique (token), brouille les frontières entre signature de pétition et contribution financière. Cette innovation fait l’objet de discussions au niveau européen, notamment dans le cadre des travaux préparatoires du Digital Services Act (DSA) qui vise à réguler les plateformes numériques.

Le développement de l’identité numérique souveraine, promue par le projet européen eIDAS 2.0, pourrait faciliter la vérification de l’identité des signataires sans nécessiter de données bancaires comme élément d’authentification. Cette évolution pourrait simplifier la distinction entre les processus d’identification et de paiement.

Les systèmes de micro-paiement et les nouvelles formes de financement participatif remettent en question les frontières traditionnelles entre don et pétition. La Banque de France a publié en 2022 un rapport sur ces nouveaux moyens de paiement qui recommande une adaptation du cadre réglementaire pour mieux encadrer ces pratiques hybrides.

La montée en puissance des initiatives citoyennes européennes (ICE), encadrées par le règlement (UE) 2019/788, pourrait conduire à une harmonisation plus poussée des règles relatives aux pétitions en ligne à l’échelle de l’Union. Ce cadre juridique spécifique pourrait servir de modèle pour une réforme nationale.

Face à ces évolutions, plusieurs tendances réglementaires se dessinent :

  • Un renforcement probable des exigences de transparence concernant la finalité de la collecte des données
  • L’émergence de standards techniques de référence pour garantir la séparation des processus
  • Le développement d’une jurisprudence plus détaillée sur les pratiques acceptables

Le Parlement européen a lancé en 2023 une consultation sur l’avenir de la démocratie participative numérique qui pourrait déboucher sur de nouvelles propositions législatives affectant directement le cadre des pétitions en ligne et la collecte de données associée.

Analyse comparative et enseignements internationaux

L’examen des dispositifs juridiques étrangers relatifs aux pétitions en ligne et à la collecte de données bancaires offre des perspectives enrichissantes pour évaluer le modèle français et anticiper ses évolutions potentielles.

Aux États-Unis, l’approche est significativement différente du modèle européen. La Federal Trade Commission (FTC) applique une régulation sectorielle plutôt qu’un cadre général comme le RGPD. Le California Consumer Privacy Act (CCPA) et le Virginia Consumer Data Protection Act (VCDPA) ont toutefois introduit des exigences plus strictes concernant la séparation entre collecte de signatures et sollicitation financière. L’affaire FTC v. Change.org (2022) a abouti à un accord imposant à la plateforme de pétitions une séparation plus nette entre la signature et la sollicitation de dons.

Le Canada a adopté une position intermédiaire avec la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE). Le Commissariat à la protection de la vie privée a publié en 2021 des lignes directrices spécifiques aux plateformes de pétitions, exigeant une séparation claire des flux de données et un consentement distinct pour les données bancaires.

Le modèle allemand se distingue par sa rigueur. La Bundesdatenschutzgesetz (BDSG) renforce encore les exigences du RGPD concernant les données financières. La jurisprudence du Bundesgerichtshof (Cour fédérale de justice) a établi dans l’arrêt du 28 mai 2020 (I ZR 7/16) que même une suggestion subtile de contribution financière lors d’une pétition peut être considérée comme une pratique déloyale si elle n’est pas clairement distincte de l’acte de signature.

Le Royaume-Uni, malgré le Brexit, maintient un régime proche du RGPD avec le Data Protection Act 2018. L’Information Commissioner’s Office (ICO) a publié des recommandations spécifiques sur les pétitions en ligne qui interdisent formellement la collecte de données bancaires comme condition préalable à la signature d’une pétition.

Le Japon présente une approche distincte avec la loi sur la protection des informations personnelles révisée en 2020. Cette législation classe les informations bancaires dans une catégorie spéciale nécessitant un consentement renforcé, tout en autorisant leur collecte dans le cadre de pétitions si une séparation fonctionnelle est assurée.

Ces comparaisons internationales permettent d’identifier plusieurs tendances globales :

  • Une convergence vers l’exigence de séparation nette entre pétition et sollicitation financière
  • Des variations dans les mécanismes de sanction et leur sévérité
  • Des différences d’approche concernant la charge de la preuve de conformité

L’Organisation de Coopération et de Développement Économiques (OCDE) a publié en 2022 un rapport comparatif sur les cadres juridiques des pétitions en ligne qui met en évidence la nécessité d’une harmonisation internationale des pratiques, particulièrement pour les plateformes opérant à l’échelle mondiale.

Ces enseignements internationaux suggèrent que le modèle français, s’il figure parmi les plus protecteurs, pourrait bénéficier d’adaptations inspirées notamment du système allemand concernant la clarté des interfaces utilisateur et du modèle canadien pour la gradation des sanctions.

Vers une démocratisation numérique responsable

L’évolution du cadre juridique des pétitions en ligne et de la collecte de données bancaires s’inscrit dans une réflexion plus large sur la transformation numérique de la démocratie participative. Cette mutation doit conjuguer facilitation de l’engagement citoyen et protection rigoureuse des données personnelles.

Le Conseil National du Numérique (CNNum) a souligné dans son rapport de 2022 l’importance d’établir un équilibre entre l’accessibilité des outils démocratiques numériques et la protection des utilisateurs. Cette approche équilibrée passe par l’élaboration de standards techniques et juridiques adaptés aux nouvelles formes de mobilisation citoyenne.

La certification des plateformes de pétitions représente une piste prometteuse. Un label de conformité, sur le modèle du Privacy Shield ou des certifications RGPD, permettrait d’identifier facilement les acteurs respectueux des règles de séparation entre pétition et collecte financière. Cette démarche volontaire pourrait être encouragée par les pouvoirs publics.

La formation des citoyens aux enjeux de protection des données constitue un levier fondamental. Le Défenseur des droits et la CNIL ont lancé en 2023 un programme conjoint de sensibilisation aux droits numériques qui aborde spécifiquement la question des pétitions en ligne et des sollicitations financières associées.

L’émergence de standards d’interopérabilité entre plateformes pétitionnaires pourrait faciliter la mise en œuvre de bonnes pratiques harmonisées. Le W3C (World Wide Web Consortium) travaille actuellement sur des normes techniques visant à standardiser la séparation des processus de signature et de paiement dans les interfaces web.

Les collectivités territoriales, qui développent de plus en plus leurs propres plateformes de participation citoyenne, ont un rôle exemplaire à jouer. La ville de Paris, avec son budget participatif, et la région Occitanie, avec sa plateforme citoyenne, ont mis en place des systèmes qui séparent rigoureusement les processus de consultation et de paiement, créant ainsi des références pour les autres acteurs publics.

Le développement de technologies de protection de la vie privée (Privacy Enhancing Technologies – PETs) offre des solutions innovantes pour concilier vérification de l’identité et protection des données. Ces technologies permettent notamment de valider l’unicité d’une signature sans conserver d’informations personnelles identifiantes.

Pour concrétiser cette vision d’une démocratisation numérique responsable, plusieurs actions prioritaires se dégagent :

  • L’élaboration d’un code de conduite sectoriel pour les plateformes de pétitions
  • Le renforcement des pouvoirs d’investigation et de sanction des autorités de contrôle
  • Le développement d’outils open source conformes aux exigences légales

La jurisprudence continuera de jouer un rôle déterminant dans la définition des contours précis de ce qui constitue une séparation suffisante entre pétition et collecte de données bancaires. Les décisions futures du Conseil d’État et de la Cour de cassation permettront d’affiner progressivement les exigences applicables aux acteurs du secteur.

Cette évolution vers une démocratisation numérique responsable représente un défi majeur pour le droit français, qui devra continuer à s’adapter aux innovations technologiques tout en préservant ses principes fondamentaux de protection des données personnelles et de transparence démocratique.