Mettre en place un cadre harmonisé aboutissant à une « application uniforme des règles au profit du marché numérique de l’Union européenne » et, en particulier, « des conditions de concurrence équitables pour toutes les entreprises exerçant leurs activités sur le marché de
L’extraterritorialité du RGPD et de e-Privacy…
Afin de satisfaire cette ambition, le législateur européen a doté le Règlement d’un effet extraterritorial. L’article 3 précise, en effet, que le texte est applicable au traitement de données à caractère personnel effectué :
- dans le cadre des activités d’un responsable du traitement ou d’un sous-traitant établis sur le territoire de l’Union ;
- à défaut, ces activités de traitement sont liées à l’offre de biens ou de services à des personnes concernées dans l’Union ou au suivi du comportement de ces
personnes . Dès lors, un cybercommerçant qui ne serait pas établi au sein de l’Union mais qui proposerait des biens à des personnes résidant au sein de l’Union serait tenu d’appliquer la législation relative à la protection des données.[2]
Le projet de règlement
Dans les deux cas, si le responsable du traitement ou le fournisseur d’un service de communication électronique n’est pas établi au sein de l’Union, il devra y désigner un représentant. Enfin, il convient de souligner que le projet de règlement relatif à la libre circulation des données non personnelles comporte des dispositions
…et ses limites
Les règles applicables à l’utilisation des données à caractère personnel sont donc les mêmes pour l’ensemble des acteurs intervenant en Europe. La fourniture d’un service bancaire de la part d’un des géants du web sera donc soumise aux mêmes règles que celles applicables aux acteurs traditionnels de ce secteur. À noter cependant que la possibilité offerte aux États membres d’adopter des spécificités locales nécessite de tempérer ce propos. Le Règlement prévoit en effet 56 possibilités d’introduire une disposition locale spécifique, ce qui pourrait aboutir à des régimes juridiques distincts en Europe. Ces spécificités sont, en outre, elles-mêmes dotées de leur propre champ d’application territoriale, variant généralement entre un critère d’établissement ou un critère de personnes visées, ce qui complexifie encore l’analyse.
En tout état de cause, la principale différence entre les acteurs traditionnels du secteur bancaire et les géants du web réside plutôt dans les données qui ont déjà été collectées par les GAFAM et l’exploitation qu’ils pourraient en faire en matière bancaire. Ainsi, la crainte que suscite l’entrée des géants du web dans le secteur financier et en particulier dans les services de paiement réside plutôt dans le fait que ces opérateurs exploitent les données dont ils disposent déjà pour proposer des services financiers. Facebook représentait ainsi fin 2017 plus de 2,13 milliards d’utilisateurs actifs chaque mois dans le monde et 1,4 milliard actifs chaque jour.
L’enjeu des données déjà collectées
C’est donc la situation de monopole ou quasi-monopole des GAFAM et BATX sur d’autres marchés et l’utilisation à des fins bancaires de ces données – parfois très intimes, les internautes étant généralement plus enclins à partager leur vie privée sur Facebook qu’avec leur banquier – qui pourraient créer une distorsion de concurrence avec les acteurs traditionnels du secteur bancaire. Il est, d’ailleurs, raisonnable de penser que ce risque n’est pas spécifique ou limité au secteur financier.
C’est, en outre, exactement le problème soulevé par l’affaire Cambridge Analytica : la réutilisation de données collectées par Facebook pour en déduire l’orientation politique des personnes concernées et pour afficher à ces personnes du contenu susceptible d’influencer leur vote. Plus proche de nous, la même crainte surgit en France, lorsqu’un opérateur de téléphonie crée sa banque…
Dès lors, ces données collectées via les réseaux sociaux ou les moteurs de recherche pourraient-elles être légalement exploitées pour commercialiser des produits bancaires et financiers ? Ainsi, on pourrait imaginer que Google prenne en compte votre historique de connexion à des fins d’octroi de crédit ou que Facebook évalue votre solvabilité par rapport aux « amis » que vous avez sur le réseau.
Une réutilisation de données collectées par Facebook ou Google dans le cadre de leurs services actuels à des fins d’octroi de crédit ou de délivrance de services de paiement constituerait une nouvelle finalité. Les traitements initiaux réalisés par ces opérateurs n’ont pas en effet vocation à être utilisés pour cet objectif. Dès lors, cette question soulève de multiples difficultés dont la première serait relative à la licéité de ce traitement secondaire. Accessoirement, ces données devraient également être transmises à un nouvel acteur, c’est-à-dire une filiale ayant le statut d’établissement de crédit ou de paiement. Une telle réutilisation est-elle possible juridiquement ?
Réutiliser des données à des fins bancaires : est-ce légal ?
Le RGPD prévoit une possibilité de réutiliser des données collectées pour une finalité initiale pour une autre finalité pour autant que le traitement à une autre fin soit « compatible avec la finalité pour laquelle les données à caractère personnel ont été initialement collectées » (article 6, 4). Pour évaluer la compatibilité des finalités initiales et secondaires, le responsable du traitement doit tenir compte de l’existence éventuelle d’un lien entre la finalité primaire et la finalité ultérieure envisagée, le contexte de la collecte des données, la nature des données personnelles collectées et les conséquences possibles du traitement ultérieur envisagé. En l’espèce, il ne semble pas y avoir de lien entre la mise en relation d’individus via une plate-forme et la délivrance d’un moyen de paiement. En outre, les conséquences potentielles d’un traitement visant à vérifier l’éligibilité d’un client à un produit bancaire apparaissent substantielles, puisqu’il pourrait conduire à l’exclusion du bénéfice d’un droit ou d’un contrat. À noter enfin que l’utilisation de cette possibilité nécessite que le traitement initial ne repose pas sur le consentement de l’individu.
Dans l’hypothèse où le traitement initial reposerait sur un consentement, il conviendrait de solliciter un nouveau consentement. Le RGPD précise que celui-ci doit être libre, spécifique, éclairé et univoque. En outre, en cas de « déséquilibre
La question de la licéité reste donc entière. S’y ajoute d’autres interrogations comme celle relative à l’adéquation des données utilisées par rapport à la finalité du traitement (votre navigation sur Internet est-elle pertinente pour évaluer votre solvabilité et compatible avec le principe de minimisation des données ?), celle relative à la qualité des données (ces données sont-elles exactes ?) ou encore celle des droits des personnes concernées.
Au-delà des nombreuses questions juridiques soulevées par une réutilisation de ces données à des fins d’octroi de produits et services bancaires, l’acceptabilité sociale de cette pratique se poserait également. À cette date, Facebook a obtenu une licence en Irlande fin 2017 en tant qu’émetteur de monnaie électronique et de prestataire de services de paiement. Le succès de Facebook Payments International Limited sera donc à suivre.
Enfin, au-delà des questions de protection des données, une « Google Bank » ou « Facebook Bank » serait soumise aux mêmes règles relatives au niveau de fonds propres et à la gestion du risque que les autres acteurs du secteur ; or ces dispositions sont particulièrement contraignantes, notamment en matière d’immobilisation d’actifs financiers.