+
-

À propos du Livre blanc de la CNIL sur les données de paiement

RGPD et DSP 2, données et paiement, données de paiement : le sujet est brûlant, comme l’intérêt de découvrir l’étude de la CNIL.

CNIL, Quand la confiance paie – Les moyens de paiement d’aujourd’hui et de demain au défi de la protection des données, Collection Livre blanc n° 2, sept. 2021.

Le 03/12/2021
Pierre Storrer

1. Réjouissons-nous. On ne peut que se réjouir de la publication, le 6 octobre 2021, du 2e opus de la Collection Livre blanc de la CNIL, relatif au paiement et aux données, sous un titre qui aurait gagné à davantage de sobriété ; mais, après tout, le sujet est foisonnant : « Quand la confiance paie – Les moyens de paiement d’aujourd’hui et de demain au défi de la protection des données ».

Voici donc un document de près de 90 pages, certes un peu trop en forme de plaquette promotionnelle (mais pourquoi pas…), tout entier consacré aux données de paiement, aux données consommées et/ou produites lors d’une action de paiement, telle que la compréhension suivante en est donnée : « Au final, il est raisonnable de définir les données de paiement comme l’ensemble des données personnelles utilisées lors de la délivrance d’un service de paiement pour une personne physique, y compris des données annexes telles que la géolocalisation, des données contextuelles voire, selon le cas de figure, le détail des achats »[1].

On n’oubliera pas que, par hypothèse, il n’est question ici que de données de paiement à caractère personnel, et que si elles le seront la plupart du temps (à caractère personnel)[2], toutes n’y ont pas vocation, puisqu’un règlement européen (moins fameux que le RGPD) traite précisément des données à caractère « non » personnel[3]. À l’inverse, le Livre blanc observe utilement que certaines données peuvent être qualifiées de « hautement personnelles », par exemple « lorsqu’elles révèlent une géolocalisation ou peuvent être utilisées pour commettre des fraudes au paiement »[4]. Quelques développements relatifs aux deux nouvelles catégories de « données qualifiées » que l’on trouve dans la DSP 2, à défaut d’une définition générales des données de paiement, auraient dès lors mérité leur place : celle des « données de sécurité personnalisées »[5] (nécessairement à caractère personnel) et celle des « données de paiement sensibles »[6] (qui devraient l’être « hautement »).

Cela étant, que peut-on retenir de ce Livre blanc ? Sans doute, d’abord, que les causes de perturbation ne manquent pas, quand bien même l’étude de la CNIL est placée sous le signe de la confiance (I.) ; à l’inverse, et ensuite, on cherche encore comment concilier au mieux le droit de la DSP 2 avec celui du RGPD, même si des éléments de méthode peuvent d’ores et déjà être trouvés (II.).

 

I. Données de paiement : sujets d’inquiétude

2. Illustration. Le thème se prête difficilementà un exercice de systématisation, d’autant que la présentation adoptée par la CNIL n’y aide pas.

Disons tout de même qu’au moins trois sujets d’inquiétude se distinguent, en termes d’identification (ou, plutôt, d’excès d’identification), de réutilisation des données (et de leur monétisation) et, enfin, de souveraineté (ou de localisation).

3. Identification (suridentification et traçabilité). Sur le thème de l’identification en matière de paiement, d’abord, on ne peut que rappeler cette évidence qui, à force de l’être, tend à s’estomper : la meilleure protection de ses données à caractère personnel demeure encore la sobriété, sinon l’anonymat. Or, qu’on le veuille ou non, il n’est qu’un moyen de paiement (au sens exact de monnaie) parfaitement anonyme, car « anumérique », donc intraçable : c’est la monnaie fiduciaire, les espèces, le cash ; ce que la CNIL reconnaît d’ailleurs volontiers : « En particulier, les transactions en espèces ne donnent pas lieu en elles-mêmes à un traitement de données personnelles: elles sont anonymes. Il s’agit donc du moyen de paiement le plus protecteur de la vie privé[7] ». Voilà un sujet que les thuriféraires de la cashless society devraient méditer[8]. Au demeurant, on se souvient que lors de la consultation publique menée par la Banque centrale européenne sur son projet d’euro numérique, le respect de la vie privée et la confidentialité apparaissaient en tête des préoccupations[9]. Et « s’il n’existe pas de droit à payer anonymement »[10], écrit la CNIL, il en existe bel et bien un de payer en espèces, quoique certaines restrictions puissent y être apportées[11].

L’identification, ensuite, porte en germe ce que le Livre blanc nomme lui-même un risque de « suridentification»[12], laquelle facilitera d’autant la traçabilité des uns et des autres que les informations recueillies se révèleront précises, fiables et sûres. À l’évidence, la DSP 2, dans son objectif de lutte contre la fraude, concourt à ce risque en obligeant à une authentification forte du payeur, donc à la collecte de données à caractère personnel, sinon plus nombreuses, du moins de meilleure qualité et, à ce titre, plus sensibles (ex. : biométrie)[13]. Il n’est pas moins évident que le droit des services de paiement s’intéressera toujours davantage à la protection des fonds qu’à celle des données.

Mais cela n’est rien face à l’impérialisme de cette « police des paiements » qu’est la lutte contre le blanchiment des capitaux et le financement du terrorisme (LCB-FT) et, en premier lieu, la connaissance clients (KYC) qu’elle impose : il n’y a rien de plus intrusif, ni de plus consommateur de données à caractère personnel, que celle-ci. Notre déception est par conséquent grande que la CNIL n’en traite pas : « Le sujet de la lutte contre le blanchiment et le financement du terrorisme (LCB-FT), dont un des enjeux est la bonne articulation avec le RGPD et qui relève d’autres travaux en cours de la CNIL et du Comité européen de la protection des données n’est pas spécifique aux paiements et ne sera donc pas développé plus avant dans ce Livre blanc[14]. » La défausse est malheureuse et il ne suffit pas de renvoyer à une lettre adressée le 19 mai 2021 par l’EDPB à la Commission afin de l’inviter à se soucier de la protection des données dans le cadre de la future législation LCB-FT[15].

4. Réutilisation (et monétisation). La question est à vrai dire lancinante et se retrouve au cœur du Livre blanc sur les données de paiement : le paiement sert-il de prétexte à la collecte, au traitement puis à la réutilisation des données à caractère personnel ? Autrement dit, le « paiement nu »[16] conserve-t-il de la valeur ou n’est-il que le « cheval de Troie »[17] des bigtechs, dont le modèle d’affaires n’est pas tellement de proposer des services financiers mais bien d’enrichir leurs données clients ?

À cet égard, il est certain que l’open banking initié par la DSP 2 a été un formidable appel d’air : en même temps qu’il a redonné la main sur les comptes à leurs titulaires, l’ouverture de l’accès aux comptes place les données de compte au cœur des business models de demain. Initiation de paiement, information sur les comptes, mais aussi paiement fractionné, etc., sont autant de services complémentaires qui, par exemple, rendent plus complexes la définition des marchés pertinents par les autorités de concurrence[18]. Où l’on observe, en tout cas, un déplacement du centre de gravité (de rentabilité) des services financiers, en général, et des services de paiement, en particulier : ce ne sont plus tellement les mouvements de fonds qui intéressent, mais l’enrichissement des bases clients.

Quoi qu’il en soit, la CNIL fait sienne[19] la phrase qui ouvre la communication de la Commission « sur une stratégie en matière de paiements de détail pour l’UE » : « Autrefois relégués aux services de back office, les paiements ont acquis une importance stratégique et sont devenus le fluide vital de l’économie européenne[20]». Replacée dans le contexte de l’économie de la donnée, cette citation prend tout son sens, d’autant qu’on la rapproche de cette autre communication, du même jour, cette fois « sur une stratégie en matière de finance numérique pour l’UE », où est affichée cette priorité de « créer un espace européen des données financières pour promouvoir l’innovation fondée sur les données, en s’appuyant sur la stratégie européenne en matière de données, y compris un meilleur accès aux données et un meilleur partage des données au sein du secteur financier »[21].

5. Souveraineté (et localisation). L’enjeu de souveraineté dans les paiements, qui fait l’objet d’un chapitre à part entière du Livre blanc, prend d’autant de relief qu’une importante étude lui avait été consacrée, en février 2020, sous l’égide du Conseil général de l’économie, de l’industrie, de l’énergie et des technologies : « Mise en œuvre d’une politique de localisation des données critiques de paiement en Europe »[22]. Si on y ajoute la communication précitée de la Commission sur une stratégie en matière de paiements de détail dans l’UE, qui fait la part belle à la réappropriation, par l’Union, de ses infrastructures et solutions de paiement, on prend la mesure de la question… politique.

De fait, la dimension mondiale des schémas de paiement cartes (Visa et Mastercard), des réseaux d’échange (Swift) ou des géants du e-commerce (Amazon, Alibaba), pose nécessairement la question de la circulation des données, de leur lieu de stockage, de qui peut y avoir accès, etc. Les auteurs de l’étude précitée sur la mise en œuvre d’une politique de localisation des données critiques de paiement en Europe ont ainsi droit à deux pages d’interview dans notre Livre blanc[23].

Se profilerait ainsi l’idée d’une « obligation de localisation des données »[24] dans l’Union, de toutes les données liées à une transaction de paiement intra-européenne et qui « peuvent être rattachées directement ou indirectement à une personne physique, par l’intermédiaire de données de sécurité personnalisées »[25]. La CNIL ne semble pas défavorable à un tel impératif de souveraineté, qu’elle prône au demeurant déjà en matière de données de santé[26].

II. Données de paiement : éléments
de méthode

6. Pour dépasser les inquiétudes. Risques, enjeux, bouleversements, etc. : tout cela est très intéressant, mais l’essentiel demeure à venir : comment, dans cet environnement complexe et en ce temps d’accélération inédite (révolution numérique), les différents acteurs (réglementés) de la chaîne des paiements doivent-ils agir pour se conformer tant aux exigences de la DSP 2 qu’à celles du RGPD ?

La 2e partie du Livre blanc de la CNIL apporte quelques éléments, sinon de réponse, du moins de méthode. La priorité est sans doute de déterminer le statut sous lequel opérer pour, ensuite, préciser les principes élémentaires à respecter ; afin, surtout, de faire une application contractuelle raisonnable du RGPD et mettre ainsi un terme à l’hypertrophie incongrue des clauses « Protection des données » dans les contrats ou conditions de services de paiement.

7. Quel statut ? La CNIL rappelle utilement que trois qualifications, pas davantage, sont à la disposition des diverses entités qui opèrent sur le marché des paiements : « Tout professionnel traitant des données à caractère personnel agit soit en qualité de responsable de traitement, soit en qualité de sous-traitant, soit en qualité de responsable de traitement conjoint. Il est essentiel pour chaque acteur de connaître son rôle puisque la nature des obligations qui lui incombent en dépend[27]. »

Prenons un exemple concret, celui de la pratique des agents (ou distributeurs) « inversés », c’est-à-dire de ces fintechs qui, plutôt que d’aller chercher prématurément un agrément de prestataire de services de paiement (PSP), se placent sous « l’aile réglementaire » d’un établissement agréé. Faut-il qualifier l’agent de services de paiement (ou le distributeur de monnaie électronique) de sous-traitant de son établissement mandant (établissement de paiement, de monnaie électronique ou de crédit) ou, au contraire, de responsable conjoint du traitement ? La consultation des dernières Guidelines 07/2020 on the concepts of controller and processor in the GDPR de l’EDPB (7 juillet 2021) s’avère complexe, d’autant que leur objet est transversal alors que nous recherchons une réponse particulière ; d’où l’intérêt de ce passage du Livre blanc : « En matière de paiement, il semble envisageable de retenir la notion de responsabilité conjointe, dès lors qu’un certain nombre d’acteurs dans la chaîne de traitement sont susceptibles d’intervenir pour une même finalité (telle que la réalisation du paiement) et de potentiellement déterminer conjointement les moyens de ces traitements[28]. »

De la réponse apportée devraient dépendre les pouvoirs du mandataire[29] : sous-traitant, agissant uniquement sur instruction du responsable du traitement, il ne pourrait, de sa seule initiative, réutiliser pour son propre compte les données initialement collectées, sauf autorisation écrite du responsable du traitement initial ; le verrou sauterait en cas de responsabilité conjointe du traitement, caractérisée notamment lorsque les intervenants déterminent ensemble une même finalité et des moyens communs de traitement, telle l’exécution d’opérations de paiement ; mais cette dernière combinaison n’est pas une sinécure, dans la mesure où les responsables conjoints sont tenus de conclure un accord entre eux afin de définir leurs obligations respectives, « dont les grandes lignes […] sont mises à la disposition de la personne concernée »[30]. Voilà, au demeurant, un point sur lequel une future DSP 3 pourrait légiférer : l’article 26, 1, du RGPD relatif aux responsables conjoints du traitement dispose en effet qu’un accord entre eux est nécessaire « sauf si, et dans la mesure, où leurs obligations respectives sont définies par le droit de l’Union ou par le droit de l’État membre auquel les responsables du traitement sont soumis ». Serait-il opportun d’encadrer, en droit des paiements mais aussi de protection des données, les obligations de l’agent ou du distributeur ?

8. Quels principes ? Avouons qu’à cet égard, le Livre blanc de la CNIL est passablement décevant. Mais peut-être l’est-il parce que la matière relèverait davantage du droit des paiements que de celui de la protection des données à caractère personnel ? Il est en tout cas certain que l’exercice mériterait d’être conduit par la CNIL conjointement avec l’ACPR : à quand une étude commune sur le régime des données de paiement dans le cadre de la fourniture de services de paiement et de monnaie électronique ?

La matière, du moins en germe, existe déjà, si l’on veut bien se souvenir de l’introduction, dans notre Code monétaire et financier (CMF), par suite de la transposition de la DSP 2, des articles L. 521-5, L. 521-6 et L. 521-7 ; trois textes qui, certes timidement, font entrer la protection des données à caractère personnel dans le droit des paiements. Encore faut-il parvenir à les marier avec les « principes relatifs au traitement des données à caractère personnel » de l’article 5 du RGPD et avec l’exigence générale de « licéité du traitement » de l’article 6.

Sans attendre, on glanera au fil des pages du Livre blanc les quelques précisions utiles suivantes :

principes de limitation des finalités et de minimisation des données : on retient principalement que « la finalité principale en matière de paiement est la réalisation d’une transaction », de sorte que, par exemple, « l’enrichissement des données de paiement, notamment par l’ajout de données contextuelles, ne constitue pas une finalité en soi » ou que le traitement de données supplémentaires en vue de « l’optimisation du parcours de paiement »[31] constitue une finalité distincte de la réalisation de la transaction ;

exigence de licéité et réutilisation des données de paiement : si « traiter ultérieurement des données de paiement afin de produire des analyses statistiques permettant d’améliorer le système de paiement mis en œuvre par un responsable de traitement est une finalité compatible ne nécessitant pas le recueil du consentement de la personne concernée », à l’inverse, « la réutilisation par un réseau de carte bancaire d’un historique de transaction pour déterminer les habitudes de consommation de la personne et revendre ces données à un établissement de crédit souhaitant enrichir le profil de ses futurs emprunteurs n’apparaît pas comme étant une finalité compatible »[32].

9. Annonces. La CNIL clôt son Livre blanc par trois annonces : la première est de proposer aux associations professionnelles sectorielles la rédaction d’un code de conduite pour les prestataires de services de paiement (PSP) ; la deuxième, d’élaborer elle-même « une doctrine plus précise a aux traitements qui supposent une concentration, une mutualisation ou une réutilisation de données de paiement applicable »[33] et, la troisième, enfin, de prendre des recommandations pratiques sur la sécurité, notamment sur la « tokenisation » (ou pseudonymisation) des données. n

Achevé de rédiger le 19 novembre 2021.

Services de paiement – Données à caractère personnel – Données
de paiement – DSP 2 – RGPD – CNIL.

 

[1].     Livre blanc, p. 10.

 

[2].     Dans l’éditorial qui ouvre ce Livre blanc, la présidente de la CNIL, Marie-Laure Denis, souligne ainsi : « Or les données de paiement sont des données à caractère personnel : données d’achat, données financières, données contextuelles, elles concernent bien des aspects de l’existence des individus. Elles peuvent permettre de “tracer” leurs activités personnelles, de cerner leurs comportements ; elles peuvent être utilisées pour commettre des fraudes. »

 

[3].     Cf. Règl. (UE) 2018/1807, 14 nov. 2018, établissant un cadre applicable au libre flux des données à caractère non personnel dans l’Union européenne.

 

[4].     Libre blanc, p. 11, renvoyant à Groupe de travail « Article 29 », Lignes directrices concernant l’analyse d’impact relative à la protection des données (AIPD) et la manière de déterminer si le traitement est « susceptible d’engendrer un risque élevé » aux fins du règlement (UE) 2016/679, 4 avr. 2017, WP 248 rév. 01, p. 11.

 

[5].     Cf. DSP 2, art. 4, 31) : « données de sécurité personnalisées”, des données personnalisées fournies à un utilisateur de services de paiement par le prestataire de services de paiement à des fins d’authentification ».

 

[6].     Cf. DSP 2, art. 4, 32) : « données de paiement sensibles”, des données, y compris les données de sécurité personnalisées, qui sont susceptibles d’être utilisées pour commettre une fraude […] ».

 

[7].     Livre blanc, p. 13.

 

[8].     Cf. Livre blanc, pp. 44 et s.

 

[9].     Cf. P. Storrer, « À propos du Rapport de la BCE sur un euro numérique », Revue Banque n° 856, mai 2021, p. 84.

 

[10].    Livre blanc, p. 18.

 

[11].    Cf. CJUE, grde ch., 26 janv. 2021, aff. C-422/19 et C-423/19, Hessischer Rundfunk, concl. M.G. Pitruzella.

 

[12].    Cf. Livre blanc, p. 21 : « L’évolution des paiements, notamment la part de plus en plus importante des paiements à distance, génère donc un risque de “suridentification” des personnes, de divulgation de leurs attributs d’identité allant au-delà de ce qui est nécessaire pour rendre le service demandé, qui peut la plupart du temps être rendu sur la base d’un identifiant déclaratif, voire d’un pseudonyme. »

 

[13].    Cf. Livre blanc, pp. 57 et s.

 

[14].    Livre blanc, p. 22.

 

[15].    EDPB Letters, 19 mai 2021, Ref: OUT2021-0088. Comp. EDPB, Déclaration relative à la protection des données à caractère personnel traitées dans le cadre de la prévention du blanchiment de capitaux et du financement du terrorisme, 15 déc. 2020.

 

[16].    Livre blanc, p. 33.

 

[17].    Livre blanc, p. 37.

 

[18].    Cf. Adlc, Avis n° 21-A-05, 29 avr. 2021, portant sur le secteur des nouvelles technologies appliquées aux activités de paiement, p. 4.

 

[19].    Cf. Livre blanc, p. 9 et 79.

 

[20].    COM(2020) 592 final, 24 sept. 2020, p. 2.

 

[21].    COM(2020) 591 final, 24 sept. 2020, p. 5, renvoyant à cette autre communication de la Commission, Une stratégie européenne pour les données, COM(2020) 66 final, 19 févr. 2020.

 

[22].    Cf. M. Roussille, « Localisation des données de paiement : le RGPD, cheval de bataille d’une souveraineté européenne en matière de paiement ? », Banque & Droit n° 190, mars-avr. 2020, p. 30.

 

[23].    Cf. Livre blanc, pp. 76 et s.

 

[24].    Livre blanc, p. 78.

 

[25].    S. Lémery et Rémi Steiner, « Mise en œuvre d’une politique de localisation des données critiques de paiement en Europe », Rapport févr. 2020, p. 5.

 

[26].    Cf. Livre blanc, p. 76.

 

[27].    Livre blanc, p. 53.

 

[28].    Livre blanc, p. 54.

 

[29].    Cf. Livre blanc, pp. 53-55.

 

[30].    RGPD, art. 26, 2.

 

[31].    Livre blanc, p. 56.

 

[32].    Livre blanc, pp. 60-61.

 

[33].    Livre blanc, p. 84.

 

L'auteur

Séminaires

Articles du(des) même(s) auteur(s)

Sur le même sujet