La CNIL s’empare de la question de la protection des données et des moyens de paiement avec son nouveau livre blanc « Quand la confiance paie »

Publié par le dans | Consulté 34 Fois

Mercredi 6 octobre 2021, la Commission Nationale de l’Informatique et des Libertés (CNIL) a dévoilé son nouveau livre blanc « Quand la confiance paie » relatif aux enjeux de la protection des données dans les moyens de paiement actuels et futurs. Ce livre est destiné aux professionnels comme aux particuliers. En effet, trois objectifs découlent de ce livre. Le premier est de sensibiliser tous les publics, que ces derniers prennent conscience des risques des nouveaux moyens de paiement, mais qu’ils connaissent aussi leurs droits et leurs obligations. La deuxième finalité de ce livre est de proposer aux professionnels des éléments de doctrine pour expliquer les attentes du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, dit RGPD. Enfin, ce livre permet à la CNIL de contribuer au débat public, en se saisissant pleinement du sujet. Par ailleurs, Marie-Laure Denis, Présidente de la CNIL, affirme que les moyens de paiement intéressent de plus en plus la Commission, et à terme, l’objectif est d’exiger la conformité des acteurs du secteur. 

Numérisation des moyens de paiement : un nouveau risque pour nos données personnelles ?

Depuis plusieurs années, une transformation des moyens de paiement est à l’oeuvre, et la pandémie de la Covid-19 a été un accélérateur de cette mutation vers une numérisation des moyens de paiement: un recul du paiement en espèce pour laisser place au sans contact ou à l’achat en ligne avec le « click and collect ». Le paiement en espèce dispose d’un vif avantage, celui de l’anonymat qui engendre une plus grande liberté. En effet, avec un paiement numérique, des données sont collectées, pour que la transaction ait lieu. Les données pouvant être collectées sont nombreuses, notamment le numéro de carte bancaire, la date d’expiration de celle-ci, le nom et prénom du titulaire, le code de sécurité de la carte, la banque émettrice, la géolocalisation du paiement, le commerce fréquenté, etc. Or, lors d’un paiement, plusieurs acteurs coexistent : le payeur, le receveur du paiement et leurs banques respectives. De plus, si chez le commerçant, l’acheteur dispose d’un compte de fidélité, les habitudes d’achats peuvent être des données collectées. Par conséquent, la CNIL définit les données de paiement comme « l’ensemble des données personnelles utilisées lors de la délivrance d’un service de paiement pour une personne physique ». Ainsi, comme ces données sont relatives à une personne physique identifiée ou identifiable directement ou indirectement, elles peuvent être qualifiées de données personnelles. Enfin, comme le constate Marc Schwartz, PDG de la Monnaie de Paris, « Les paiements par carte ou en ligne laissent derrière eux un historique de paiement accessible par des entreprises privées, qui peuvent les utiliser à des fins publicitaires : c’est ce que font les géants du Net, et c’est ce qui explique leur attrait récent pour le marché des paiements. »

Le rôle précurseur de la CNIL dans ce domaine 

Par son nouveau livre blanc, la CNIL a souhaité anticiper la question de la protection des données et les problématiques quelles engendrent face aux nouveaux moyens de paiement. La sécurisation des moyens de paiement, et donc, intrinsèquement, de nos données personnelles est encadrée par le droit de l’Union Européenne, notamment, la Directive (UE) 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015 concernant les services de paiement dans le marché intérieur, dite DSP2, révisant la DSP1 de 2009. Cette directive permet de renforcer les apports du RGPD, d’élargir la qualification de données de paiement, et de créer un standard de sécurité. Dans son nouveau livre blanc, la CNIL se pose la question du maniement des normes applicables aux nouveaux moyens de paiement entre elles. Par exemple, le système 3DSecure permettant une authentification sécurisée et mis en place par la DSP2, doit être aussi mis à l’épreuve du RGPD. Il engendre une authentification du payeur afin que sa transaction soit acceptée. La CNIL définit l’authentification comme la « phase qui permet à l’utilisateur d’apporter la preuve qu’il est identifié, permettant de répondre à la question “Êtes-vous réellement cette personne ?” via l’utilisation d’un authentifiant que lui seul connaît ou possède. L’authentification consiste pour le tiers de confiance du payeur à faire savoir qu’il a bien identifié ce dernier. » Ainsi, le but de ce système est d’éviter toute fraude. Or, face à ce procédé, des données personnelles sont collectées, ainsi la CNIL rappelle que « Chaque responsable de traitement […] a l’obligation de s’assurer et de pouvoir justifier du respect du principe de minimisation et de mise en balance des intérêts des personnes concernées, qu’il s’agisse de la collecte des données, de leur transmission à un autre responsable de traitement, ou de leur durée de conservation. Les personnes concernées doivent être informées de l’existence de ces traitements, et pouvoir le cas échéant exercer leurs droits sur les données, tels que leur droit d’accès ou éventuellement leur droit d’opposition. » De ce fait, pour que chacun puisse exercer ses droits (accès et opposition notamment), la CNIL propose que le système 3DSecure ne soit plus automatique lorsqu’il y a peu de risque de fraude, ainsi un choix pourrait être opéré par la personne concernée.

Dans son livre blanc, la CNIL présente ses préoccupations au regard de ces nouveaux moyens de paiement. Tout d’abord, la CNIL est attentive à la conformité, elle souhaite une qualification des acteurs, et une collecte des données seulement nécessaire au paiement. Ensuite, elle appelle notre attention sur la nécessité d’un libre choix des moyens de paiement afin que l’utilisateur choisisse le risque ; ce qui engendre l’absence du retrait total des espèces pour préserver l’anonymat. La CNIL s’intéresse à la sécurisation des transactions ; pour cela, elle propose une tokenysation des données de paiement, c’est-à-dire substituer les données de paiement en une donnée jetable générée aléatoirement dont l’utilisation est limitée à un usage unique. En effet, nos données bancaires sont trop facilement accessibles. Or, parfois nous n’avons pas le choix d’une transaction sécurisée ou anonyme, certains biens ou services étant accessibles seulement via les nouvelles technologies qui exigent une transaction numérique. Ainsi, ce système de tokenysation permettrait un usage plus sûr des nouvelles technologies du paiement. Enfin, la CNIL met l’accent sur la souveraineté des données de paiement. En effet, le RGPD pose le principe d’interdiction de transfert des données hors Union Européenne (article 44 RGPD). Ce principe souffre néanmoins d’exceptions : 

  • l’article 45 du RGPD pose l’exception de la décision d’adéquation permettant à un pays tiers d’être reconnu comme offrant un niveau de protection adéquat,
  • à défaut d’une décision d’adéquation, lorsque le transfert est encadré par des « garanties appropriées » (article 46 RGPD),
  • enfin, au regard de la liste limitative de dérogations de l’article 49 du RGPD. 

Aujourd’hui, peu de décisions d’adéquation ont été prises. Récemment, l’arrêt  de la la Cour de Justice de l’Union Européenne (CJUE) du 16 juillet 2020, Schrems II, a invalidé la décision d’adéquation dite « Privacy Shield » qui permettait un transfert de données entre l’Europe et les Etats-Unis, et, elle-même avait été prise après invalidation de la décision d’adéquation « Safe Harbor ». Par conséquent, la CNIL propose une localisation des données sur le territoire européen : « […] la localisation des données de paiement sur le territoire européen pourrait, […], aboutir à une solution permettant de conjuguer souveraineté et sécurité, tout en offrant aux citoyens un plus grand contrôle sur les données qui les concernent, et aux autorités de protection des données un plus grand contrôle sur les traitements correspondants. Elle n’est toutefois ni une condition nécessaire, […] ni une condition suffisante pour garantir une bonne protection des données de paiement des Européens. »

Par ce livre blanc, l’intention de la CNIL est sans équivoque : imposer sa place de régulateur dans le domaine de la protection des données. Au regard de la transversalité du domaine, la nécessité pour la CNIL de se lier avec les autres autorités est indéniable. Le 14 juillet dernier, la Banque Centrale Européenne a présenté son projet d’euro-numérique, ce qui montre la nécessité d’un encadrement du secteur au regard de nos données personnelles, d’où l’intérêt pour la CNIL de se saisir de cette question dès à présent. 

Sources :

– Directive (UE) 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015 concernant les services de paiement dans le marché intérieur, modifiant les directives2002/65/CE, 2009/110/CE et 2013/36/UE et le règlement (UE) n° 1093/2010, et abrogeant la directive 2007/64/CE

– Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données

– CJUE, 16 juillet 2020, aff. C-311/18, Schrems II

– CNIL, COLLECTION LIVRE BLANC – N°2, QUAND LA CONFIANCE PAIE : Les moyens de paiement d’aujourd’hui et de demain au défi de la protection des données