Cet article appartient au dossier : GAFA & banques : concurrents ou partenaires ?.

Protection des données personnelles

Les géants du web sont-ils soumis aux mêmes règles ?

Alors que le RGPD vient d’entrer en vigueur, les acteurs bancaires européens peuvent-ils compter sur une égalité de traitement réglementaire avec les géants technologiques quant à l’utilisation des données personnelles ? La réponse est nuancée.

protection des données personnelles

L'auteur

  • Aurélie Banck
    • Directeur de département
      Lexing Alain Bensoussan Avocats

Pour en savoir plus

image
  • identificaiton

Revue de l'article

Cet article est extrait de
Revue Banque n°821

Gafa & Banques : concurrents ou partenaires

Mettre en place un cadre harmonisé aboutissant à une « application uniforme des règles au profit du marché numérique de l’Union européenne » et, en particulier, « des conditions de concurrence équitables pour toutes les entreprises exerçant leurs activités sur le marché de l’UE » [1] sont deux des raisons politiques ayant motivé l’adoption du Règlement général européen sur la protection des données personnelles (RGPD ou, en anglais, GDPR) applicable depuis le 25 mai dernier.

L’extraterritorialité du RGPD et de e-Privacy…

Afin de satisfaire cette ambition, le législateur européen a doté le Règlement d’un effet extraterritorial. L’article 3 précise, en effet, que le texte est applicable au traitement de données à caractère personnel effectué :

  • dans le cadre des activités d’un responsable du traitement ou d’un sous-traitant établis sur le territoire de l’Union ;
  • à défaut, ces activités de traitement sont liées à l’offre de biens ou de services à des personnes concernées dans l’Union ou au suivi du comportement de ces personnes [2]. Dès lors, un cybercommerçant qui ne serait pas établi au sein de l’Union mais qui proposerait des biens à des personnes résidant au sein de l’Union serait tenu d’appliquer la législation relative à la protection des données.

Ces règles qui visent à offrir aux résidents européens un même niveau de protection sont donc applicables aux GAFAM [3] et au BATX [4], indifféremment de la « nationalité » de l’entreprise. À noter par ailleurs, que certaines d’entre elles sont établies au sein de l’Union européenne. Facebook a ainsi des bureaux en Irlande, à Londres et à Paris.

Le projet de règlement e-Privacy [5] comporte des dispositions équivalentes. Il s’applique ainsi à « la fourniture de services de communications électroniques aux utilisateurs finaux dans l’Union, qu’un paiement soit requis ou non de la part de l’utilisateur final, à l’utilisation de ces services et à la protection des informations liées aux équipements terminaux des utilisateurs finaux situés dans l’Union ». Ainsi, un opérateur de messagerie électronique établi hors UE mais fournissant un service à des utilisateurs finaux à l’intérieur de l’Union sera soumis à ces règles.

Dans les deux cas, si le responsable du traitement ou le fournisseur d’un service de communication électronique n’est pas établi au sein de l’Union, il devra y désigner un représentant. Enfin, il convient de souligner que le projet de règlement relatif à la libre circulation des données non personnelles comporte des dispositions similaires [6]. L’Europe exprime ainsi sa volonté d’offrir un niveau de protection harmonisé des données pour l’ensemble de ses résidents.

…et ses limites

Les règles applicables à l’utilisation des données à caractère personnel sont donc les mêmes pour l’ensemble des acteurs intervenant en Europe. La fourniture d’un service bancaire de la part d’un des géants du web sera donc soumise aux mêmes règles que celles applicables aux acteurs traditionnels de ce secteur. À noter cependant que la possibilité offerte aux États membres d’adopter des spécificités locales nécessite de tempérer ce propos. Le Règlement prévoit en effet 56 possibilités d’introduire une disposition locale spécifique, ce qui pourrait aboutir à des régimes juridiques distincts en Europe. Ces spécificités sont, en outre, elles-mêmes dotées de leur propre champ d’application territoriale, variant généralement entre un critère d’établissement ou un critère de personnes visées, ce qui complexifie encore l’analyse.

En tout état de cause, la principale différence entre les acteurs traditionnels du secteur bancaire et les géants du web réside plutôt dans les données qui ont déjà été collectées par les GAFAM et l’exploitation qu’ils pourraient en faire en matière bancaire. Ainsi, la crainte que suscite l’entrée des géants du web dans le secteur financier et en particulier dans les services de paiement réside plutôt dans le fait que ces opérateurs exploitent les données dont ils disposent déjà pour proposer des services financiers. Facebook représentait ainsi fin 2017 plus de 2,13 milliards d’utilisateurs actifs chaque mois dans le monde et 1,4 milliard actifs chaque jour.

L’enjeu des données déjà collectées

C’est donc la situation de monopole ou quasi-monopole des GAFAM et BATX sur d’autres marchés et l’utilisation à des fins bancaires de ces données – parfois très intimes, les internautes étant généralement plus enclins à partager leur vie privée sur Facebook qu’avec leur banquier – qui pourraient créer une distorsion de concurrence avec les acteurs traditionnels du secteur bancaire. Il est, d’ailleurs, raisonnable de penser que ce risque n’est pas spécifique ou limité au secteur financier.

C’est, en outre, exactement le problème soulevé par l’affaire Cambridge Analytica : la réutilisation de données collectées par Facebook pour en déduire l’orientation politique des personnes concernées et pour afficher à ces personnes du contenu susceptible d’influencer leur vote. Plus proche de nous, la même crainte surgit en France, lorsqu’un opérateur de téléphonie crée sa banque…

Dès lors, ces données collectées via les réseaux sociaux ou les moteurs de recherche pourraient-elles être légalement exploitées pour commercialiser des produits bancaires et financiers ? Ainsi, on pourrait imaginer que Google prenne en compte votre historique de connexion à des fins d’octroi de crédit ou que Facebook évalue votre solvabilité par rapport aux « amis » que vous avez sur le réseau.

Une réutilisation de données collectées par Facebook ou Google dans le cadre de leurs services actuels à des fins d’octroi de crédit ou de délivrance de services de paiement constituerait une nouvelle finalité. Les traitements initiaux réalisés par ces opérateurs n’ont pas en effet vocation à être utilisés pour cet objectif. Dès lors, cette question soulève de multiples difficultés dont la première serait relative à la licéité de ce traitement secondaire. Accessoirement, ces données devraient également être transmises à un nouvel acteur, c’est-à-dire une filiale ayant le statut d’établissement de crédit ou de paiement. Une telle réutilisation est-elle possible juridiquement ?

Réutiliser des données à des fins bancaires : est-ce légal ?

Le RGPD prévoit une possibilité de réutiliser des données collectées pour une finalité initiale pour une autre finalité pour autant que le traitement à une autre fin soit « compatible avec la finalité pour laquelle les données à caractère personnel ont été initialement collectées » (article 6, 4). Pour évaluer la compatibilité des finalités initiales et secondaires, le responsable du traitement doit tenir compte de l’existence éventuelle d’un lien entre la finalité primaire et la finalité ultérieure envisagée, le contexte de la collecte des données, la nature des données personnelles collectées et les conséquences possibles du traitement ultérieur envisagé. En l’espèce, il ne semble pas y avoir de lien entre la mise en relation d’individus via une plate-forme et la délivrance d’un moyen de paiement. En outre, les conséquences potentielles d’un traitement visant à vérifier l’éligibilité d’un client à un produit bancaire apparaissent substantielles, puisqu’il pourrait conduire à l’exclusion du bénéfice d’un droit ou d’un contrat. À noter enfin que l’utilisation de cette possibilité nécessite que le traitement initial ne repose pas sur le consentement de l’individu.

Dans l’hypothèse où le traitement initial reposerait sur un consentement, il conviendrait de solliciter un nouveau consentement. Le RGPD précise que celui-ci doit être libre, spécifique, éclairé et univoque. En outre, en cas de « déséquilibre manifeste » [7] entre un responsable du traitement et une personne concernée, le consentement n’est pas le fondement à privilégier, raison pour laquelle il est généralement considéré que les traitements mis en œuvre à des fins d’octroi de produits ou de services bancaires ne reposent pas sur ce fondement.

La question de la licéité reste donc entière. S’y ajoute d’autres interrogations comme celle relative à l’adéquation des données utilisées par rapport à la finalité du traitement (votre navigation sur Internet est-elle pertinente pour évaluer votre solvabilité et compatible avec le principe de minimisation des données ?), celle relative à la qualité des données (ces données sont-elles exactes ?) ou encore celle des droits des personnes concernées.

Au-delà des nombreuses questions juridiques soulevées par une réutilisation de ces données à des fins d’octroi de produits et services bancaires, l’acceptabilité sociale de cette pratique se poserait également. À cette date, Facebook a obtenu une licence en Irlande fin 2017 en tant qu’émetteur de monnaie électronique et de prestataire de services de paiement. Le succès de Facebook Payments International Limited sera donc à suivre.

Enfin, au-delà des questions de protection des données, une « Google Bank » ou « Facebook Bank » serait soumise aux mêmes règles relatives au niveau de fonds propres et à la gestion du risque que les autres acteurs du secteur ; or ces dispositions sont particulièrement contraignantes, notamment en matière d’immobilisation d’actifs financiers.

 

[1] Communication de la Commission au Parlement européen et au Conseil, « Une meilleure protection et de nouvelles perspectives – Orientations de la Commission relatives à l’application directe du Règlement général sur la protection des données à partir du 25 mai 2018, 24 janvier 2018 », COM (2018) 43 final.

[2] Dans la mesure où ce comportement a lieu sur le territoire de l’Union.

[3] GAFAM : Google, Amazon, Facebook, Apple, Microsoft.

[4] BATX : Baidu, Alibaba, Tencent et Xiaomi.

[5] Projet de Règlement du Parlement européen et du Conseil concernant le respect de la vie privée et la protection des données à caractère personnel dans les communications électroniques et abrogeant la directive 2002/58/CE (règlement « vie privée et communications électroniques ») en date du 10 janvier 2017.

[6] Proposition de Règlement européen et du Conseil concernant un cadre applicable à la libre circulation des données à caractère non personnel dans l’Union européenne du 13 septembre 2017, COM (2017) 495 final.

[7] Considérant 43 du RGPD.

 

Sommaire du dossier

GAFA & banques : concurrents ou partenaires ?

Articles du(des) même(s) auteur(s)

Sur le même sujet