Désormais, chaque transaction peut permettre de retracer le lieu et parfois même l’activité des consommateurs, et les informations deviennent encore plus précieuses lorsque l’on agrège entre elles ces données. Elles ne sont plus seulement des données prises individuellement pour analyser une situation : les technologies actuelles permettent d’agréger des milliers de données desquelles il est possible de tirer des analyses qui auraient été improbables en amont.
Cette connaissance du client est un véritable atout pour les acteurs de la FinTech dès lors qu’elle permet de cibler au mieux les attentes et la demande des clients (potentiels) et de leur proposer des produits toujours plus personnalisés. Plus encore, ces données ouvrent aux institutions financières la possibilité d’analyser d’une manière plus efficiente les octrois de crédits en se basant sur l’analyse de l’agrégat de données d’une personne qui, prises isolément, ne permettraient pas de pousser l’étude de l’octroi de crédit aussi loin.
Ces données permettant une offre personnalisée pourraient même pousser les géants de l’Internet à élargir leurs services de base : ils pourraient en effet proposer des services financiers en ligne sur la base des données agrégées concernant un utilisateur, comme les recherches qu’il aurait effectuées sur ledit site (ex : Google).
Une réglementation spécifique pour les services de paiement
Aujourd’hui, environ la moitié des FinTechs existantes sont actives dans la chaîne de paiements.
La directive 2015/2366 concernant les services de paiement (DSP2) innove en créant deux nouvelles catégories d’établissements de paiements : les agrégateurs de comptes et les initiateurs de paiements. Elle comporte quelques dispositions spécifiques quant au traitement de données personnelles par ces nouveaux acteurs. Dès le préambule (considérants 89 et 90), la DSP2 rappelle que la fourniture de tels services peut comporter le traitement de données personnelles. Les textes légaux et réglementaires en matière de données personnelles, tant la directive européenne que les dispositions nationales, sont donc applicables aux prestataires de services de paiement. De plus, dès mai 2018, le règlement 2016/679 sur la protection des données à caractère personnel (RGPD) sera d’application directe dans tous les États membres.
Ainsi, la collecte de données personnelles doit être réalisée pour une finalité précise, sur une base juridique claire et en respectant certaines exigences de sécurité. De même que les principes de nécessité, de proportionnalité, de limitation de la finalité et de durée proportionnée de conservation devront être respectés.
C’est l’article 94 de la DSP2 qui impose les règles, permettant aux prestataires de services de paiement de traiter des données personnelles lorsque cela est nécessaire pour la prévention, la recherche et la détection des fraudes en matière de paiement. Le traitement de ces données spécifiques mais aussi celui de toutes autres données personnelles pour d’autres finalités doivent être effectués conformément aux textes législatifs et réglementaires en la matière, et dans l’avenir conformément au RGPD.
De plus, il est expressément prévu que l’accès à des données personnelles ne peut être réalisé que dans une mesure nécessaire à l’exécution du service de paiement et que le traitement et la conservation desdites données nécessitent le consentement explicite de l’utilisateur du service.
Données personnelles ?
La plupart des données traitées par les FinTechs peuvent être qualifiées de données personnelles, et donc assujetties aux textes cités. Une donnée personnelle est une information se rapportant à une personne physique identifiée ou identifiable directement ou indirectement notamment par référence à des données de localisation ou un numéro d’identification (art. 4.1, RGPD). Des données anonymes peuvent devenir des données personnelles si, agrégées massivement par des instruments algorithmiques puissants, il est possible – sur la base du résultat – de déduire l’identité de la personne concernée.
Licéité
Pour être licite, le traitement et la collecte doivent répondre au principe de finalité. Les FinTechs doivent définir les finalités pour lesquelles les données seront utilisées ultérieurement. En effet, tout traitement sortant du cadre strict de ces finalités sera considéré comme illégal. Cependant, un traitement ultérieur s’il est compatible avec la finalité initiale est permis. De même, un traitement incompatible est permis si l’intérêt légitime du responsable du traitement est prépondérant et que ce traitement est motivé par une analyse d’impact (art. 35 et suivant, RGPD).
De plus, les données, leur traitement et leur collecte ne peuvent pas être excessifs au regard de la finalité établie. Or, compte tenu du brassage de données – se comptant par millions – effectué par les FinTechs, cette proportionnalité dans la collecte sera parfois difficile à respecter. L’enjeu du respect du RGPD se trouve notamment dans cette obligation.
Utilisation pour le profilage ?
La tentation est grande lorsque l’on est en possession de données si riches en informations sur les habitudes de consommation de les utiliser à des fins d’analyse ou de prédiction par un traitement automatique des données personnelles. La définition du profilage trouve son siège à l’article 4.4 du RGPD.
Cependant, le profilage est strictement encadré, notamment par le RGPD. Ainsi, il est absolument nécessaire d’avoir obtenu le consentement de la personne concernée à moins que la loi ne le permette dans des conditions très particulières ou que celui-ci soit nécessaire à la conclusion d’un contrat (art. 22, RGPD).
De plus, toute personne a le droit à ce que tout processus décisionnel le concernant ayant des effets juridiques ou similaires l’affectant significativement ne soit pas soumis uniquement à un processus automatisé. De ce fait, le profilage ne devrait pas être uniquement basé sur un traitement automatique de données. Une intervention humaine et une explication détaillée de la décision notamment (principalement dans le cas d’examens de demandes de crédit) seront nécessaires (art. 22.3, RGPD).
Protection des données
Une autre obligation tout aussi importante est l’obligation de sécurisation des données à caractère personnel. Notamment, en cas de sous-traitance, le RGPD (art. 28) prévoit des règles assez strictes notamment quant au niveau de sécurité attendu des prestataires et au droit d’audit du responsable du traitement auprès de son sous-traitant.
De plus, toute une section 2 (art. 32 et suivants, RGPD) est consacrée au niveau de sécurité attendu pour la protection des données personnelles avec notamment une obligation de communication des failles de sécurité entraînant une violation des données.
Pour assurer le respect des données personnelles, le RGPD instaure aussi deux nouveaux principes : celui de la protection par défaut et celui de la protection dès la conception.
Sanctions
La non-conformité à la protection des données personnelles expose au risque d’amendes considérables. La loi Informatique et Libertés (LIL), depuis la Loi pour une république numérique, permet d’imposer des amendes allant jusqu’à 3 millions d’euros en cas de non-conformité à ses dispositions (art. 47, LIL).
Le RGPD (article 83.6) prévoit lui une amende – en cas de non-respect d’une injonction émise par une autorité de contrôle après constatation d’un manquement – pouvant aller jusqu’à 20 millions d’euros ou jusqu’à 4 % du chiffre d’affaires annuel mondial.
Ce durcissement montre une volonté de faire respecter par tous la protection de la vie privée des personnes physiques. Il est donc fort à parier que la conformité (compliance) en matière de données personnelles prendra de plus en plus de place dans le secteur des FinTechs, à côté de la conformité – déjà bien implantée – en matière de KYC.
Au-delà du risque financier, vu l’importance accordée par les personnes à leurs données personnelles, c’est aussi une question de réputation qui sera en jeu pour les acteurs de la FinTech.
