Comme nous l’avons vu, la DSP 2[1] et le RGPD[2] sont complexes et leur compréhension n’est pas aisée ! De surcroît, leurs objectifs ne sont pas les mêmes !
Si ces deux textes peuvent présenter des imperfections, ils posent néanmoins les bases de la réglementation actuelle en matière de service de paiement et de protection des données des personnes physiques.
Le droit à la portabilité : une idée dont la mise en place est difficile
Plus particulièrement, le RGPD traite de la protection des données des personnes physiques à l’égard du traitement des données à caractère personnel et de la libre circulation des données. Il pose un certain nombre de principes en matière de traitement et reconnaît des droits aux personnes concernées par les données à caractère personnel. Les clients ont en particulier un droit d’accès qui s’analyse en un droit de confirmation et d’information, un droit de portabilité (qui permet de transmettre les données à un tiers sans avoir à obtenir l’autorisation du responsable de traitement) et un droit à l’oubli (donc à l’effacement des données).
Ce droit à la portabilité n’est pas sans interpeller. Il conduit en effet à un partage des données par les établissements de crédit avec d’autres prestataires de services bancaires. Ce droit rejoint le partage des données imposé par la DSP 2 dont l’un des objectifs est la mise en place d’un marché unique des services de paiement.
Puisqu’il y a une obligation de transmettre certaines données relatives au paiement[3] et que l’article 44 du RGPD pose le principe général d’autorisation sous conditions des transferts de données vers un pays tiers, il va s’avérer nécessaire de déterminer l’interface de programmation applicative (en anglais, Application Programming Interface – API) sur la base de laquelle un Prestataire de services de paiement gestionnaire de comptes (PSPGC) (une banque ou établissement de crédit) construira son interface dédiée pour permettre d’ici au 14 septembre 2019 une identification et un échange sécurisé de données entre un utilisateur de paiement, un agrégateur (PSIC[4]), un initiateur (PSIP[5]) ou un prestataire de services de paiement émetteur d’instrument de paiement (en anglais, Third Party Provider – TPP) lié à une carte par exemple.
Notons qu’il y a plusieurs initiatives d’API en Europe, STET en France, Berlin Group en Allemagne, open banking au Royaume-Uni.
Or les choses ne sont pas simples, car la transmission de données personnelles relatives à un utilisateur de services de paiement lors de l’intervention d’un TPP doit respecter tout à la fois la DSP 2 et le RGPD. En effet, l’article 94-2 de la DSP 2 relatif à la protection des données a été adopté par le Parlement européen en 2015, alors que le RGPD était encore en cours de discussion.
Cet article stipule que les TPP « n’ont accès à des données à caractère personnel nécessaires à l’exécution de leurs services de paiement, ne les traitent et ne les conservent qu’avec le consentement explicite de l’utilisateur de service de paiement ».
Les intervenants du colloque comme les juristes de la place se sont interrogés sur le fait de savoir si le « consentement explicite » de la DSP 2 doit être rapproché de l’usage de ce terme dans le RGPD ?
La Commission a donné une position informelle devant l’API EG[6] sur le fait que le terme de consentement explicite visé à l’article 94-2 de la DSP 2 ne doit pas être rapproché de l’usage de ce terme dans le RGPD. L’avis de l’ABE du 13 juin 2018[7] sur la mise en œuvre des RTS est venu confirmer cette position.
Une sécurité accrue pour un renforcement de la compétitivité ?
Le RGPD avait identifié que les différences dans le niveau de protection des droits et libertés des personnes physiques, en particulier le droit à la protection des données à caractère personnel à l’égard du traitement des données dans les États membres peuvent empêcher le libre flux de ces données dans l’ensemble de l’Union. Ces différences peuvent dès lors constituer un obstacle à l’exercice des activités économiques au niveau de l’Union, fausser la concurrence et empêcher les autorités de s’acquitter des obligations qui leur incombent en vertu du droit de l’Union.
Comme nous l’a confirmé une grande banque Française lors de notre colloque, « la protection des données personnelles est multidisciplinaire, au cœur de la relation de la banque avec ses clients, car le groupe recueille, stocke et utilise une grande quantité de données personnelles dans le cadre de ses activités quotidiennes »[8].
La protection des données représente donc pour les banques un avantage compétitif qui peut renforcer leur réputation et une opportunité pour développer l’innovation, tout en renforçant la confiance des clients, mais représente aussi un facteur de risque.
On pourra constater que les banques, comme les assureurs d’ailleurs, ont mis en place des équipes dédiées pour gérer le projet RGPD. Ces établissements réglementés ont une culture historique visant à gérer la relation confidentielle avec leurs clients et avaient développé un fort savoir-faire en la matière.
Ces établissements ont très souvent capitalisé sur les structures et les comités déjà en place autour de leurs réseaux de Chief Data Officers, afin de s’assurer du respect concernant la qualité et l’intégrité des données.
Mais il a fallu transformer les organisations pour créer un maillage dans les correspondants gérant les données personnelles qui accompagnent les DPO (Data Protection Officers), avec un DPO groupe pour coordonner leur travail.
Ce travail s’est fait main dans la main avec les équipes de la conformité. Il a fallu également gérer les prestataires/sous-traitants et clarifier les obligations de chacun. Enfin, en sus de la gestion des failles de sécurité, il a fallu notamment former les collaborateurs à tous les niveaux, jusqu’au plus élevé.
On peut penser que la banque qui place ses clients au cœur de sa stratégie a pu tirer d’une contrainte un avantage. La banque peut profiter en effet de son rôle « centralisateur » en se positionnant comme un tiers de confiance vis-à-vis de ses clients. La protection des données est clé dans la relation de confiance entre le client et la banque. En travaillant sur le principe du secret bancaire, la banque a pu de longue date garantir l’intégrité, la qualité et la confidentialité des données qu’elle détient.
Elle a pu ainsi développer de nouveaux applicatifs pour instaurer une plus grande transparence sur la gestion des données et mettre en place de nouvelles chartes de protection des données personnelles. Cela a été également l’occasion de mieux mettre en œuvre le suivi et l’implémentation des données utilisées par les différents métiers. En d’autres termes, les systèmes de reporting et de traçabilité des données ont été revus et améliorés. On est entré dans l’aire du privacy by design[9], où on vient intégrer les principes du RGPD dès la conception d’un projet, d’un service ou de tout outil lié à la manipulation de données personnelles…
si les avantages peuvents’avérer nombreux, les contraintes demeurent…
Il est clair que la nouvelle donne qui s’impose aux traitements des données qu’elles soient de paiement ou autres, nécessite une agilité et une rigueur de premier plan. Les interactions entre les équipes ont été accrues et la coordination doit se faire au quotidien.
Comme nous l’avons vu, la mise en musique de la DSP 2 et du RGPD n’est pas simple ! Mais ce ne sont pas les seuls textes applicables en matière de traitement des données. On citera pèle mêle et de manière non exhaustive : la proposition de Règlement ePrivacy[10] à venir, la directive NIS
[11], le Cloud Act[12]. Ces textes nécessitent donc une mise en perspective qui ne simplifie pas toujours les choses.
Mais c’est surtout l’application de ces nouveaux textes à l’international qui risque de poser question à l’avenir pour les grands groupes internationaux qui sont actifs dans de nombreux pays, en Europe comme hors d’Europe. En effet, il faudra pouvoir déterminer à quel régulateur parler ! La maison mère peut-elle être l’autorité chef de file pour toutes ses entités? Ou y aura-t-il plusieurs autorités chefs de file ? C’est clairement une question qui a été soulevée lors de notre colloque.
La CNIL : la position du régulateur
Le droit de l’Union, réformant le droit de la protection des données à caractère personnel, a imposé aux États membres de repenser les missions des autorités de régulation, largement étendues dans le RGPD, or la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés telle que réformée[13] ne traduit pas toujours un tel élargissement[14].
Madame Sophie Nerbonne, directrice de la conformité de la Commission nationale informatique et libertés (CNIL) qui nous a fait l’honneur de participer au colloque, nous a rappelé que les « données » étaient le pétrole de l’économie numérique… et que celles-ci étaient créatrices de valeur pour l’entreprise. Nous sommes entrés dans la quatrième révolution industrielle, sans forcément s’en être rendu compte[15] !
En sus de son rôle de régulateur des données personnelles, la CNIL accompagne les professionnels dans leur mise en conformité et aide les particuliers à maîtriser leurs données personnelles et exercer leurs droits.
C’est dans cette perspective que la CNIL intervient comme facilitateur de la transition numérique avec pour mission :
– de comprendre les besoins des acteurs professionnels ;
– d’être au service des personnes concernées par les traitements ;
– d’élaborer des outils de régulation agiles ;
– de porter la réglementation au niveau européen ;
– de construire une innovation durable et responsable.
On pourra illustrer la quatrième révolution industrielle avec le domaine de l’automobile : la voiture roule seule, sans l’assistance humaine. Mais ce n’est pas le seul domaine dans lequel l’utilisation de la donnée a bouleversé notre vie. On pourra citer tout aussi bien la médecine, les objets connectés…
La CNIL nous a indiqué qu’elle n’est d’ailleurs pas la seule à intervenir en la matière et qu’on est plutôt entré dans une aire de co-régulation qui se double d’une inter-régulation. On est aussi passé au « droit souple », avec l’idée de pouvoir « rectifier », plutôt que de nécessairement sanctionner.
De nombreuses questions se posent sur le responsable des traitements.
Le responsable d’un traitement de données à caractère personnel est, sauf désignation expresse par les dispositions législatives ou réglementaires relatives à ce traitement, la personne (physique ou morale), l’autorité publique, le service ou l’organisme qui (seul ou conjointement) détermine ses finalités et ses moyens[16].
Comme indiqué, plusieurs personnes peuvent être désignées responsables d’un seul et même traitement de données. Dans ce cas, leur responsabilité est conjointe[17]. Les personnes dont les données font l’objet du traitement géré conjointement doivent se voir communiquer les grandes lignes de l’accord répartissant les obligations de chaque responsable.
Une entreprise peut demander à un sous-traitant la mise en œuvre d’un traitement de données personnelles pour son compte. Le responsable du traitement est toujours rattaché à l’entreprise mais c’est le sous-traitant qui est chargé de réaliser le traitement[18]. C’est toutefois le responsable du traitement initial qui reste le premier à mettre sa crédibilité en jeu. Un sous-traitant ne peut être qualifié de responsable du traitement que dans le cas où il définirait lui-même les finalités et moyens du traitement mis en œuvre.
Enfin, et nous n’y reviendrons pas, le droit à la portabilité pose lui aussi des questions, notamment quant au consentement qu’il convient d’y apporter[19].
Finalement, quelles réflexions en tirer pour l’avenir ?
Le considérant 9 du RGPD avait mis en lumière que « si elle demeure satisfaisante en ce qui concerne ses objectifs et ses principes, la directive 95/46/CE[20] n’a pas permis d’éviter une fragmentation de la mise en œuvre de la protection des données dans l’Union, une insécurité juridique ou le sentiment, largement répandu dans le public, que des risques importants pour la protection des personnes physiques subsistent, en particulier en ce qui concerne l’environnement en ligne ». Le RGPD va-t-il répondre de manière satisfaite à cette préoccupation ?
Le Cloud Act américain ne risque-t-il pas de permettre aux autorités américaines d’obtenir des données stockées par des entreprises américaines en dehors des États-Unis, sans passer par les Traités d’entraide judiciaire ?
Selon l’article 9 du Code civil, auquel font écho la Convention européenne des droits de l’homme (article 8, § 1) et la Charte des droits fondamentaux de l’Union européenne (article 7), « chacun a droit au respect de sa vie privée ». Toute personne a donc le droit de garder confidentielles les informations la concernant, et par conséquent à ce que ces informations ne soient pas communiquées, ce qui implique une interdiction d’accès à ces données, notamment à celles détenues par les établissements de crédit[21]. Et c’est peut-être là que le bât blesse ! En effet, il existe de nombreux cas où nous communiquons des données à caractère personnel en acceptant que la personne à qui on les communique puisse les utiliser, i.e. en renonçant en quelque sorte au respect de notre vie privée et en acceptant que le bénéficiaire en devienne propriétaire… Il est clair qu’il devient alors plus compliqué de reprocher à ce bénéficiaire l’utilisation de « ses » données !
On pourra noter également que la donnée étant parfois « vraiment » publique, son utilisation ne semble pas poser de problème particulier. C’est sans compter le phénomène du Big Data[22]. En effet, les évolutions qui caractérisent le Big Data (et ses algorithmes) sont en partie cachées (notamment au sein des services de renseignement de grands États) et si rapides et potentiellement profondes que peu de prospectivistes se risquent à pronostiquer son devenir à moyen ou long terme. Mais la plupart des observateurs y voient des enjeux majeurs pour l’avenir, tant en termes d’opportunités commerciales que de bouleversements sociopolitiques, avec le risque de voir émerger des systèmes capables de fortement contrôler, surveiller et/ou influencer les individus et groupes…
En conclusion, « le Web est devenu une machine produisant de l’injustice et de la division, influencée par des forces puissantes qui l’utilisent pour imposer leur propre agenda », comme le constatait Sir Tim Berners-Lee, l’un des deux inventeurs du Web. Dévasté par les récents scandales sur la vie privée impliquant les géants du Web, comme Facebook, ce dernier a décidé de diminuer son rôle au sein du World Wide Web Consortium (W3C), l’organisme chargé d’élaborer les standards du Web, pour se consacrer à un nouveau projet. Celui-ci vise à développer une communauté de développeurs autour d’une nouvelle architecture open source, « Solid », qui inverse « le modèle actuel où les utilisateurs donnent leurs données personnelles à des géants du numérique ». L’idée est que chacun garde le contrôle sur ses contacts, ses photos, ses données bancaires, ou sa santé. Chaque individu les conservera dans un ou plusieurs portefeuilles numériques (pods) et choisira de les stocker, soit sur ses terminaux, soit sur le serveur d’un fournisseur, en choisissant à quelles applications il donnera accès… Gageons que cette fois-ci, le service ne sera plus gratuit comme lors de la création du Web ! Mais, comme on dit, « s’il n’y a pas de prix, c’est que c’est vous le prix » !
Ainsi, en matière de « données », rien n’est jamais définitif ! Et tout est toujours surprenant…
[1] Directive (UE) 2015/2366 du Parlement européen et du Conseil, du 25 novembre 2015, concernant les services de paiement dans le marché intérieur.
[2] Règlement (UE) 2016/679 de Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.
[3] Art. L. 133-40 III du Code monétaire et financier pour les données relatives au service d’initiation de paiement et L. 133-41 III du Code monétaire et financier pour le service d’information sur les comptes.
[4] Prestataire de services d’informations sur les comptes.
[5] Prestataire de services d’initiation de paiement.
[6] L’API Evaluation Group (API EG) a été proposé par la Commission pour faire partie du Euro Retail Payments Board (ERPB) Working Group on Payment Initiation Services (PIS), ce qui a été accepté par l’ERPB en novembre 2017 (API EG 002-18 Version A.3 dated 4 September 2018).
[7] Avis de l’ABE (l’Autorité bancaire européenne) sur la mise en œuvre de l’authentification forte et de la communication sécurisée, 13 juin 2018.
[8] Agnès Chatellier-Chamoulaud, Head of Regulatory Digital.
[9] Le privacy by design est né aux États-Unis à la fin des années 1990 suite à l’initiative d’Ann Cavoukian, commissaire à l’information et à la protection de la vie privée de l’État d’Ontario. Elle consistait à imposer que chaque nouvelle technologie destinée à traiter les données personnelles soit conçue de manière à offrir un haut niveau de protection des données.
[10] Proposition de Règlement du Parlement européen et du conseil concernant le respect de la vie privée et la protection des données à caractère personnel dans les communications électroniques COM/2017010 final-2017/03 (COD).
[11] Directive 2016/1148 du Parlement européen et du Conseil du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union.
[12] Adopté le 23 mars 2018, le Clarifying Lawful Overseas Use of Data Act ou Cloud Act, est une loi fédérale des États-Unis amendant la loi Stored Communications Act (SCA) de 1986.
[13] Ordonnance n° 2018-1125 du 12 décembre 2018 prise en application de l’article 32 de la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles et portant modification de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés et diverses dispositions concernant la protection des données à caractère personnel.
[14] Nathalie Martial-Braz, « Droit de la protection des données à caractère personnel issu de l’ordonnance n° 2018-1125 du 12 décembre 2018 », La Semaine du Droit – Édition générale, n° 1-2, 14 janvier 2019.
[15] La première révolution industrielle est liée à l’utilisation de la machine à vapeur, la deuxième est liée à l’utilisation du pétrole et de l’électricité, la troisième est liée au développement de l’informatique.
[16] Voir Art. 1 du RGPD.
[17] L’article 26 du RGPD souligne qu’il leur incombe de définir leurs obligations respectives par un accord conclu entre eux.
[18] Dans un tel cas, l’article 28 du RGPD indique qu’un contrat doit nécessairement régir le traitement effectué par un sous-traitant.
[19] Aurélie Banck, « Données personnelles : articulation de la DSP 2 sur les services de Paiement et du RGPD sur la protection des données – Acte II : suite et fin ? », RDBF n° 6, novembre-décembre 2018.
[20] Directive relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.
[21] Thierry Bonneau, « L’accès aux données bancaires au regard du respect à la vie privée », RDBF n° 6, novembre-décembre 2018, précitée.
[22] Il n’y a pas de définition officielle, mais on peut traduire Big Data par « mégadonnées », qui désigne des ensembles de données très volumineuses qui dépassent l’intuition et les capacités humaines d’analyse et même celles des outils informatiques classiques de gestion de base de données ou de l’information.
