La protection des données personnelles au sein des FinTechs : un équilibre difficile à trouver

La protection des données personnelles est un sujet essentiel pour les FinTechs car le fondement de leur business model est basé sur l’exploitation de la donnée et l’innovation technologique. Ces deux critères leur imposent notamment d’identifier la donnée personnelle parmi l’ensemble des datas qu’elles collectent selon la définition établie par l’article 4 du Règlement général à la protection des données (RGPD), de les cartographier et de les répertorier dans un registre qui précisera les finalités et les bases légales des traitements issus de cette donnée (article 30 du RGPD).

Entre cadre juridique strict et souple

Ces exigences strictes imposées par le règlement européen semblent venir en contradiction avec la directive de service de paiement 2 (DSP 2) qui a favorisé le développement des FinTechs en imposant aux acteurs bancaires « traditionnels » de partager leurs données via leurs API (Open Banking). En effet, le principe de cet échange de données pose des questions quant à l’articulation entre le texte de la DSP2 et le RGPD : les données collectées à l’origine par la banque « traditionnelle », n’ont pas pour finalités d’être transmises et traitées auprès d’acteurs tiers sans le consentement des personnes intéressées. Dans le même temps, la DSP2 n’autorise pas de manière explicite la possibilité pour les FinTechs d’utiliser les données collectées pour des finalités ultérieures (art. 94, alinéa 2). Ces deux textes traduisent une certaine ambivalence de la part du législateur entre la volonté de favoriser les FinTechs dans leur développement économique tout en leur imposant des règles strictes concernant la protection des données personnelles.

Il n’est pas étonnant de voir des états reproduire cette approche contradictoire dans leur politique intérieure à l’égard de ces acteurs innovants. La Grande Bretagne et plusieurs autres pays (ex : Italie, Espagne) ont mis en place des « sas réglementaires » (sandbox) pour permettre aux FinTechs de pouvoir se développer. La vision française est plus pragmatique (soundbox) : elle vise à adapter la réglementation à la taille et aux risques encourus par les acteurs. L’impact n’est ici pas simplement juridique, il concerne également les aspects économiques : les FinTechs ont tendance à s’installer vers des pays les moins contraignants en terme réglementaire (le Royaume-Uni est leader), ce qui contribuent à favoriser l’innovation et la croissance des pays d’accueil. La politique mise en place par l’État vis-à-vis des FinTechs peut ainsi créer une véritable distorsion de marché. Il est, d’ailleurs, intéressant de noter que depuis le Brexit, les FinTechs anglo-saxonnes ont tendance à s’installer dans les pays européens afin de pouvoir intégrer le marché européen (Gocardless, Checkout [1] ). Nécessité fait loi !

La France au travers de ses autorités de contrôle, l’autorité des marchés financiers (AMF) et l’autorité de contrôle prudentiel et de résolution (ACPR) a développé des initiatives concrètes pour favoriser le développement des FinTechs : le Forum Fintech ou encore le pôle Fintech Innovation [2] permettent d’accompagner ces acteurs dans le choix d’un statut adéquat et dans leur politique de mise en conformité. Dans le cadre de ces hubs d’innovation, il est préférable, pour les FinTechs que les données personnelles qu’elles utilisent ne soient pas des données réelles : elles doivent mettre en place une politique de séparation entre les environnements de tests de recette et de production conformément à l’article 32 du RGPD. Dans la pratique, les FinTechs articulent leurs politiques de mise en conformité entre les réglementations impératives communes et les adaptations législatives, favorisées plus ou moins par les États, résultant de la confrontation aux nouvelles technologies.

Entre réglementation impérative et supplétive

Elles doivent faire preuve d’adaptation dans l’interprétation des différents textes impératifs auxquels elles sont soumises. Ceux-ci peuvent apparaître parfois contradictoires : la notion de données sensibles au sens de l’article 9 du RGPD n’intègre pas la définition de données de paiement sensibles (données susceptibles d'être utilisées pour commettre une fraude) issu de l’article L. 133-4 g) du CMF. La notion du consentement est définie à l’article L. 521-5 du CMF comme le consentement exprès des payeurs pour l’accès, le traitement et la conservation des données personnelles nécessaires à l’exécution des paiements. L’article 4 du RGPD prévoit un consentement libre, spécifique, éclairé et univoque. Quelles définitions retenir ? Ces interrogations nécessitent un suivi de l’interprétation de ces différents textes. Le Comité européen de la protection des données (EDPB), dans ses lignes directrices du 17 juillet 2020, a apporté des précisions sur le sujet du consentement [3] : le consentement explicite en vertu de l’article 94, paragraphe 2 de la DSP2 est une exigence supplémentaire de nature contractuelle différente de celle prévue par le RGPD. Les deux notions sont donc cumulatives et non exclusives l’une de l’autre.

Le cumul des textes législatifs peut être vu ici comme une opportunité pour les FinTechs d’assurer une réelle démarche préventive au sens de l’« accountability » prévue par le RGPD. Les obligations d’audit issues de l’article 3 RTS (Regulatory Technical Standard) ainsi que les réglementations sécuritaires en matière de vérification d’identité prévues à l’article 97 de la DSP2 (exigence d’authentification forte) sont susceptibles de garantir aux personnes concernées une sécurisation de leurs données personnelles. Ces dispositions permettent également de favoriser l’exercice du droit d’accès défini à l’article 15 du RGPD. Le responsable de traitement s’assure, par ces dispositions techniques et réglementaires, de l’identité de la personne qui exerce son droit.

Il est intéressant de noter que l’article L. 521-5 du Code monétaire et financier issu de la DSP2 mentionne que la CNIL est compétente sur les infractions ayant trait aux articles L. 521-5 et L. 521-6 du CMF qui ont trait à la notion de consentement. Il est regrettable que cette posture n’ait pas été étendue aux procédures et sanctions en cas de faille de sécurité. En effet la DSP 2 prévoit un régime particulier pour le traitement des incidents opérationnels majeurs repris dans l’article L. 521-10 CMF avec la notification à l’ACPR et à la Banque de France et des sanctions particulières (3 ans d’emprisonnement et 375 000 euros d'amende – L. 572-5 CMF). Ces règles viennent se cumuler avec les procédures issues du RGPD qui prévoient des dispositions particulières sur les violations de données (art. 33 et 34 du RGPD) et des sanctions (20 millions d’euros ou dans le cas d’une entreprise jusqu’à 4 % du chiffre d’affaires annuel mondial). Un guichet unique sur le sujet avec une procédure et des sanctions harmonisées auraient permis aux FinTechs, en tant que responsable de traitement, de pouvoir mettre en place et mesurer de manière plus précise leurs procédures de gestion des risques.

Entre responsabilité de plein droit et responsabilité partagée

Pour pouvoir répondre à un éventuel « trou de financement » (« equity gap »), les FinTechs développent des partenariats et font souvent l’objet de rachat. Dans le cadre de ces opérations commerciales ou capitalistiques, les données personnelles sont transférées entre les différents intervenants. La détermination du responsable de traitement dans ce cadre est complexe si aucune clause contractuelle n’a été prévue lors de ces opérations. Dans le cadre d’un rachat, l’entreprise cessionnaire peut découvrir des failles dans la politique de données personnelles de l’entreprise cédante. Au regard des sanctions imposées par le RGPD, l’enjeu est de taille ! Des clauses spécifiques sur les sujets tenant à la responsabilité des différents acteurs concernant les droits des personnes concernées et au niveau sécurisation des données personnelles, devront être envisagées dans le cadre de ces opérations financières. En présence de transfert de données hors union européenne, elles devront intégrer également des clauses contractuelles types en vertu de la jurisprudence Schrems 2 [4] .

Le RGPD définit le responsable de traitement selon une conception « centralisée » de la relation avec la personne concernée : « Le responsable de traitement est la personne morale (entreprise, commune, etc.) ou physique qui détermine les finalités et les moyens d’un traitement ». Les supports technologiques sur lesquels les FinTechs élaborent leurs services sont basés sur le principe d’une gestion décentralisée (par exemple la Blockchain). Dans ce cadre, la définition du responsable de traitement tel que défini par le RGPD n’apparaît pas adaptée.

La CNIL est intervenue sur le sujet de la blockchain pour donner des indications dans ses premiers éléments d’analyse [5] . L’autorité indépendante décrit qu’un participant est un responsable du traitement :

– lorsqu’il s’agit d’une personne physique qui traite des données à caractère personnel en lien avec une activité professionnelle ou commerciale ;

– lorsqu’il s’agit d’une personne morale qui inscrit des données personnelles sur une blockchain.

La CNIL fournit l’exemple de la banque qui enregistre des données client sur une blockchain : celle-ci doit être considérée comme responsable du traitement. La même démarche est adoptée sur l’identification des responsabilités issues d’une transaction de monnaie numérique : la CNIL considère que la personne physique qui procède à la vente ou à l’achat de Bitcoins pour son propre compte n’est pas responsable de traitement. Celle-ci peut en revanche être considérée comme responsable de traitement si elle procède à ces transactions dans le cadre d’une activité professionnelle ou commerciale, pour le compte d’autres personnes. On peut noter que, globalement, la CNIL a une démarche positive vis-à-vis de l’utilisation des nouvelles technologies utilisées par les FinTechs pour transférer les données (Blockchain, API) ou pour identifier les personnes (reconnaissance faciale, biométrie, QR Code, etc.). L’autorité indépendante reste toutefois très vigilante quant aux mesures de sécurisation prises et à l’exercice des droits des personnes. La CNIL préconise, dans la mise en place de cette technologie, de respecter une démarche « privacy by design » et d’effectuer une étude d’impact relative à la protection des données (art. 35 du RGPD) pour permettre d’analyser la nécessité et la proportionnalité du dispositif. Elle recommande d’identifier, le cas échéant, les hypothèses pour lesquelles d’autres solutions sembleraient plus adaptées.

Développer une politique de conformité

Les FinTechs, même si elles bénéficient de conditions favorables leur permettant de se développer, doivent mettre en place dès leur conception (by design) leur politique de mise en conformité afin de pouvoir identifier les traitements à risque et anticiper les éventuelles failles de sécurité. Leur agilité doit leur permettre de pouvoir répondre à ces besoins en développant une réelle politique interne de sensibilisation articulée autour du délégué à la protection des données qu’elles auront désignées en amont. Elles ont démontré au cours de la crise sanitaire, leur importance et leur résilience. Il ne fait nul doute que les enjeux futurs autour d’un euro digital vont assurément les positionner à l’avant-garde des problématiques issues des mesures organisationnelles et techniques liées à la protection des données personnelles.