La protection des données personnelles au sein des FinTechs : un équilibre difficile à trouver

La protection des donn&eacute;es personnelles est un sujet essentiel pour les FinTechs car le fondement de leur business model est bas&eacute; sur l&rsquo;exploitation de la donn&eacute;e et l&rsquo;innovation technologique. Ces deux crit&egrave;res leur imposent notamment d&rsquo;identifier la donn&eacute;e personnelle parmi l&rsquo;ensemble des datas qu&rsquo;elles collectent selon la d&eacute;finition &eacute;tablie par l&rsquo;article 4 du R&egrave;glement g&eacute;n&eacute;ral &agrave; la protection des donn&eacute;es (RGPD), de les cartographier et de les r&eacute;pertorier dans un registre qui pr&eacute;cisera les finalit&eacute;s et les bases l&eacute;gales des traitements issus de cette donn&eacute;e (article 30 du RGPD). Entre cadre juridique strict et souple Ces exigences strictes impos&eacute;es par le r&egrave;glement europ&eacute;en semblent venir en contradiction avec la directive de service de paiement 2 (DSP 2) qui a favoris&eacute; le d&eacute;veloppement des FinTechs en imposant aux acteurs bancaires &laquo; traditionnels &raquo; de partager leurs donn&eacute;es via leurs API (Open Banking). En effet, le principe de cet &eacute;change de donn&eacute;es pose des questions quant &agrave; l&rsquo;articulation entre le texte de la DSP2 et le RGPD : les donn&eacute;es collect&eacute;es &agrave; l&rsquo;origine par la banque &laquo; traditionnelle &raquo;, n&rsquo;ont pas pour finalit&eacute;s d&rsquo;&ecirc;tre transmises et trait&eacute;es aupr&egrave;s d&rsquo;acteurs tiers sans le consentement des personnes int&eacute;ress&eacute;es. Dans le m&ecirc;me temps, la DSP2 n&rsquo;autorise pas de mani&egrave;re explicite la possibilit&eacute; pour les FinTechs d&rsquo;utiliser les donn&eacute;es collect&eacute;es pour des finalit&eacute;s ult&eacute;rieures (art. 94, alin&eacute;a 2). Ces deux textes traduisent une certaine ambivalence de la part du l&eacute;gislateur entre la volont&eacute; de favoriser les FinTechs dans leur d&eacute;veloppement &eacute;conomique tout en leur imposant des r&egrave;gles strictes concernant la protection des donn&eacute;es personnelles. Il n&rsquo;est pas &eacute;tonnant de voir des &eacute;tats reproduire cette approche contradictoire dans leur politique int&eacute;rieure &agrave; l&rsquo;&eacute;gard de ces acteurs innovants. La Grande Bretagne et plusieurs autres pays (ex : Italie, Espagne) ont mis en place des &laquo; sas r&eacute;glementaires &raquo; (sandbox) pour permettre aux FinTechs de pouvoir se d&eacute;velopper. La vision fran&ccedil;aise est plus pragmatique (soundbox) : elle vise &agrave; adapter la r&eacute;glementation &agrave; la taille et aux risques encourus par les acteurs. L&rsquo;impact n&rsquo;est ici pas simplement juridique, il concerne &eacute;galement les aspects &eacute;conomiques : les FinTechs ont tendance &agrave; s&rsquo;installer vers des pays les moins contraignants en terme r&eacute;glementaire (le Royaume-Uni est leader), ce qui contribuent &agrave; favoriser l&rsquo;innovation et la croissance des pays d&rsquo;accueil. La politique mise en place par l&rsquo;&Eacute;tat vis-&agrave;-vis des FinTechs peut ainsi cr&eacute;er une v&eacute;ritable distorsion de march&eacute;. Il est, d&rsquo;ailleurs, int&eacute;ressant de noter que depuis le Brexit, les FinTechs anglo-saxonnes ont tendance &agrave; s&rsquo;installer dans les pays europ&eacute;ens afin de pouvoir int&eacute;grer le march&eacute; europ&eacute;en (Gocardless, Checkout [1] ). N&eacute;cessit&eacute; fait loi ! La France au travers de ses autorit&eacute;s de contr&ocirc;le, l&rsquo;autorit&eacute; des march&eacute;s financiers (AMF) et l&rsquo;autorit&eacute; de contr&ocirc;le prudentiel et de r&eacute;solution (ACPR) a d&eacute;velopp&eacute; des initiatives concr&egrave;tes pour favoriser le d&eacute;veloppement des FinTechs : le Forum Fintech ou encore le p&ocirc;le Fintech Innovation [2] permettent d&rsquo;accompagner ces acteurs dans le choix d&rsquo;un statut ad&eacute;quat et dans leur politique de mise en conformit&eacute;. Dans le cadre de ces hubs d&rsquo;innovation, il est pr&eacute;f&eacute;rable, pour les FinTechs que les donn&eacute;es personnelles qu&rsquo;elles utilisent ne soient pas des donn&eacute;es r&eacute;elles : elles doivent mettre en place&thinsp;une politique de s&eacute;paration entre les environnements de tests de recette et de production conform&eacute;ment &agrave; l&rsquo;article 32 du RGPD. Dans la pratique, les FinTechs articulent leurs politiques de mise en conformit&eacute; entre les r&eacute;glementations imp&eacute;ratives communes et les adaptations l&eacute;gislatives, favoris&eacute;es plus ou moins par les &Eacute;tats, r&eacute;sultant de la confrontation aux nouvelles technologies. Entre r&eacute;glementation imp&eacute;rative et suppl&eacute;tive Elles doivent faire preuve d&rsquo;adaptation dans l&rsquo;interpr&eacute;tation des diff&eacute;rents textes imp&eacute;ratifs auxquels elles sont soumises. Ceux-ci peuvent appara&icirc;tre parfois contradictoires : la notion de donn&eacute;es sensibles au sens de l&rsquo;article 9 du RGPD n&rsquo;int&egrave;gre pas la d&eacute;finition de donn&eacute;es de paiement sensibles (donn&eacute;es susceptibles d'&ecirc;tre utilis&eacute;es pour commettre une fraude) issu de l&rsquo;article L. 133-4 g) du CMF. La notion du consentement est d&eacute;finie &agrave; l&rsquo;article L. 521-5 du CMF comme le consentement expr&egrave;s des payeurs pour l&rsquo;acc&egrave;s, le traitement et la conservation des donn&eacute;es personnelles n&eacute;cessaires &agrave; l&rsquo;ex&eacute;cution des paiements. L&rsquo;article 4 du RGPD pr&eacute;voit un consentement libre, sp&eacute;cifique, &eacute;clair&eacute; et univoque. Quelles d&eacute;finitions retenir ? Ces interrogations n&eacute;cessitent un suivi de l&rsquo;interpr&eacute;tation de ces diff&eacute;rents textes. Le Comit&eacute; europ&eacute;en de la protection des donn&eacute;es (EDPB), dans ses lignes directrices du 17 juillet 2020, a apport&eacute; des pr&eacute;cisions sur le sujet du consentement [3] : le consentement explicite en vertu de l&rsquo;article 94, paragraphe 2 de la DSP2 est une exigence suppl&eacute;mentaire de nature contractuelle diff&eacute;rente de celle pr&eacute;vue par le RGPD. Les deux notions sont donc cumulatives et non exclusives l&rsquo;une de l&rsquo;autre. Le cumul des textes l&eacute;gislatifs peut &ecirc;tre vu ici comme une opportunit&eacute; pour les FinTechs d&rsquo;assurer une r&eacute;elle d&eacute;marche pr&eacute;ventive au sens de l&rsquo;&laquo; accountability &raquo; pr&eacute;vue par le RGPD. Les obligations d&rsquo;audit issues de l&rsquo;article 3 RTS (Regulatory Technical Standard) ainsi que les r&eacute;glementations s&eacute;curitaires en mati&egrave;re de v&eacute;rification d&rsquo;identit&eacute; pr&eacute;vues &agrave; l&rsquo;article 97 de la DSP2 (exigence d&rsquo;authentification forte) sont susceptibles de garantir aux personnes concern&eacute;es une s&eacute;curisation de leurs donn&eacute;es personnelles. Ces dispositions permettent &eacute;galement de favoriser l&rsquo;exercice du droit d&rsquo;acc&egrave;s d&eacute;fini &agrave; l&rsquo;article 15 du RGPD. Le responsable de traitement s&rsquo;assure, par ces dispositions techniques et r&eacute;glementaires, de l&rsquo;identit&eacute; de la personne qui exerce son droit. Il est int&eacute;ressant de noter que l&rsquo;article L. 521-5 du Code mon&eacute;taire et financier issu de la DSP2 mentionne que la CNIL est comp&eacute;tente sur les infractions ayant trait aux articles L. 521-5 et L. 521-6 du CMF qui ont trait &agrave; la notion de consentement. Il est regrettable que cette posture n&rsquo;ait pas &eacute;t&eacute; &eacute;tendue aux proc&eacute;dures et sanctions en cas de faille de s&eacute;curit&eacute;. En effet la DSP 2 pr&eacute;voit un r&eacute;gime particulier pour le traitement des incidents op&eacute;rationnels majeurs repris dans l&rsquo;article L. 521-10 CMF avec la notification &agrave; l&rsquo;ACPR et &agrave; la Banque de France et des sanctions particuli&egrave;res (3 ans d&rsquo;emprisonnement et 375 000 euros d'amende &ndash; L. 572-5 CMF). Ces r&egrave;gles viennent se cumuler avec les proc&eacute;dures issues du RGPD qui pr&eacute;voient des dispositions particuli&egrave;res sur les violations de donn&eacute;es (art. 33 et 34 du RGPD) et des sanctions (20 millions d&rsquo;euros ou dans le cas d&rsquo;une entreprise jusqu&rsquo;&agrave; 4 % du chiffre d&rsquo;affaires annuel mondial). Un guichet unique sur le sujet avec une proc&eacute;dure et des sanctions harmonis&eacute;es auraient permis aux FinTechs, en tant que responsable de traitement, de pouvoir mettre en place et mesurer de mani&egrave;re plus pr&eacute;cise leurs proc&eacute;dures de gestion des risques. Entre responsabilit&eacute; de plein droit et responsabilit&eacute; partag&eacute;e Pour pouvoir r&eacute;pondre &agrave; un &eacute;ventuel &laquo; trou de financement &raquo; (&laquo; equity gap &raquo;), les FinTechs d&eacute;veloppent des partenariats et font souvent l&rsquo;objet de rachat. Dans le cadre de ces op&eacute;rations commerciales ou capitalistiques, les donn&eacute;es personnelles sont transf&eacute;r&eacute;es entre les diff&eacute;rents intervenants. La d&eacute;termination du responsable de traitement dans ce cadre est complexe si aucune clause contractuelle n&rsquo;a &eacute;t&eacute; pr&eacute;vue lors de ces op&eacute;rations. Dans le cadre d&rsquo;un rachat, l&rsquo;entreprise cessionnaire peut d&eacute;couvrir des failles dans la politique de donn&eacute;es personnelles de l&rsquo;entreprise c&eacute;dante. Au regard des sanctions impos&eacute;es par le RGPD, l&rsquo;enjeu est de taille ! Des clauses sp&eacute;cifiques sur les sujets tenant &agrave; la responsabilit&eacute; des diff&eacute;rents acteurs concernant les droits des personnes concern&eacute;es et au niveau s&eacute;curisation des donn&eacute;es personnelles, devront &ecirc;tre envisag&eacute;es dans le cadre de ces op&eacute;rations financi&egrave;res. En pr&eacute;sence de transfert de donn&eacute;es hors union europ&eacute;enne, elles devront int&eacute;grer &eacute;galement des clauses contractuelles types en vertu de la jurisprudence Schrems 2 [4] . Le RGPD d&eacute;finit le responsable de traitement selon une conception &laquo; centralis&eacute;e &raquo; de la relation avec la personne concern&eacute;e : &laquo; Le responsable de traitement est la personne morale (entreprise, commune, etc.) ou physique qui d&eacute;termine les finalit&eacute;s et les moyens d&rsquo;un traitement &raquo;. Les supports technologiques sur lesquels les FinTechs &eacute;laborent leurs services sont bas&eacute;s sur le principe d&rsquo;une gestion d&eacute;centralis&eacute;e (par exemple la Blockchain). Dans ce cadre, la d&eacute;finition du responsable de traitement tel que d&eacute;fini par le RGPD n&rsquo;appara&icirc;t pas adapt&eacute;e. La CNIL est intervenue sur le sujet de la blockchain pour donner des indications dans ses premiers &eacute;l&eacute;ments d&rsquo;analyse [5] . L&rsquo;autorit&eacute; ind&eacute;pendante d&eacute;crit qu&rsquo;un participant est un responsable du traitement : &ndash; lorsqu&rsquo;il s&rsquo;agit d&rsquo;une personne physique qui traite des donn&eacute;es &agrave; caract&egrave;re personnel en lien avec une activit&eacute; professionnelle ou commerciale ; &ndash; lorsqu&rsquo;il s&rsquo;agit d&rsquo;une personne morale qui inscrit des donn&eacute;es personnelles sur une blockchain. La CNIL fournit l&rsquo;exemple de la banque qui enregistre des donn&eacute;es client sur une blockchain : celle-ci doit &ecirc;tre consid&eacute;r&eacute;e comme responsable du traitement. La m&ecirc;me d&eacute;marche est adopt&eacute;e sur l&rsquo;identification des responsabilit&eacute;s issues d&rsquo;une transaction de monnaie num&eacute;rique : la CNIL consid&egrave;re que la personne physique qui proc&egrave;de &agrave; la vente ou &agrave; l&rsquo;achat de Bitcoins pour son propre compte n&rsquo;est pas responsable de traitement. Celle-ci peut en revanche &ecirc;tre consid&eacute;r&eacute;e comme responsable de traitement si elle proc&egrave;de &agrave; ces transactions dans le cadre d&rsquo;une activit&eacute; professionnelle ou commerciale, pour le compte d&rsquo;autres personnes. On peut noter que, globalement, la CNIL a une d&eacute;marche positive vis-&agrave;-vis de l&rsquo;utilisation des nouvelles technologies utilis&eacute;es par les FinTechs pour transf&eacute;rer les donn&eacute;es (Blockchain, API) ou pour identifier les personnes (reconnaissance faciale, biom&eacute;trie, QR Code, etc.). L&rsquo;autorit&eacute; ind&eacute;pendante reste toutefois tr&egrave;s vigilante quant aux mesures de s&eacute;curisation prises et &agrave; l&rsquo;exercice des droits des personnes. La CNIL pr&eacute;conise, dans la mise en place de cette technologie, de respecter une d&eacute;marche &laquo;&thinsp;privacy by design&thinsp;&raquo; et d&rsquo;effectuer une &eacute;tude d&rsquo;impact relative &agrave; la protection des donn&eacute;es (art. 35 du RGPD) pour permettre d&rsquo;analyser la n&eacute;cessit&eacute; et la proportionnalit&eacute; du dispositif. Elle recommande d&rsquo;identifier, le cas &eacute;ch&eacute;ant, les hypoth&egrave;ses pour lesquelles d&rsquo;autres solutions sembleraient plus adapt&eacute;es. D&eacute;velopper une politique de conformit&eacute; Les FinTechs, m&ecirc;me si elles b&eacute;n&eacute;ficient de conditions favorables leur permettant de se d&eacute;velopper, doivent mettre en place d&egrave;s leur conception (by design) leur politique de mise en conformit&eacute; afin de pouvoir identifier les traitements &agrave; risque et anticiper les &eacute;ventuelles failles de s&eacute;curit&eacute;. Leur agilit&eacute; doit leur permettre de pouvoir r&eacute;pondre &agrave; ces besoins en d&eacute;veloppant une r&eacute;elle politique interne de sensibilisation articul&eacute;e autour du d&eacute;l&eacute;gu&eacute; &agrave; la protection des donn&eacute;es qu&rsquo;elles auront d&eacute;sign&eacute;es en amont. Elles ont d&eacute;montr&eacute; au cours de la crise sanitaire, leur importance et leur r&eacute;silience. Il ne fait nul doute que les enjeux futurs autour d&rsquo;un euro digital vont assur&eacute;ment les positionner &agrave; l&rsquo;avant-garde des probl&eacute;matiques issues des mesures organisationnelles et techniques li&eacute;es &agrave; la protection des donn&eacute;es personnelles. 1 https://www.agefi.fr/tech-finance/actualites/quotidien/20210330/paris-fait-yeux-doux-aux-fintechs-britanniques-318280. 2 https://acpr.banque-france.fr/autoriser/fintech-et-innovation/le-pole-fintech-et-innovation. 3 https://edpb.europa.eu/our-work-tools/our-documents/publication-type/guidelines_fr. 4 Dans le cadre de l&rsquo;arr&ecirc;t Schrems II, la Cour de justice de l&rsquo;Union europ&eacute;enne a invalid&eacute; le bouclier de protection des donn&eacute;es dit Privacy Shield comme fondement au transfert de donn&eacute;es personnelles de l'Espace &eacute;conomique europ&eacute;en vers les &Eacute;tats-Unis d'Am&eacute;rique, mais consid&egrave;re comme valides, d&rsquo;autre part, les clauses contractuelles types de la Commission europ&eacute;enne. 5 https://www.cnil.fr/sites/default/files/atoms/files/la_blockchain.pdf.

RECHERCHEZ UN ARTICLE, UNE CHRONIQUE, PARMI L'ENSEMBLE DES PUBLICATIONS

RECHERCHEZ UN AUTEUR

Archive

Conformité

La protection des données personnelles au sein des FinTechs : un équilibre difficile à trouver

À retrouver dans la revue

Banque de détail

[Web Only] Tarifs bancaires : les banques amortissent l’inflation

Blockchain/Cryptoactifs

Les garanties bancaires
sont d’excellents cas d’usage

Banque de financement et d'investissement (BFI)

« Paris est le centre de gravité
pour tous les instruments financiers traités en euros »

Paiements

Le droit de la responsabilité civile appliqué à des virements frauduleux en devises

Archive

Panorama réglementaire des actifs numériques

Archive

Sberbank : une valeur anéantie à zéro en fonds de portefeuille

Archive

La transformation repose sur des directions responsables et des équipes pluridisciplinaires

Suivez-nous

RECHERCHEZ UN ARTICLE, UNE CHRONIQUE, PARMI L'ENSEMBLE DES PUBLICATIONS

RECHERCHEZ UN AUTEUR

Conformité

La protection des données personnelles au sein des FinTechs : un équilibre difficile à trouver

À retrouver dans la revue

[Web Only] Tarifs bancaires : les banques amortissent l’inflation

Les garanties bancaires sont d’excellents cas d’usage

« Paris est le centre de gravité pour tous les instruments financiers traités en euros »

Le droit de la responsabilité civile appliqué à des virements frauduleux en devises

Panorama réglementaire des actifs numériques

Sberbank : une valeur anéantie à zéro en fonds de portefeuille

La transformation repose sur des directions responsables et des équipes pluridisciplinaires

Les garanties bancaires
sont d’excellents cas d’usage

« Paris est le centre de gravité
pour tous les instruments financiers traités en euros »