Face à l’importance croissante prise par les entreprises non européennes dans le secteur des paiements[1], les autorités européennes et françaises ont engagé des réflexions sur l’indépendance européenne en la matière. Il s’agirait à la fois de reconquérir une souveraineté perdue, dont le rachat de Visa Europe par Visa Inc. semble avoir été le point d’orgue, et de mieux protéger les données personnelles des ressortissants de l’Union. La principale piste envisagée est la mise en place d’une obligation de localisation des données de paiement dans l’Union.
Tel est l’objet du rapport rédigé par deux inspecteurs des Mines, M. Rémi Steiner et Mme Sandrine Lemery, qui a été remis au ministre de l’Économie et des finances en février 2020[2]. La ligne de route était claire : se prononcer sur la faisabilité, les conséquences et les limites d’une obligation de localisation des données de paiement de détail sur le territoire européen qui serait imposée aux acteurs du paiement, établissements financiers, commerçants et à leurs sous-traitants[3].
Sur le plan méthodologique, le rapport (qui représente non moins qu’une centaine de pages) se caractérise par un fort ancrage dans la pratique, puisqu’il s’est appuyé sur une large consultation des parties prenantes. Une fois les pistes de recommandations formulées, un questionnaire a été soumis à des professionnels de tous bords (régulateurs et organismes de place, industrie des paiements bien sûr, mais aussi commerçants et consultants)[4], permettant aux rapporteurs de faire état des objections et assentiments des intéressés.
Si les données « critiques » de paiement[5] étaient au centre de la requête du Ministre, les auteurs du rapport jugent que l’attention doit porter sur l’ensemble des données de paiement[6]. Si toutes celles qui ont trait aux transactions de paiement soulèvent des enjeux de souveraineté, ne pourraient faire l’objet d’une obligation de localisation que celles sont l’émetteur [7] et le bénéficiaire sont localisés en Europe (entendu comme l’EEE). Les exemples étrangers existent (Inde, Indonésie, Turquie…). On ne s’étonnera pas que les grands schemes internationaux (Visa et Mastercard) aient avancé plusieurs objections à cette proposition. Mais ils n’ont pas convaincu les auteurs du rapport qui ont formulé une conclusion déterminante, en faveur d’une obligation de localisation stricte, incluant une interdiction de transfert des données hors des frontières européennes, applicables à l’ensemble des acteurs économiques, qu’ils soient ou non régulés.
Cette obligation aurait évidemment des conséquences techniques importantes pour tout l’écosystème des acteurs du paiement, mais elle impliquerait aussi de gros chantiers sur le terrain juridique. On sait que les données de paiement n’ont pas fait l’objet d’un traitement spécifique dans le RGPD[8]. Ceci avait été relevé à l’heure du projet[9]. L’institution d’une obligation de localisation remédierait à cette lacune : elle reposerait, comme en matière de données personnelles, sur la responsabilité des acteurs et entrerait dans le champ de la mission du délégué à la protection des données des entreprises concernées, quand il a été désigné. Ceci faciliterait le contrôle et la sanction de manquements aux règles de protection des données personnelles[10].
La consécration d’une obligation de localiser les données de paiement en Europe (avec son pendant, l’interdiction des transferts) présenterait en outre d’autres avantages, en permettant, en cas de fraude, l’action des représentants de l’ordre (réquisition judiciaire…) et, en matière de lutte contre le blanchiment des capitaux et de financement du terrorisme, celle des cellules de renseignements financiers. Elle permettrait aussi de tenir à distance les autorités étrangères qui voudraient collecter des données de paiement en dehors du cadre des traités d’assistance mutuelle. On pense notamment aux autorités américaines, même si depuis l’adoption du Cloud Act, l’absence de procédure de transfert suffit dans certains cas à gêner la communication de données aux autorités étrangères[11].
L’obligation de localiser des données de paiement en Europe supposerait des aménagements de plusieurs autres textes, tel que le règlement CMI (dit aussi IFR pour Interchange Fees Regulation)[12], la DSP 2[13] et son règlement délégué qui précise les exigences en matière d’authentification forte[14].
Cette proposition est porteuse de nombreux enjeux sur les plans politique et opérationnel. Si elle devait retenir l’attention des autorités européennes, la France pourrait se targuer d’avoir fortement contribué à construire une souveraineté en matière de paiements. Et, pour les juristes et les métiers de la conformité, elle serait synonyme de nouveaux chantiers colossaux en matière de paiements.
Données de paiement – Données personnelles – RDPD – Schemes de carte – DSP 2 – Obligation de localisation – Interdiction de transfert.
[1] Il suffit de songer aux schemes de carte Visa et Mastercard.
[2] R. Steiner et S. Lemery, Rapport sur la « Mise en œuvre d’une politique de localisation des données critiques de paiement en Europe » remise au ministre de l’Économie et des Finances, févr. 2020 (100 pages)
[3] Sur la lettre de mission donnée par le Ministre, annexe 1 du rapport.
[4] Liste des personnes consultées en annexe 3 du rapport.
[5] Ces données critiques étaient d’après la lettre de mission : les données sensibles susceptibles de nourrir des fraudes (ex : les données personnalisées d’authentification) et certaines données liées au contexte de la transaction (
[6] Le rapport (pp. 22-23) englobe dans cette notion « l’ensemble des données attachées à une transaction de paiement, dès lors que ces données demeurent liées directement ou indirectement à une personne physique, par l’intermédiaire d’un identifiant de compte, de carte ou de tout autre instrument de paiement, que cet identifiant figure en clair ou qu’il soit masqué par un pseudonyme ». Il précise qu’« elles peuvent par exemple comporter les coordonnées du commerçant, un horodatage, la géolocalisation, l’adresse IP du consommateur, éventuellement le détail des achats... » et ajoute qu’elles constituent des données à caractère personnel au sens du RGPD.
[7] Le rapport indique bien l’émetteur et non le payeur (rapport p. 23).
[8] Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.
[9] J. Morel-Maroger, M. Roussille et P. Storrer, « Données personnelles en matière bancaire », in La Proposition de règlement européen relatif aux données à caractère personnel : propositions du réseau Trans Europe Experts, N. Martial Braz, M. Béhar-Touchais, J. Rochfeld et C. Zolynski (dir.), éd. Société de législation comparée, coll. « Trans Europe Experts », juill. 2014.
[10] La violation des règles de localisation des données de paiement serait ainsi être passible, comme la violation des dispositions du RGPD, d’amendes administratives pouvant atteindre 20 000 000 euros ou 4 % du chiffre d’affaires annuel mondial.
[11] Sur le sujet : E. Jouffin et M. Abadie, « Extraterritorialité, sécurité nationale et libertés individuelles », Banque & Droit n° 182, nov.-déc. 2018, p. 4 ; B. Eggrickx et E. Jouffin, « Cloud Act : nouvelle manifestation de l’extraterritorialité des textes US et réponse européenne », hors-série Banque & Droit n° 1-2019, p. 22 ; E. Jouffin, « Cloud Act – Accord bilatéral USA-UK : les Anglais ont tiré les premiers », Banque & Droit n° 189, janv.-févr. 2020, p. 4.
[12] Règlement 2015/751 du 29 avril 2015 relatif aux commissions d’interchange pour les opérations de paiement liées à une carte.
[13] Directive 2015/2366 du 25 novembre 2015 concernant les services de paiement dans le marché intérieur
[14] Règlement délégué 2018/389 du 27 novembre 2017 complétant la directive 2015/2366 par des normes techniques de réglementation relatives à l’authentification forte du client et à des normes ouvertes communes et sécurisées de communication
