‹ Retour

Le 6 octobre 2021, la CNIL a publié son nouveau livre blanc intitulé « Les moyens de paiement d’aujourd’hui et de demain au défi de la protection des données ».

Aux termes de ce document riche de 92 pages, la CNIL dresse un état des lieux de la situation actuelle et de l’avenir de ces moyens de paiement, dont les acteur de la FINTECH sont venus rebattre les cartes.

Il n’aura échappé à personne que lorsque nous parlons de FINTECH, nous voulons bien évidemment parler des nouveaux opérateurs venant concurrencer les banques traditionnelles, au rang desquels nous trouvons notamment les GAFAM.

Outre les aspects statistiques et l’état des lieu qui est établi, nous retenons plus particulièrement les rappels relatifs à la protection des données de paiement de vos clients, qui pour rappel, sans constituer de données sensibles au sens du RGPD et de la Loi dite « Informatique et Liberté », constituent des données qu’il est nécessaire de gérer avec la plus grande diligence.

Tout d’abord, la CNIL nous rappelle que les opérations de paiement mettent en jeu de la monnaie, fiduciaire, scripturale ou électronique, des moyens de paiement (la technique permettant d’utiliser la monnaie pour réaliser la transaction), des systèmes de paiement (l’infrastructure utilisée par le transfert de fonds depuis l’initiateur pour atteindre son destinataire) et enfin des données de paiement.

Les données de paiement peuvent être définies comme toutes les données collectées et traitées à l’occasion d’une opération de paiement, un champ potentiellement large et dont les liens avec d’autres types de données (historiques d’achat, données de connaissance client) sont de plus en plus forts avec l’essor du paiement en ligne.

La CNIL retient trois grandes catégories :

• Données de paiement proprement dites : entre autres identifiants du moyen de paiement utilisé, montant de la transaction, date et heure du paiement, identité du commerçant, identité du bénéficiaire, IBAN, score de lutte anti-fraude du client… Elles dépendent du moyen de paiement et du système de paiement utilisés et sont traditionnellement historicisées par les acteurs bancaires.

• Données d’achat ou de caisse : entre autres caractéristiques des produits achetés, date et lieu de l’achat, identifiants de la carte de fidélité le cas échéant… Elles sont observées lors de l’acte d’achat et traditionnellement collectées et historicisées par les commerçants (traditionnels ou en ligne).

• Données contextuelles ou comportementales : données de connaissance client, géolocalisation, caractéristiques du terminal utilisé pour un achat en ligne, caractéristiques des produits prospectés en amont de l’achat, temps passé à prospecter… Plus faciles à collecter lors d’un achat en ligne, elles sont aisément accessibles aux grands acteurs du numérique.

Nous pouvons alors définir raisonnablement les données de paiement comme l’ensemble des données personnelles utilisées lors de la délivrance d’un service de paiement pour une personne physique, y compris des données annexes telles que la géolocalisation, des données contextuelles voire, selon le cas de figure, le détail des achats.

Il est à noter que cette définition est celle retenue par le régulateur des paiements britannique alors que la directive sur les services de paiement (DSP2) ne définit pas cette notion. Dans ce Livre blanc, la CNIL se concentre sur les données personnelles associées.

Au-delà de la richesse de ce document produit par la CNIL, que faut-il retenir pour ce qui vous concerne directement ?

La CNIL rappelle tout d’abord le rôle de chacun des acteurs dans le processus ( responsable de traitement ; sous-traitant ; responsables conjoints de traitement).

Le livre blanc accorde également une part importante aux transferts de données hors de l’Union Européenne.

A ce titre, et pour demeurer synthétique, suite à l’arrêt SCHREMS 2 qui a invalidé le Privacy Shield (qui permettait le transfert des données entre l’UE et les opérateurs américains) la CNIL nous indique que pour les exportateurs de données à caractère personnel vers les États-Unis (ou tout autre pays tiers), la poursuite des transferts sur la base des Clauses Contractuelles Types (CCT) dépendra donc des éventuelles mesures techniques et organisationnelles supplémentaires qu’ils pourraient mettre en place (exemple : chiffrement de bout en bout sans détention des clés de chiffrement, traitement fractionné ou multipartite, minimisation des accès…). L’ensemble formé par les mesures supplémentaires et les CCT, après une analyse au cas par cas des circonstances entourant le transfert, devra garantir que la législation du pays vers lequel sont exportées les données ne compromet pas le niveau de protection adéquat que les clauses et ces mesures doivent garantir. À défaut, ils sont tenus de suspendre ou de mettre fin au transfert de données personnelles. Dans le domaine des paiements, l’analyse de la législation sectorielle du pays tiers peut être indispensable pour les acteurs économique.

Par conséquent, cette position européenne renforce la responsabilisation prévue par le RGPD en insistant sur la nécessité pour les responsables de traitement ou sous-traitants de s’assurer de la conformité aux droits fondamentaux tels que protégés au sein de l’Union européenne de la législation des pays vers lesquels ils transfèrent des données et de la garantie effective des droits des personnes. En ce sens, l’arrêt concourt à la souveraineté en matière de données.

Il convient donc, pour garantir le respect des règles imposées par le RGPD de privilégier des opérateurs de l’Union Européenne.

Concrètement vous devez déterminer :

• La finalité des traitements et le statut des acteurs ;

• La base légale de traitement ;

• L’exactitude, la proportionnalité et la minimisation des données ;

• La durée de conservation des données ;

• La sécurité des données ;

• L’information et la transparence à l’égard des clients ;

• La maîtrise des données et l’identification des risques ;

• La protection des données sensibles ;

• Le respect des droits des personnes.

Ne perdons pas de vue que les règles de protection des données visent à protéger les personnes concernées et à garantir leurs droits (droit d’accès ; droit de rectification ; droit à l’oubli ; droit d’opposition ; droit à la limitation du traitement ; droit à la portabilité).

Il ne fait nul doute que dans un avenir proche de nouvelles règles interviendront, la CNIL ayant d’ores et déjà annoncé qu’elle se dirigeait vers d’élaboration d’un code de conduite qui sera contraignant.

Bien évidemment, selon les particularités de chacun, tout peut ne pas être applicable. Je vous invite alors à vous rapprocher de votre délégué à la protection des données (DPO) pour réaliser l’état des lieux de votre structure et en vérifier la conformité.

Source :La CNIL publie un nouveau Livre blanc sur les données et moyens de paiement | CNIL