Mi-septembre 2021, la CNIL présentait son nouveau livre blanc portant sur les données de paiement, intitulé “Quand la confiance paie : les moyens de paiement d’aujourd’hui et de demain au défi de la protection des données”. Il est clair que l’univers des moyens de paiement subit aujourd’hui des transformations profondes, liées aux évolutions technologiques qui entraînent des nouveaux usages. Le paiement et les opérations qui y sont associés représentent à la fois une thématique complexe, mais aussi chargée d’enjeux de protection des données : une combinaison qui a poussé la CNIL à publier ce livre blanc, dont l’objectif est à la fois d’éclaircir les termes du débat pour les particuliers comme les professionnels, et de mettre en avant des recommandations visant à mieux encadrer les données de paiement au sein de cet écosystème.
L’objectif de cette tribune est de retracer les principales questions abordées par la CNIL dans son livre blanc, de souligner les points d’attention, mais aussi d’analyser l’approche choisie par l’autorité de contrôle sur cette thématique au caractère géostratégique prononcé.
>> Définitions et tendances
Dans le cadre d’une thématique aussi complexe que celle des opérations de paiement, le premier travail est un travail de définition. A quoi correspondent, finalement, ces fameuses données de paiement ?
La CNIL en donne une définition très large. Il s’agit, selon l’autorité, de “l’ensemble des données personnelles utilisées lors de la délivrance d’un service de paiement pour une personne physique” (page 10). Une telle définition est précisée par la division des données de paiement en trois grandes catégories :
- Les données de paiement proprement dites : identifiants du moyen de paiement, montant, date et heure de la transaction, identité du bénéficiaire…
- Les données d’achat : caractéristiques des produits achetés, date et lieu d’achat…
- Les données contextuelles : géolocalisation, type de terminal utilisé, autres produits inspectés en amont de l’achat, temps passé à prospecter…
Le développement rapide du commerce électronique, la dématérialisation des opérations de paiement ainsi que l’avènement de l’open banking permettent une accumulation exponentielle de telles données (notamment contextuelles). Celles-ci sont mobilisées par un nombre croissant d’intermédiaires (e-PSP tels que Stripe, Adyen, Ingenico…) ou par les géants du numérique dans le cadre de leurs offres de paiement (Google Pay, Facebook Pay…). L’explosion des données de paiement est d’autant plus forte qu’elles sont désormais souvent au cœur du modèle économique des acteurs que nous venons de mentionner, dont le revenu est, au moins en partie, tiré de l’exploitation et de la valorisation des données de paiement.
En définitive, les enjeux en termes de protection des données personnelles dans le monde du paiement revêtent une importance qui est aujourd’hui indéniable. Cela est d’autant plus évident que les données de paiement peuvent être combinées pour tirer des conclusions extrêmement précises sur la vie des individus, voire sur des tiers. Elles pourraient également être qualifiées comme données hautement personnelles au sens du CEPD, puisqu’elles sont susceptibles de révéler une géolocalisation, ou d’être utilisées pour commettre des fraudes. C’est au vu de ces différents éléments que la CNIL aborde la question de la régulation des données de paiement, ainsi que les principaux points de vigilance réglementaires qu’il convient de souligner.
>> Points de vigilance réglementaires
La CNIL débute par un rappel pouvant paraître évident, mais qui reste néanmoins essentiel : l’écosystème propre aux moyens de paiement et la pluralité des acteurs qui le composent réalise des opérations sur des données à caractère personnel, et doivent donc à ce titre respecter les différentes obligations présentes dans le RGPD.
Encore faut-il, pour cela, que ces acteurs définissent correctement la qualité juridique qui leur incombe dans le cadre de leurs traitements. Le livre blanc s’attache à rappeler brièvement les trois qualités juridiques possibles : responsable de traitement, sous-traitant, responsables conjoints. Il est souligné que, dans l’univers du paiement, les acteurs seront finalement assez rarement responsable de traitement : “En effet, en dehors des paiements en espèces, il est quasiment impossible qu’une seule partie traite les données de paiement, dès lors que le bénéficiaire du paiement dispose lui-même d’un gestionnaire de compte généralement différent du gestionnaire du compte de paiement utilisé par le payeur, et se trouve également susceptible de recourir à plusieurs intermédiaires […].”. Ainsi, une part importante des acteurs de l’écosystème du paiement devront se définir comme sous-traitants, ou responsables conjoints, et respecter les obligations spécifiques associées à ces qualités (notamment, et cette obligation revêt une importance critique en termes de paiement, l’interdiction pour les sous-traitants de traiter les données en dehors des instructions de leur client, pour leur propre compte).
Quelle que soit la qualité retenue, un autre principe au cœur du RGPD et particulièrement important s’agissant des données de paiement, est celui de la minimisation des données. Chaque traitement de données doit répondre à une finalité précise, et ne mobiliser que les données strictement nécessaires à la réalisation de ladite finalité. S’agissant de l’action de paiement, la finalité principale se limite à la réalisation du paiement. Dans ce cadre, la CNIL considère que s’agissant des paiements à distance par carte bancaire, le numéro de carte de paiement, la date d’expiration et le cryptogramme visuel sont les seules données strictement nécessaires à la réalisation du paiement. Ainsi, l’enrichissement de données de paiement avec des données contextuelles ou leur recoupement avec d’autres catégories de données (par exemple comportementales) ne peuvent être justifiés par cette finalité, et devront être rattachées à une finalité distincte, disposant de sa propre base légale.
S’agissant justement de la base légale attachée au traitement des données de paiement, la CNIL relève sans surprise que sont généralement mobilisées les bases du contrat, de l’intérêt légitime, du consentement, et de manière ponctuelle, de l’obligation légale. Elle invite cependant à la prudence s’agissant de la base de l’intérêt légitime : “La sensibilité particulière des données de paiement rend une grande partie de leurs traitements particulièrement intrusifs, notamment lorsqu’ils impliquent un profilage ou un croisement avec d’autres données, ce qui a pour effet de limiter la possibilité de recourir à cette base légale de l’intérêt légitime”.
Parmi les autres points de vigilance réglementaire cruciaux mis en avant par la CNIL, celui de la réutilisation des données de paiement adopte une importance particulière. En effet, le RGPD autorise les traitements ultérieurs de données à caractère personnel pour des finalités compatibles avec la finalité initiale. La CNIL, cependant, restreint clairement cette possibilité dans le cadre des données de paiement : “En matière de paiement, les finalités compatibles devraient par conséquent être appréciées très strictement, compte tenu de la sensibilité particulière des données en cause”. Ainsi, il faudra être très prudent quant à la réutilisation de ces données sans base légale distincte.
Enfin, il convient de souligner les enjeux particuliers entourant la sécurisation des données de paiement. Comme soulevé à juste titre dans le livre blanc, la sécurisation de telles données a toujours représenté un enjeux crucial : son importance se trouve cependant démultipliée “dans un cadre de numérisation toujours plus important, qui se matérialise par la volonté de trouver des solutions compatibles avec une multitude de terminaux, qu’il s’agisse aujourd’hui de terminaux mobiles ou demain d’objets connectés en capacité d’initier des paiements”. La CNIL met en avant la pratique de la tokenisation, et envisage la publication de recommandations afin de favoriser son adoption la plus large possible.
>>> Données de paiement et enjeux de souveraineté
Au-delà des préoccupations strictement juridiques susvisées, le discours du livre blanc s’oriente sur une thématique qui ne peut plus aujourd’hui être ignorée lorsque celle des données est abordée, et qui est liée aux enjeux géopolitiques de leur circulation. On le sait, les transferts de données ont toujours représenté un point d’attention crucial pour les États, notamment parce qu’ils posent la question d’un potentiel accès aux données par des autorités étrangères. Cette question se pose avec d’autant plus d’acuité que la nature des données de paiement et leur caractère “hautement personnel” en font des ressources particulièrement stratégiques.
La CNIL aborde cette question sous le paradigme de la souveraineté numérique européenne, et l’angle de la réponse apportée à la question des transferts est la suivante. Nous devons nous donner les moyens de protéger effectivement les données personnelles des citoyens européens, ce qui inclut, dans le cadre de leur transfert, une protection contre l’accès d’autorités étrangères, ou de l’exploitation d’acteurs économiques tiers. Cette défense des valeurs démocratiques européennes nous permettra dans le même temps d’éviter la dépendance politique, économique ou technologique envers d’autres puissances. En d’autres termes, les transferts de données et plus particulièrement les transferts de données de paiement doivent être étroitement régulés dans une optique combinée de protection des concepts posés par le RGPD, et de défense de la souveraineté européenne.
Comment atteindre cet objectif, et cette régulation raisonnée des transferts de données de paiement ? La CNIL commence par aborder la proposition d’un récent rapport du Conseil Général de l’Économie, qui vise à une localisation systématique des données de paiement de citoyens européens sur le territoire de l’Europe.
S’il est vrai qu’une telle obligation aurait certains effets positifs (notamment une plus grande visibilité des autorités de contrôle sur les traitements, des obligations de sécurité renforcées, un plus grand contrôle des citoyens sur leurs données), il doit cependant être clair qu’il ne s’agit en aucun cas d’une garantie suffisante. En effet, la localisation des données en Europe ne permet pas d’échapper aux législations à effet extraterritorial de certains États. On pense bien sûr typiquement aux États-Unis, dont les lois de surveillance s’appliquent aux entités américaines, quel que soit le territoire sur lequel elles opèrent. Dans ce cas de figure, l’accès aux données de paiement par les autorités américaines est possible malgré leur localisation en Europe.
C’est pourquoi la CNIL préconise une approche au cas par cas, et appelle à la vigilance des acteurs concernés par le traitement des données de paiement, tout en les encourageant à considérer des alternatives n’impliquant pas de transferts extra-européens dans le cadre de leur activité : “Une analyse au cas par cas […] est nécessaire. Il est souhaitable que ces acteurs s’interrogent […] sur la question de savoir si les transferts sont effectivement nécessaires à la réalisation des services et, si le transfert apparaît plutôt comme un choix, de réfléchir à des alternatives, afin de minimiser le risque d’accès non conforme aux règles européennes.”
Si ces alternatives peuvent sembler encore assez difficiles à trouver, la CNIL soutient dans son livre blanc le projet EPI (European Payments Initiative), dont l’avènement constituerait une véritable solution européenne de réseau de cartes bancaires, concurrent à Visa ou Mastercard. L’un des points critiques de ce projet réside précisément dans la gestion des transferts, puisque sa construction se fera “en recherchant une pleine conformité à l’arrêt Schrems II par une politique d’externalisation de ses besoins en cloud et en serveurs appropriée et qui évite toute soumission à la législation américaine”.
>>> CONCLUSION
La thématique des données de paiement est aujourd’hui plus que jamais centrale à l’heure où l’Europe poursuit un double objectif de protection des données de ses citoyens, et de construction de sa souveraineté numérique. C’est pourquoi ce livre blanc est particulièrement bienvenu, puisqu’il contribue à clarifier les termes du débat, tout en transmettant un message aussi clair que pertinent : les données de paiement sont porteuses d’enjeux réglementaires critiques qu’il convient de surveiller étroitement ; elles sont également au centre de questionnements géopolitiques, dont la réponse doit passer par la promotion de la souveraineté numérique européenne.
Il aurait peut-être été intéressant que la CNIL aborde des solutions pratiques permettant aux acteurs de l’écosystème du paiement d’agir de manière sereine, plutôt que de renvoyer à une analyse au cas par cas, qui n’est jamais une situation confortable en termes de sécurité juridique réclamée par les acteurs de l’innovation.. Des mesures tournant autour du chiffrement, de l’anonymisation profonde, de la mobilisation de licences auraient par exemple pu être abordées, et auraient pu constituer des recommandations officielles afin de concilier les impératifs économiques avec la défense de la souveraineté numérique européenne.
Valérie Chavanne & Quentin Roland