Nouveaux enjeux stratégiques autour de la conservation des données bancaires

Les données bancaires, nouvel « or noir » de l’ère numérique et cognitive, attirent aussi bien les convoitises des entreprises que celles des hackers. Ainsi, pour faire face à une exploitation commerciale anarchique de ces précieuses données et prévenir les impacts sur la vie privée que leur violation (fraude, malveillance…) pourrait causer, les régulateurs français et européen ont œuvré à la mise en place de tout un arsenal juridique de protection, aux effets collatéraux défavorables pour les acteurs du secteur ; lesquels sont d’ores et déjà confrontés à un autre défi majeur : la mutation de l’écosystème des paiements. 

Un écosystème des paiements en pleine mutation


Autrefois apanage des seules institutions financières, les données bancaires attirent depuis quelques années l’appétit d’une armada de FinTechs et de nouveaux acteurs sur le marché, à l’image des e-commerçants, des opérateurs de téléphonie, des compagnies d’assurance et surtout des GAFA (Google, Apple, Facebook et Amazon) et autres BATX (Baidu, Alibaba, Tencent et Xiaomi). Et pour cause, tous ces acteurs développent leur stratégie sur l’exploitation même de ces données qualifiées de « hautement » personnelles par la CNIL, tant elles en disent long sur nos habitudes de consommation. Cette mutation de l’écosystème des paiements se caractérise, par ailleurs, par un développement technologique sans précédent faisant émerger de nouveaux usages de paiement (agrégation de comptes bancaires et initiation de paiement) et des services tout aussi innovants tels que les solutions du type PayPal, AmazonePay, le retrait d’espèce par sms ou les virement peer to peer… pour ne citer que ces exemples.  Face à ce phénomène dit d’Openbanking (ouverture des données bancaire aux tiers), tous les acteurs du secteur ont déjà commencé à repenser leur business modèle, en tenant compte des nouvelles contraintes réglementaires. 

Une pression réglementaires aux effets collatéraux défavorables


Depuis l’entrée en application du RGPD (règlement général sur la protection des données personnelles), qui vient de souffler sa première bougie, les entreprises doivent envisager leur système de paiement en tenant compte des principes de protection des données « by default » et « by design » (par défaut et dès la conception), sous peine de s’exposer à une forte amende pouvant aller jusqu’à 4% de leur chiffre d’affaire. Elles devront désormais, également, se plier aux nouvelles règles issues de la seconde Directive sur les services de paiement dans le marché intérieur (dite DSP2). 

Cette directive adoptée le 13 janvier 2018, soit 5 mois avant le RGPD, et qui sera applicable à compter du 14 septembre 2019 a précisément pour objet : 
 

  • D’encadrer l’ouverture des données bancaires et leur accès par des établissements tiers à travers un canal de communication ouvert et sécurisé que sont les API (Application Programming Interface ou accès par protocole informatique) ;


Et 
 

  • De renforcer la protection des usagers et la sécurité des paiements à travers l’authentification forte pour tout paiement en ligne de plus de trente euros. Cette mesure implique que l’utilisateur devra désormais s’identifier en utilisant au moins deux des facteurs suivants : 
     
    • Un mot de passe ou un code que seul l’utilisateur connait ;
    • Un appareil (téléphone mobile, carte à puce…) que seul l’utilisateur possède ;
    • Une donnée biométrique (empreinte digitale, reconnaissance vocale ou faciale) que seul l’utilisateur est.


En cas de non-respect de cette obligation, les paiements seront automatiquement refusés par les banques. Or, si l’objectif affiché de la DSP2 est, certes, de réduire la fraude dans le commerce en ligne, un tel refus automatique, pour des montants aussi faibles, rendra l’expérience client plus complexe. Ce dernier se tournera alors vers des solutions de paiement « en un clic » tel que celui proposé par Amazon. En effet, la solution du Géant américain qui a su, dès 2017, anticipé cette évolution réglementaire, permet à l’internaute, qui a déjà un compte PayPal chez Amazon, de payer directement sur son ordinateur ou son mobile sans avoir à renseigner de nouveau ses données bancaires au moment de son achat. D’ailleurs, de nombreux sites français (Kiabi, But, Histoire d’or…) n’hésitent plus à offrir aux internautes un accès à l’outil de paiement du Géant américain ce qui leur permet de réduire significativement les « abandons de panier ». 

Ce dernier déjà avantagé par son positionnement fiscal stratégique au Luxembourg renforce ainsi sa 1ère place sur le marché des Marketplace (classement FEVAD), face à des concurrents français, qui enregistrent de leur côté un chiffre d’affaire est en baisse de près 10%.   Si l’on ajoute à cela le retard pris par une grande partie des opérateurs dans leur mise en conformité avec le RGPD, nombreux seront ceux qui risquent d’être pris au dépourvu avec la mise en application de la DSP2. En effet, les incompréhensions qui subsistent sur les dispositions du texte qui en compte 99 au total et ses contradictions avec la DSP2 sur la question du consentement laissent aux régulateurs un pouvoir incroyable d’interprétation concernant les obligations qui pèseront sur les entreprises. 

La durée de la conversation des données bancaires : une position à harmoniser


Au titre du RGPD, les données personnelles liées au secteur bancaire ne sont pas à considérer comme une catégorie de données particulières et ne relèvent pas non plus de la catégorie des données dites « sensibles » (art 9 du RGPD). Pourtant, par une délibération du 28 février 2019 venue abroger celle du 20 juillet 2017, la CNIL a adopté une nouvelle recommandation concernant le traitement des données relatives à la carte de paiement en matière de vente de biens ou de fourniture de services à distance, dans laquelle elle qualifie ces données de « données à caractère hautement personnel » ; compte tenu de la gravité et des impacts pour les personnes concernées que leur violation pourrait engendrer (utilisation pour des paiements frauduleux par ex). 

Elle crée, à cet effet, un régime spécifique de ces données selon lequel : 
 

  • Les données nécessaires au paiement (numéro de carte, date d’expiration, cryptogramme visuel) ne doivent pas être conservées au-delà de la transaction ;
  • La conservation au-delà nécessite le consentement du client pour lui faciliter ses achats ultérieurs ;
  • Le consentement doit prendre la forme d’un acte de volonté univoque (il ne se présume pas) en d’autres termes, au sens du considérant 32 du RGPD, il ne peut y avoir consentement « en cas de silence, de cases cochées par défaut ou d’inactivité».
  • L’acceptation des CGU ou CGV ne suffit pas pour recueillir le consentement et donc ne peut être assimilée à un consentement
  • La mise en place d’un dispositif simple et sans frais de retirer le consentement initialement donné sur le site marchand doit être proposé


Dans tous les cas, la conservation du cryptogramme est interdite après la réalisation de la première transaction y compris lorsque les données peuvent être conservées pour des achats ultérieurs. 

La CNIL distingue, par ailleurs de ce régime, celui de la conservation des données relatives aux abonnements du type « premium » qui permettent de bénéficier de service annexes (livraison par ex) et de faciliter les achats ultérieurs : 
 

  • Pour ces données la conservation peut reposer sur l’intérêt légitime du commerçant.



Une conservation par défaut est, au surplus, possible si elle concerne la souscription d’un abonnement complémentaire qui témoigne de la « volonté du client de s’inscrire dans une relation commerciale régulière avec le commerçant en achetant fréquemment sur le site web du commerçant » sous réserve de ne pas méconnaitre l’intérêt ou les droits des personnes (à savoir droits à l’information, l’opposition, la suppression…). Elle met, enfin, en garde contre le fait que cette conservation par défaut ne s’applique pas aux achats ponctuels assorti de la modalité de paiement en un clic. Elle crée donc autant de régime qu’il n’existe de finalités poursuivies de quoi rendre leur mise en œuvre extrêmement compliqué.   



 

DURÉES DE CONSERVATION DES DONNÉES DE PAIEMENT
FINALITÉDURÉE DE CONSERVATION
Paiement uniqueJusqu’au paiement complet. 
Jusqu’à la réception du bien ou à l’exécution de la prestation de service. Augmenté du délai de rétractation prévu pour les ventes de biens et fournitures de prestations de services à distance
Abonnement avec tacite reconductionJusqu’à la dernière échéance de paiement, si l’abonnement ne prévoit pas de tacite reconduction ;
Gestion des réclamations13 mois, suivant la date de débit ou 15 mois en cas de cartes de paiement à débit différé. 
Les données ainsi conservées à des fins de preuve doivent être conservées en archive intermédiaire et n’être utilisées qu’en cas de contestation de la transaction.
Faciliter les achats ultérieursjusqu’au retrait du consentement et/ou à l’expiration de la validité des données de la carte bancaire


Source : Tableau CNIL 

  

Même si, les recommandations sont dépourvues de force obligatoire selon l’article 288 du Traité sur le Fonctionnement de l’Union Européenne (TFUE), cette recommandation de la CNIL française s’apparente bien plus à une « contrainte régulatoire »* qu’à une « exigence » pouvant procurer aux opérateurs français « un avantage concurrentiel distinctif ». On peut d’ailleurs en déduire que le non-respect par ces mêmes opérateurs sera certainement sanctionné ce qui peut à termes affecter leur situation sur le marché. A l’inverse, certains régulateurs européens, à l’image de la CNPD du Luxembourg (commission nationale de la protection des données) considère sur le fondement même de l’article 5 paragraphe 1 du RGPD « qu’il relève de la responsabilité du responsable de traitement de déterminer, pour chacune des catégories de données qu’il est amené à traiter dans le cadre de son activité, combien de temps il est nécessaire de les conserver. » et  ajoute « que des lois spécifiques au secteur financier s’appliquent concernant la durée de conservation et devront être prises en considération. » 

Ainsi, contrairement à la CNIL française, ce positionnement de la CNPD produit très clairement de l’attractivité sur la question de la durée de conservation des données bancaires ; dans la mesure où elle laisse une plus garde marges de manœuvre aux opérateurs économiques de décider des durées de conservation, sous réserves des durées de conservation légales, adaptées à leur modèle économique. Il n’est dès lors pas étonnants que le leader mondial des sites marchand ai choisi de s’implanter au Grand-Duché du Luxembourg. Enfin, il y a fort à parier, en l’absence de position commune sur la question, que de nouvelles batailles juridiques autour des enjeux de la conservation des données bancaires sont à venir… 

 

Kheira Tayeb


  

Sources : 

  

*Clémence Scottez, de la Commission nationale de l’informatique et des libertés (CNIL) 

https://eur-lex.europa.eu/eli/reg/2016/679/oj?locale=fr 

https://www.cnil.fr/fr/le-paiement-distance-par-carte-bancaire 

https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000037477764&fastPos=2&fastReqId=1708460866&categorieLien=id&oldAction=rechTexte%29

https://cnpd.public.lu/fr.html 

https://www.youtube.com/watch?v=egWZ1KmMBms 

https://www.contrepoints.org/2018/06/16/318294-rgpd-comment-leurope-sapprete-a-debrancher-son-economie-numerique 

https://www.lesechos.fr/2018/05/donnees-une-mine-dor-complexe-a-exploiter-pour-les-banques-991078 

https://www.avocats-mathias.com/donnees-personnelles/consentement-rgpd 

https://www.ey.com/en_gl/banking-capital-markets/how-banks-can-balance-gdpr-and-psd2 

http://www.tendancedroit.fr/wp-content/uploads/2018/09/La_nouvelle_loi_Informatique_et_libertes_Une.pdf