La CNIL a publié un Livre blanc intitulé « Quand la confiance paie : les moyens de paiement d’aujourd’hui et de demain au défi de la protection des données », afin « d’éclairer le public, d’accompagner les professionnels et d’anticiper les transformations à venir ».
La CNIL, dressant le constat de transformations économiques (paiement sans contact, le recul de l’usage des espèces, les transferts entre particuliers) induisant des enjeux pour la vie privée, vient de publier un livre blanc sur les données et les moyens de paiement.
L’objectif de ce document est d’« apporter des éclairages sur les principaux enjeux économiques, juridiques et sociétaux des données et des moyens de paiement ».
La CNIL indique, ainsi, dans ce document, que les périodes de confinement ont entrainé un recul très net des moyens de paiement impliquant un contact physique, ainsi qu’une croissance du sans contact (+37% entre 2020 et 2019) et des paiements en ligne (+13% sur la même période). L’autorité de contrôle ajoute toutefois que, si l’usage de la monnaie électronique est en hausse (+22.6 % entre 2019 et 2020), elle reste marginale (1% des paiements en termes de volume et de valeur).
Pour la CNIL, les données de paiement peuvent comporter des enjeux particuliers, notamment dans la mesure où elles sont susceptibles de « permettre de tirer des conclusions très précises concernant la vie privée des personnes dont les données ont été conservées, telles que les habitudes de la vie quotidienne, les lieux de séjour permanents ou temporaires, les déplacements journaliers ou autres, les activités exercées, les relations sociales de ces personnes et les milieux sociaux fréquentés par celles-ci ». Une autre spécificité des données de paiement est qu’elles peuvent, dans certains cas, concerner des tiers, tels que des personnes bénéficiaires d’une transaction. Par ailleurs, « les opérations de paiement dans leur ensemble peuvent occasionner un traitement de données sensibles au sens du RGPD, par exemple si une méthode d’authentification biométrique est utilisée ». Enfin, la CNIL rappelle que le CEPD qualifie certaines d’entre elles de « données hautement personnelles » lorsqu’elles révèlent une géolocalisation ou peuvent être utilisées pour commettre des fraudes au paiement : c’est le cas des numéros de carte bancaire et autres identifiants de paiement par exemple. Ces dernières données concentrent évidemment des enjeux très élevés en termes de sécurité.
Huit messages clés sont développés dans ce document :
- la préservation de l’anonymat des paiements, de l’usage des espèces et du libre choix des moyens de paiement ;
- l’importance d’une protection de la confidentialité des transactions dès la conception dans le projet en cours d’euro numérique, lancé par la Banque centrale européenne en juillet ;
- l’attention prospective à porter au paiement mobile, qui a un potentiel de développement considérable ;
- l’intérêt pour les acteurs innovants de faire de leur conformité au RGPD un atout de confiance pour les clients amenés à confier leurs données pour de nouveaux usages ;
- les grands points d’application du RGPD sur lesquels la CNIL souhaite apporter de la sécurité juridique ;
- l’importance de la sécurité des données de paiement, avec des travaux sur la « tokenisation » de ces données en tant que bonne pratique ;
- un questionnement sur la localisation des données de paiement en Europe, comme contribution au débat en cours sur la souveraineté numérique européenne ;
- des recommandations pour le futur réseau de carte bancaire européen en cours de création, EPI (« European Payments Initiative »).
Ce livre blanc n’est, pour la CNIL, qu’une « première étape du dialogue » qu’elle souhaite ouvrir avec les parties prenantes (grand public, professionnels, groupes d’intérêt, chercheurs, régulateurs, etc.) sur le sujet des paiements. Une consultation publique en ligne a été ouverte, visant à recueillir les réactions suite à la publication de ce livre blanc, ainsi que les positions, témoignages et besoins de toutes les parties prenantes.
