La Cnil veut s’imposer comme régulateur sur le sujet du paiement

La gardienne des données personnelles veut s’imposer sur le sujet du paiement. La Commission nationale informatique et libertés (Cnil) va publier ce mercredi un Livre blanc dédié à ce sujet, accompagné d’un débat en ligne.

Elle compte ainsi « éclairer le public sur ces enjeux et anticiper les transformations à venir » dans le domaine du paiement, et surtout sur la question de la gestion des données de paiement des particuliers. « Ce sont des données à caractère personnel : données d’achat, données financières, données contextuelles, concernent bien des aspects de l’existence des individus », précise Marie-Laure Denis, présidente de la Commission, dès l’introduction de ce Livre blanc, que L’Agefi a pu consulter. « Elles peuvent permettre de ‘tracer’ leurs activités personnelles, de cerner leurs comportements ; elles peuvent être utilisées pour commettre des fraudes », avertit-elle.

Risques de traçage des données de paiement

« Nous avons vu arriver de nouvelles solutions de paiement, et cela s’est accéléré avec la pandémie, ainsi que la popularisation des cryptomonnaies. Il y a de nouvelles pratiques qui arrivent sur le terrain, de nouveaux acteurs, et les risques évoluent aussi », précise à L’Agefi Aymeric Pontvianne, conseiller finances et innovation à la Cnil. En 2020, les paiements sans contact ont ainsi bondi de 37%, avec 5,1 milliards d’opérations, et les transactions par carte en ligne de 13,2%, selon le dernier rapport de l’Observatoire de la sécurité des moyens de paiement.

Dans son Livre blanc, la Cnil préconise notamment la préservation de l’anonymat des paiements et le libre choix des moyens de paiement. Elle souligne aussi l’importance d’une protection de la confidentialité des transactions dès la conception dans le projet en cours d’euro numérique, lancé par la Banque centrale européenne en juillet. « Ce projet d’euro numérique est très important, car il a le potentiel de tracer des paiements. Le Comité européen de la protection des données a adressé une lettre à la Banque centrale européenne en juillet sur le risque de non-protection des données, lui demandant d’être associé à ces travaux », précise Aymeric Pontvianne.

Quant aux fintechs, dernières venues dans l’écosystème, elles devront aussi jouer le jeu – elles ont intérêt à « faire de leur conformité au RGPD un atout de confiance pour les clients amenés à confier leurs données pour de nouveaux usages », estime l’institution.

Surtout, la Cnil veut trouver sa place en tant que régulateur auprès du secteur bancaire. Depuis l’entrée en vigueur du règlement général sur la protection des données (RGPD) en 2016, qui unifie la protection des données personnelles des individus, la Cnil a rejoint le banc des régulateurs du secteur bancaire. Encore doit-elle trouver sa place aux côtés des autres régulateurs, telle l’Autorité de contrôle prudentiel et de régulation (ACPR).

En la matière, la Cnil, prudente, entend se positionner comme guide, plutôt qu’en mettant en avant ses pouvoirs de sanction. Pas de commentaires, donc, sur le nombre de saisines dans le secteur bancaire, même si certaines fintechs ont déjà exprimé leurs réticences à se conformer au RGPD : « ce n’est pas le cas le plus fréquent. Ce Livre blanc, c’est un accompagnement à la conformité, pour contribuer au débat public, ouvrir des pistes de travail pour favoriser la mise en conformité de toute la chaîne des acteurs, assurer la sécurité juridique », souligne Aymeric Pontvianne.

Ce qui passera d’abord par une consultation publique, ouverte en ligne jusqu’au 15 décembre, qui accompagnera son Livre blanc, pour lancer des pistes de travail avec le secteur.

Par ailleurs, la Cnil espère faire adopter par les fédérations professionnelles un code de conduite professionnel - un outil qui existe dans le RGPD pour préciser ses conditions d’application dans un secteur. La Cnil dit avoir déjà des contacts avec l’Association du paiement et la Fédération bancaire française (FBF).