L’essor de l’économie numérique repose principalement sur la ressource majeure du XXIe siècle : les données. Ainsi, entre 2015 et 2020, le trafic mondial des données annuel aura été multiplié par 5, atteignant 40 Zeta bytes[1]. L’importance des données se ressent tout particulièrement dans le secteur bancaire, financier et des paiements, le renforcement des exigences en matière de lutte contre la fraude, le blanchiment de capitaux et le terrorisme nécessitant le traitement toujours plus croissant de données bancaires et financières.
L’entrée en vigueur le 13 janvier 2018 de la Directive européenne 2015/2366 (DSP2) du 25 novembre 2015 transposée en droit français dans le Code monétaire financier (CMF) par l’Ordonnance n°2017-1252 du 9 août 2017, est venu confirmer cette tendance en renforçant les exigences de sécurité en matière de paiements électroniques afin de réduire les risques de fraude, dans un contexte de forte croissance des paiements par internet et par téléphone mobile.
Cette nouvelle règlementation prévoit notamment un principe d’authentification forte obligatoire du payeur par le prestataire de services de paiement (ci-après « PSP »)[2] dont les modalités d’application sont prévues par des normes techniques de réglementation, les RTS SCA, entrées en vigueur le 14 septembre 2019.
Afin de ne pas pénaliser les acteurs économiques, en particulier du commerce électronique, en limitant l’impact de cette obligation contraignante d’un point de vue économique et logistique, les RTS SCA prévoient plusieurs dérogations lorsque l’opération présente en pratique de faibles risques de fraude. C’est notamment le cas de la dérogation prévue à l’article 18 des RTS SCA « Analyse des risques liés à l’opération », particulièrement adaptée à un contexte de commerce électronique, qui permet au PSP de ne pas authentifier fortement le payeur lorsqu’il considère, après analyse, le niveau de risque de fraude lié à l’opération de paiement comme étant faible.
L’entrée en vigueur de cette nouvelle règlementation a conduit plusieurs systèmes de paiement à mettre en œuvre des solutions permettant de véhiculer les demandes d’authentification entre les différents acteurs de la chaine du paiement et à généraliser les analyses de risque de fraude. Ces solutions s’appuient sur la collecte et la transmission entre les acteurs de la chaine du paiement de nombreuses données qui constituent des données stratégiques pour l’économie européenne, comme le rappelle le Comité National des Paiements Scripturaux (CNPS) dans sa stratégie nationale sur les moyens de paiement scripturaux couvrant les années 2019 à 2024 du 18 février 2019. L’importance stratégique de ces données tient notamment au fait que, en raison de leur nature, certaines d’entre elles constituent des données à caractère personnel protégées par le Règlement (UE) 2016/679 du 27 avril 2016 (RGPD).
Ces traitements doivent dès lors se conformer aux dispositions du RGPD et, en particulier, se limiter aux données à caractère personnel nécessaires à la poursuite de finalités déterminées, explicites et légitimes.
1. Finalité, légitimité et licéïté du traitement
Conformément aux articles 5.1 a) et b) du RGPD les données à caractère personnel doivent être traitées de manière « licite », « pour des finalités déterminées, explicites et légitimes ».
1.1. La lutte contre la fraude en matière de paiement, une finalité légitime
En l’espèce, dans le cadre de l’authentification forte (ou du recours à une dérogation prévue par les RTS SCA), les traitements de données à caractère personnel sont réalisés aux fins de prévention et de lutte contre la fraude au paiement[3].
Cette finalité de prévention et de lutte contre la fraude de l’authentification forte est rappelée par le Considérant 95 de la DSP2 qui dispose que « la sécurité des paiements électroniques est fondamentale […]. Tous les services de paiement proposés par voie électronique devraient être sécurisés, grâce à des technologies permettant de garantir une authentification sûre de l’utilisateur et de réduire, dans toute la mesure du possible, les risques de fraude ». Les RTS SCA (notamment le Considérant 1er) reprennent ce « devoir » de réduction des risques de fraude en des termes similaires.
Par ailleurs, l’article L521-6 du CMF (transposant l’article 94 de la DSP2) dispose que « les systèmes de paiement et les prestataires de services de paiement peuvent mettre en œuvre des traitements de données à caractère personnel lorsque cela est nécessaire pour garantir la prévention, la recherche et la détection des fraudes en matière de paiements dans les conditions prévues par la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés et le règlement (CE) 45/2001 du Parlement européen et du Conseil. »
Les traitements de données à caractère personnel mis en œuvre par les PSP lors d’une opération de paiement dans le cadre de l’authentification forte d’un payeur sont par conséquent explicitement prévus par la règlementation.
Les traitements réalisés à des fins de prévention et de lutte contre la fraude en matière de paiement avaient déjà été envisagés par la CNIL avant l’entrée en vigueur de la DSP2 :
- Dans sa Délibération n° 2017-217 du 13 juillet 2017sur la fraude externe dans le secteur bancaire, notamment applicable en matière de « fraude monétique (fraude à la carte de paiement, fraude au terminal de paiement, cavalerie) », la CNIL précise les conditions dans lesquelles les informations susceptibles d’être utilisées pour « la détection des actes réalisés dans le cadre des activités présentant une anomalie, une incohérence ou ayant été signalés comme pouvant relever d’une fraude » peuvent être traitées par les établissements bancaires et financiers. Si depuis l’entrée en application du RGPD le 25 mai 2018 cette délibération n’a plus de valeur juridique, elle n’en demeure pas moins éclairante[4].
- Dans une Délibération n°2018-303 du 06 septembre 2018, la CNIL précise les conditions permettant aux commerçants en ligne de conserver « des données relatives à la carte de paiement au‑delà de la réalisation d’une transaction à des fins de lutte contre la fraude à la carte de paiement ». La CNIL y recommande également que « des moyens d’authentification renforcée du titulaire de la carte de paiement soient mis en place, visant à s’assurer que celui-ci est bien à l’origine de l’acte de paiement à distance ». La CNIL liste en outre les autres finalités qu’elle considère comme légitimes[5].
1.2. La lutte contre la fraude en matière de paiement, un intérêt légitime
Le RGPD exige que les données à caractère personnel soient traitées de manière licite et notamment que leur traitement se fonde sur l’une des six bases légales prévues par l’article 6.1 du RGPD.
En l’espèce, la lutte contre la fraude en matière de paiement semble indéniablement correspondre à un intérêt légitime des acteurs de la chaine du paiement :
- Le considérant 47 du RGPD dispose que « le traitement de données à caractère personnel strictement nécessaire à des fins de prévention de la fraude constitue un intérêt légitime du Responsable du Traitement concerné. »
- Les lignes directrices du G29 sur l’intérêt légitime listent la prévention de la fraude comme finalité pouvant se fonder sur l’intérêt légitime. Elles précisent également que « la prévention de la fraude – qui peut inclure, entre autres, la surveillance et l’établissement de profils des clients – est un autre aspect généralement susceptible d’être considéré comme allant au-delà de ce qui est nécessaire à l’exécution d’un contrat. »
- Les lignes directrices de l’European Data Protection Board (CEPD) du 9 avril 2019sur le traitement de données à caractère personnel dans le cadre de la fourniture de services en ligne prévoient que la prévention de la fraude devrait se fonder sur une autre base légale que l’exécution du contrat et notamment sur l’intérêt légitime.
Le traitement devra en revanche s’appuyer sur le consentement (explicite) lorsque celui-ci est requis, notamment dans le cadre du traitement de données biométriques (Cf. infra).
L’obligation légale ne parait, en revanche, pas adaptée aux traitements de données réalisés à des fins de lutte contre la fraude au paiement étant donné que, comme le précisent les lignes directrices du G29 sur l’intérêt légitime, le recours à cette base légale implique que la disposition légale contraigne les responsables du traitement à réaliser celui-ci et mentionne explicitement la nature et l’objet du traitement sans laisser de marge de manœuvre injustifiée au responsable du traitement quant à la façon de se conformer à l’obligation légale.
2. Détermination des données nécessaires
L’article 5.1 c) du RGPD dispose que les données à caractère personnel doivent être « adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données) ». En l’espèce, les données à caractère personnel nécessaire à des fins d’authentification de l’utilisateur d’un service de paiement concernent trois catégories de données :
- Les données permettant d’initier les opérations de paiement ;
- Les données biométriques dans l’hypothèse où, comme nous l’avions vu dans un précédent article, l’authentification forte s’appuie sur la biométrie en plus d’un autre facteur ;
- Les données liées au contexte d’une opération de paiement.
2.1. Les données permettant d’initier les opérations de paiement
L’authentification d’une opération de paiement nécessite par définition le traitement des données permettant d’initier cette dernière, c’est-à-dire, l’International Bank Account Number (IBAN) dans un contexte de prélèvement/virement ou, dans un contexte lié à la carte de paiement, le numéro de carte (PAN), de la date d’expiration de la carte et du cryptogramme visuel.
Dans sa délibération du 6 septembre 2018, la CNIL rappelle ce principe selon lequel seules les données adéquates, pertinentes et limitées à ce qui est nécessaire au regard de la finalité du traitement doivent être collectées et précise que les données nécessaires pour un commerçant en ligne à la réalisation d’une opération à distance par carte de paiement sont le numéro de la carte, la date d’expiration et le cryptogramme visuel.
Les autorités de contrôle européennes considèrent de plus que les données « financières susceptibles d’être utilisées pour des paiements frauduleux », comme c’est le cas pour les données de paiement sensibles, constituent des « données à caractère hautement personnel » (c’est-à-dire plus critiques que des données à caractère personnel standard) dont le traitement peut nécessiter la réalisation d’une analyse d’impact sur la vie privée par le responsable du traitement, notamment lorsqu’elles sont traitées à « grande échelle » ou utilisées dans le cadre d’un scoring.
Par ailleurs, dans sa stratégie nationale sur les moyens de paiement scripturaux évoquée précédemment, le CNPS rappelle que ces données à caractère personnel constituent, en outre, des « données de paiement sensibles » définies dans la DSP2 comme étant des données susceptibles d’être utilisées pour commettre une fraude, y compris les « données de sécurité personnalisées ». Comme le rappelait l’Observatoire de la sécurité des moyens de paiement (OSMP) en 2018, le traitement de ces données est strictement encadré par la DSP2[6] et doit toujours faire l’objet de mesures de protection adaptées, particulièrement au moment de leur enregistrement, de leur stockage et de leur utilisation. L’OSMP indique en outre que lorsqu’ils sont détenteurs de données de paiement sensibles, « les commerçants doivent s’attacher à mettre en place des dispositifs techniques visant à en assurer la sécurité, en s’appuyant par exemple sur les exigences définies par les systèmes de paiement par carte [et notamment la] norme PCI-DSS pour la conservation des données de carte ».
2.2. Les données biométriques
Avec l’entrée en vigueur des RTS SCA le 14 septembre 2019, les PSP sont, par principe, tenus d’authentifier l’utilisateur d’un service de paiement en s’appuyant sur au moins deux facteurs parmi ceux de la possession, de la connaissance et de l’inhérence.
L’interprétation stricte de l’ABE annonçant la fin programmée de l’OTP SMS comme unique solution d’authentification conduit de nombreuses banques françaises et européennes à accélérer le déploiement de nouvelles solutions biométriques, des solutions sur lesquelles elles travaillent depuis des années sous le contrôle de la CNIL et bien souvent déjà largement implantées en Asie. L’émergence de ces solutions est également appelée de ses vœux par le CNPS. Ainsi, d’après des prédictions réalisées par Juniper Research, le nombre de paiements mobiles authentifiés via la biométrie serait ainsi passé de 600 millions en 2016 à deux milliards en 2017 avec une prévision de plus de 18 milliards d’opérations d’ici 2021 !
Ces données, de nature extrêmement variées (empreintes digitales, réseaux veineux de la paume de la main, reconnaissance vocale, de visage, de l’iris, analyse comportementale telle que la dynamique de frappe au clavier, etc.), sont tout particulièrement protégées par le RGPD qui définit la biométrie comme l’ensemble des techniques permettant de reconnaître automatiquement un individu à partir de ses caractéristiques physiques, biologiques, voire comportementales.
En effet, l’article 9 du RGPD considère ces données comme des « sensibles », au même titre que les données de santé, les données génétiques ou celles relatives à l’orientation sexuelle ou religieuse, et en interdit par principe leur traitement. Comme le rappelle la CNIL, cette restriction s’explique par le fait qu’elles sont produites par le corps lui-même et le caractérisent de façon définitive pouvant ainsi être utilisées pour suivre et identifier un individu, même à son insu. Contrairement à un mot de passe, les données biométriques ne peuvent pas être modifiées, y compris en cas de compromission…
Cependant, le RGPD prévoit des exceptions à cette interdiction, notamment :
- Lorsque le traitement est considéré comme strictement domestique, c’est-à-dire lorsque l’individu conserve la maitrise totale de ses données biométriques stockées exclusivement sur son appareil (smartphone, carte physique…) ;
- Lorsque le consentement explicite de la personne concernée a été recueilli. La CNIL et les autorités de contrôle européenne ont eu à plusieurs reprise l’occasion de rappeler que pour être valable, le consentement doit être libre, spécifique, éclairé et univoque, ce qui suppose l’existence d’un dispositif d’authentification alternatif et la possibilité pour les personnes concernées de revenir à tout moment sur leur choix et obtenir, le cas échéant, la suppression de leur gabarit biométrique.
- Lorsque le traitement est nécessaire pour des motifs d’intérêt public important prévu par une règlementation française ou européenne prévoyant des mesures appropriées et spécifiques pour la sauvegarde des droits fondamentaux et des intérêts de la personne concernée.
Dans ces deux derniers cas, le traitement de données biométriques dans le cadre d’une opération de paiement nécessitera la réalisation d’une analyse d’impacts sur la vie privée intégrant la justification du recours à un dispositif biométrique et les raisons ayant conduit à ne pas s’appuyer sur d’autres facteurs d’authentification.
2.3. Les données liées au contexte d’une opération de paiement
Par ailleurs, le développement des techniques de lutte contre la fraude, en en particulier d’analyse et de scoring des opérations de paiement, ont conduit de nombreux acteurs de la chaine du paiement à traiter des données au-delà de la simple initiation de l’opération de paiement ou de l’authentification forte de l’utilisateur du service de paiement.
Ainsi, ces derniers traitent désormais de plus en plus de données telles que des données comportementales, des données liées aux habitudes d’achat et de consommation, des données liées aux paramètres du compte du payeur auprès du commerçant, des coordonnées postales, téléphoniques ou électroniques du payeur, des données relatives à la navigation internet, à la géolocalisation ou encore aux paramètres des appareils utilisés par le payeur dans le cadre de l’opération (adresse IP, paramètre de l’écran ou du navigateur…).
Dans sa délibération du 13 juillet 2017 précédemment évoquées,la CNIL autorisait déjà les établissements bancaires et financiers à s’appuyer sur de nombreuses catégories de données pour prévenir et lutter contre la fraude externe, y compris la fraude monétique, et notamment :
- « les données d’identification des personnes parties au contrat (client, bénéficiaire effectif, etc.) et des prospects ;
- les données relatives à la situation personnelle, familiale et professionnelle, les informations d’ordre économique et financier et habitudes de vie en lien avec la conclusion des contrats portant sur les « services bancaires et financiers » ;
- les données relatives aux opérations commerciales et au suivi de la relation commerciale ;
- les données relatives aux anomalies, incohérences et signalement pouvant révéler une fraude ;
- […]
- les données relatives aux mouvements financiers, aux moyens de paiement, aux transactions/opérations […] ;
- les données de navigation et de connexion aux systèmes d’information, pouvant comprendre les données de localisation et les données relatives au matériel (y compris la configuration), collectées dans le cadre des contrats souscrits, sous réserve de respecter les dispositions applicables à toute action tendant à accéder par voie de transmission électronique à des informations déjà stockées dans l’équipement terminal de communication électronique ou à inscrire des informations dans cet équipement ».
En effet, un PSP qui se conforme aux seuils de taux de fraude fixés par les RTS SCA pourra ne pas authentifier fortement l’utilisateur du service de paiement lorsqu’il considère le niveau de risque de fraude comme faible suite à une analyse des risques. Pour ce faire, l’analyse de risque devra toutefois répondre à plusieurs conditions prévues aux articles 18.2 et 18.3 des RTS SCA :
Ces exigences concernant le périmètre de l’analyse de risque de fraude vont également conduire les acteurs de la chaine de l’opération de paiement à se partager ces données, le PSP réalisant l’analyse de risque n’ayant généralement pas toutes les informations nécessaires en sa possession. Ces partages d’informations ont d’ores et déjà été anticipés par les autorités françaises et européennes :
- Dans son rapport annuel 2017, l’OSMP, dont la CNIL est membre de droit depuis 2017, indique qu’en raison de l’évolution majeure opérée par la DSP2 dans le processus de décision en matière d’authentification (elle est désormais par principe à l’initiative du PSP du payeur), des échanges d’information entre le commerçant et le PSP du payeur peuvent avoir lieu pour faciliter l’éventuelle application de la dérogation prévue à l’article 18 des RTS SCA. L’OSMP précise en effet, que « sur la base des dispositifs d’évaluation du niveau de risque d’ores et déjà en place, le e-commerçant est capable d’identifier des facteurs de réduction du risque (tels que les habitudes d’achat de son client sur son site en ligne, ou encore l’utilisation d’une adresse de livraison déjà utilisée) qui pourraient justifier de son point de vue le recours à l’exemption au titre de l’article 18 des RTS (c’est-à-dire, niveau de risque faible). Cette information, si elle peut être techniquement partagée avec le PSP du payeur comme cela est prévu notamment dans les spécifications du protocole 3D-Secure 2.0, pourrait être utilisée pour alimenter le dispositif d’évaluation des risques de ce dernier, et donc faciliter l’application d’une exemption »[7].
- De même, l’ABE, dans son avis du 16 octobre 2019, recommande et encourage les différents acteurs à utiliser cette version 2.0 du protocole 3D-Secure capable, contrairement à la version 1.0, de permettre l’utilisation des dérogations prévues dans les RTS SCA. De plus, répondant à une question de l’European Payment Institutions Federation (EPIF) évoquait le cas d’un PSP souhaitant appliquer la dérogation de l’article 18 sans disposer de toutes les informations lui permettant de respecter les conditions des articles 18.2 et 18.3 des RTS SCA, l’ABE a invité ce PSP à envisager de demander des informations aux autres PSP intervenant dans la chaîne de paiement.
Par ailleurs, les traitements de données sous forme d’un scoring réalisés à des fins de lutte contre la fraude aux moyens de paiement, comme c’est le cas pour ceux de données biométriques, sont strictement encadrés par le RGPD. Celui-ci consacre en effet un principe d’interdiction des traitements de profilage[8] assorti de d’exceptions[9] pour lesquelles la réalisation d’une analyse d’impact sur la vie privée est obligatoire[10].
Dès lors, le développement des paiements en ligne, en particulier sur internet, et la nécessité de sécuriser ces opérations en prévenant et en luttant contre la fraude en matière de paiement, a pour conséquence d’accroitre considérablement le nombre de données utilisées lors d’une telle opération.
Le traitement de ces données, de plus en plus riches et stratégiques pour l’économie européenne tant elles caractérisent directement le consommateur (données biométriques) ou concernent ses habitudes de vie et de consommation, constituent un véritable enjeu pour la vie privée des consommateurs. Le traitement de ces données à caractère personnel nécessite ainsi la mise en place, par les PSP et les commerçants, d’une véritable politique de conformité à l’ensemble des dispositions du RGPD.
Alexandre Mandil
[1] 40 000 000 000 000 000 000 000 bytes : ce document fait environ 1 600 000 bytes
[2] Article 97 de la DSP2 transposé à l’article L133-44 Code monétaire et financier
[3] Dans le cadre du recours à une dérogation et notamment à celle de l’analyse des risques de fraude prévue à l’article 18 des RTS SCA, le traitement de données a également pour finalité accessoire de préserver la fluidité du « parcours client ».
[4] La CNIL indique que « dans l’attente de la production de référentiels RGPD, [elle] a décidé de les maintenir accessibles afin de permettre aux responsables de traitement d’orienter leurs premières actions de mise en conformité. » https://www.cnil.fr/fr/declaration/au-054-lutte-contre-la-fraude-externe-dans-le-secteur-bancaire-et-financier
[5] Le paiement unique ; l’abonnement impliquant des paiements multiples ; les solutions de paiement dédiées à la vente à distance ; l’option permettant de faciliter les éventuels paiements ultérieurs ; la souscription à un abonnement, à titre gratuit ou onéreux, donnant accès à des services additionnels, traduisant l’inscription du client dans une relation commerciale régulière ; la lutte contre la fraude à la carte de paiement.
[6] L’article 5 de la DSP2 prévoit notamment que les prestataires de services de paiement (PSP) doivent mettre en place des processus pour « enregistrer, surveiller et restreindre l’accès aux données de paiement sensibles et garder la trace de ces accès ».
[7] Le rapport précise également que le Commerçant et l’Emetteur ne doivent s’échanger, ni donnée à caractère personnel « susceptible de permettre l’identification directe ou indirecte (notamment par recoupement d’informations), de l’auteur d’une fraude ou d’une tentative de fraude », ni fichiers d’exclusion.
[8] Terme défini à l’article 4.4 du RGPD et dans la dernière version des lignes directrices du G29 du 6 février 2018
[9] Notamment lorsque le profilage est nécessaire à la conclusion ou à l’exécution d’un contrat entre la personne concernée et un responsable du traitement ou que le consentement explicite de la personne concerné a été recueilli.
[10] Délibération n° 2018-326 du 11 octobre 2018 portant adoption de lignes directrices sur les analyses d’impact relatives à la protection des données (AIPD) prévues par le règlement général sur la protection des données (RGPD) ;