Évolution des paiements et données personnelles : nécessité (re)fait loi

Le monde des paiements évolue dans son offre, dans sa structure, dans sa fluidité. Il s’ouvre à de nouveaux acteurs, jeunes fintechs, autres prestataires de services de paiements et géants internationaux du net. Ce monde innove avec, par exemple, le paiement instantané, les monnaies numériques, la construction d’un format de carte européen en concurrence à Visa et Master Card. Toutes ces évolutions répondent à des attentes des utilisateurs de services de paiement ou facilitent leurs actes d’achats.

Cette transformation des paiements se traduit cependant par une très forte numérisation. Le chèque baisse drastiquement depuis plusieurs années (il ne représente plus que 5 % des paiements scripturaux contre plus de 70 % dans les années 1980). L’utilisation des espèces diminue également, notamment du fait de la crise du COVID au profit du paiement sans contact. La grande gagnante de ces mutations est bien la carte bancaire, dont l’utilisation pour les achats en ligne ne cesse d’augmenter.

Avec la « consommation » de ces moyens de paiement, l’anonymat des paiements tend à disparaître et leur traçabilité augmente. Les achats se font maintenant avec la fourniture de données de paiement, de données d’achat et de données de contexte, qui sont toutes des données à caractère personnel. Une exploitation de ces données à des fins marketing est souvent évoquée, en ce qui concerne les données d’achat et les données de contexte. Certains vont même jusqu’à soupçonner une surveillance des consommateurs.

L’évolution des paiements attire de nouveaux acteurs. En premier lieu, les prestataires de services de paiement (PSP), tels que réglementés par la Directive sur les services de paiement. Il fut un temps où les PSP étaient vus par les banquiers comme une concurrence inégale du fait des contraintes plus souples auxquelles ils devaient se conformer. Finalement, un écosystème de coopération s’est globalement créé entre les fintechs et les banques. Les PSP apportent surtout une forme digitalisée des services de paiement qui facilite la consultation et l’usage des paiements. D’autres acteurs sont intéressés par le monde des paiements pour les données qu’ils pourraient exploiter. Ces acteurs se positionnent sur la chaîne de paiement, entre le commerçant et la banque du payeur, et fournissent des services annexes. Leur business model se définit par la proposition de services de paiement gratuits, mais dont la rentabilité est assurée par l’exploitation et la commercialisation des données de paiement, d’achat et de contexte captés. Enfin, parmi ces acteurs, des géants internationaux s’invitent avec pour pratique le déploiement, quelle que soit la zone géographique, d’un modèle unique.

Pour les utilisateurs des services de paiement, une double garantie doit être proposée dans leurs achats : l’anonymat et la protection des données. L’anonymat, en particulier pour les achats en ligne, est possible grâce à la tokénisation. Compte tenu du taux de fraude plus élevé pour les achats en ligne que pour les achats en magasin, certaines banques proposent des applications permettant de générer des numéros de cartes valables un temps défini et correspondant au montant à régler. De même, le développement de l’utilisation du Request for Transfer pourrait s’appuyer sur un token de l’IBAN du compte à débiter. D’ailleurs, il y a quelques années déjà, SEPAmail Rubis s’appuyait sur un QXBAN, alias de l’IBAN du débiteur. L’Instant Payment peut également reposer sur l’utilisation d’un token. Un QR Code peut être scanné pour remplir les données du bénéficiaire du virement, sans pour autant que l’émetteur en connaisse le détail. Une quantité importante d’usages est compatible avec la tokénisation de l’IBAN.

La deuxième garantie, concernant la protection des données, est offerte par le RGPD (Règlement Général sur la Protection des Données). Il distingue le responsable du traitement, sur qui de fortes contraintes pèsent, mais qui a la possibilité d’exploiter les données, et les sous-traitants, qui ont moins de contraintes, mais ne peuvent pas exploiter les données pour leur compte. Grâce à ce Règlement, le responsable de traitement doit veiller à ce que la finalité du traitement soit déterminée, légitime et explicite. Une base légale est donc indispensable au traitement. Dans ce cadre, le modèle économique qui exploite les données de ses clients à des fins autres que celles du paiement ne peut subsister. Le RGPD protège donc les utilisateurs de services de paiement, mais pas uniquement, et perturbe les souhaits de déploiement globalisé de certains acteurs internationaux. Pour contourner l’obstacle, certains d’entre eux jouent sur les mots : ils délocalisent le stockage des données de paiement à caractère personnel en dehors de la zone où le RGPD est en vigueur. Une des pistes à l’étude est de compléter ce Règlement pour obliger les responsables de traitement de localiser ces données dans un pays soumis au RGPD.

L’évolution des paiements et leur protection reposent tant sur l’innovation que sur la réglementation. La Directive sur les Services de Paiement entrée en vigueur en 2009 constituait une réponse réglementaire à des pratiques déjà en place. Pareil pour la DSP2. La révision de la DSP2 visant à vérifier qu’elle répond toujours aux pratiques du marché des paiements va bientôt avoir lieu. Elle pourra être utilement complétée. Les deux piliers, innovation et réglementation, garantissent des moyens de paiement modernes et conformes aux règles locales, indépendantes des acteurs internationaux.

1. B. Cet article est inspiré de la lecture du livre blanc publié par la CNIL Quand la confiance paie . Il ne prétend pas en être un résumé ou une critique, loin de là.