La CNIL (Commission nationale de l’informatique et des libertés) a publié, le 6 octobre 2021, un Livre Blanc concernant les moyens de paiement et les données qui y sont associées. Nommé « Quand la confiance paie : les moyens de paiement d’aujourd’hui et de demain au défi de la protection des données », ce Livre Blanc est aussi bien à destination du grand public que des professionnels. Il doit permettre une « meilleure compréhension des enjeux de vie privée relatifs aux données et moyens de paiement » et annonce les « développements sur les points de vigilance de la CNIL en la matière »[1].
Bien que déjà répandu depuis un certain temps, le recours aux moyens de paiement numériques a été accentué par la crise sanitaire. Du paiement par téléphone ou montre connectée, au transfert d’argent sur plateforme numérique, l’impact sur les données personnelles ne doit pas être ignoré.
Que sont les données de paiement ?
Les données de paiement sont définies par le Livre Blanc de la CNIL comme « l’ensemble des données personnelles utilisées lors de la délivrance d’un service de paiement pour une personne physique »[2]. Ces données peuvent être identifiées en 3 grandes catégories :
- Les données de paiement proprement dites (identifiants du moyen de paiement utilisé, montant de la transaction, date et heure du paiement, identité du commerçant et du bénéficiaire) ;
- Les données d’achat ou de caisse (caractéristiques des produits achetés, date et lieu de l’achat) ;
- Les données contextuelles ou comportementales (données de connaissance client, géolocalisation, caractéristiques du terminal utilisé pour un achat en ligne).
Il est important de souligner que les données de paiement sont des données à caractère personnel. Elles sont définies par l’article 4 du RGPD[3] comme toute information se rapportant à une personne physique identifiée ou identifiable, directement ou indirectement. En effet, il est très facile d’avoir des informations sur la vie privée des personnes à partir des catégories de données de paiement vues précédemment : paiement d’un loyer, achats de la vie courante, paiement des factures, relations avec des tiers, etc. Concernant certaines données, comme celles qui dévoilent la géolocalisation des individus par exemple, le Comité européen de la protection des données les qualifie même de « données hautement personnelles ».
Quels enjeux sociétaux et de libertés publiques ?
Les enjeux sociétaux et de libertés publiques[4] qu’impliquent les données de paiement sont multiples. Le Livre Blanc de la CNIL cite notamment la traçabilité, en estimant que c’est un des risques les plus évidents de la circulation des données de paiement. En effet, il est possible pour les opérateurs privés de connaître en détail les informations d’une transaction effectuée par un particulier. Le risque est ici que les données personnelles, qui ont grande valeur, soient réutilisées à d’autres fins.
De plus, l’anonymat n’est plus d’actualité avec la numérisation des moyens de paiement. À l’inverse du paiement en espèce qui ne laisse aucune trace quant à l’identité des personnes, les nouveaux moyens de paiement peuvent permettre d’identifier facilement une personne et, par exemple, de lui envoyer de la publicité ciblée selon ses habitudes de paiement.
Enfin, la surveillance étatique est un point de vigilance important du fait de l’intrusion de l’État dans la vie privée des individus. Une certaine surveillance est déjà en place concernant la lutte contre le blanchiment et le financement du terrorisme, ou encore par les services de renseignement, mais celle-ci doit se faire dans le respect des droits des individus et du RGPD.
Par Alexia Nay
—
[1] https://www.cnil.fr/fr/la-cnil-publie-un-nouveau-livre-blanc-sur-les-donnees-et-moyens-de-paiement
[2] Livre Blanc de la CNIL, Quand la confiance paie : les moyens de paiement d’aujourd’hui et de demain au défi de la protection des données, page 12
[3] Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données
[4] Livre Blanc de la CNIL, Quand la confiance paie : les moyens de paiement d’aujourd’hui et de demain au défi de la protection des données, page 19
