La data est au cœur de la stratégie nationale 2019-2024 du Comité national des paiements scripturaux (CNPS).
La stratégie nationale sur les moyens de paiement
Le CNPS, dépendant de la Banque de France, a la charge de piloter la modernisation des moyens de paiement. La conjonction d’évolutions réglementaires et technologiques a reconfiguré, ces dernières années, le paysage des paiements et nécessitait d’actualiser cette stratégie nationale, c’est chose faite en février 2019.
Cette nouvelle ambition passe par trois axes stratégiques au cœur desquels figure la data. Qu’il s’agisse d’en assurer la protection ou l’exploitation afin de sécuriser les paiements.
Ces trois axes sont les suivants :
- poursuivre les actions de promotion des paiements dématérialisés et sécurisés au service de la société
- conforter l’innovation par la sécurité et la sécurité par l’innovation ;
- concourir à l’ambition européenne d’un approfondissement du marché unique des paiements.
D’une manière générale, la protection des données de paiement et la conformité des nouvelles solutions de paiement aux exigences de lutte contre la fraude, font parties des enjeux globaux émergents. Le développement des paiements à distance conduit à une circulation accrue des données de paiement sensibles (1) qui devient un « enjeu de plus en plus crucial ».
Dans ce cadre, le Comité estime que les mécanismes de « tokenisation » (2) essentiellement utilisés dans le cadre des paiements par carte devaient être étendues au paiement SEPA. La plupart du temps, la question de la protection des données de paiement pose également la question de la définition du périmètre de ces données. La question est d’importance à l’heure où de plus en plus de données sont utilisées pour l’analyse d’un paiement, notamment les habitudes :
- d’achat,
- de navigation,
- de géolocalisation,
- le fingerprint des appareils servant aux opérations de paiement, etc.).
A la lecture de cette stratégie, la data tient une place majeure et déterminante dans chacun de ses axes.
En ce qui concerne la poursuite des travaux de dématérialisation et de sécurisation des paiements
Le CNPS appelle de ses vœux le développement de nouvelles technologies d’authentification notamment dans le contexte de l’entrée en application de la DSP2 (3) qui pose des exigences d’authentification forte. Il estime nécessaire de mettre en place des travaux sur les modalités d’authentification. L’objectif : aider les acteurs de marché en particulier s’agissant de l’utilisation de données biométriques.
L’une des actions associées à cet axe vise d’ailleurs à lancer des travaux de clarification du cadre juridique applicable à l’utilisation des techniques biométriques. Cela semble un peu surprenant dans la mesure où le RGPD et la loi Informatique et libertés posent un cadre juridique clair quant à l’usage de ce type de donnée.
Le Comité insiste sur la nécessité de sécuriser les traitements mis en œuvre par l’ensemble des acteurs de la chaine du paiement, en particulier par les commerçants.
Au titre des actions identifiées à cette fin, on note la définition de recommandations relatives à la protection des données de paiement par les commerçants :
- en lien avec la mise en œuvre du RGPD et
- la volonté d’engager des travaux afin d’assurer la cohérence des dispositions législatives françaises et européennes traitant de la sécurité des données de paiement (en particulier la DSP2, RGPD et la directive NIS), ce qui apparait plus que souhaitable.
L’un des objectifs du Comité est également d’améliorer la prévention et la détection de la fraude. Cela passe par :
- la prise en compte des technologies de Big Data et d’intelligence artificielle et
- le renforcement du partage de données entre acteurs.
Le développement d’outils de prévention et de détection de la fraude au niveau européen est également évoqué.
En ce qui concerne le déploiement des innovations : de la donnée encore de la donnée…
Le Comité recommande de promouvoir une utilisation large des API. Pour mémoire la DPS2 prévoit l’obligation de développer des API pour permettre l’accès aux données des comptes de paiement. Selon lui des API devraient également être développées du côté des commerçants. L’objectif : résoudre la complexité croissante liée à la cohabitation de plusieurs moyens de paiement.
L’ensemble des acteurs du système doit garantir les principes de :
- minimisation et
- maitrise par les individus des données auxquels des tiers pourraient avoir accès.
Concourir à l’ambition du marché européen : là encore la data apparaît au cœur de cette stratégie nationale
Le Comité fait une proposition surprenante :
- celle d’étudier les modalités d’une politique de localisation des données de paiement au sein de l’UE.
Il affirme que :
« la localisation au sein de l’UE du traitement des données relatives aux transactions libellées dans les devises de l’Union doit constituer une priorité pour assurer l’indépendance du marché et des acteurs européens dans le domaine des paiements ».
Le comité recommande d’identifier les données critiques de paiement qui font l’objet d’un traitement en dehors de l’UE et d’étudier des pistes d’action pour permettre leur relocalisation. Il cite à titre d’exemple de la génération des « tokens » qui est majoritairement effectuée par des acteurs non européens, soumis à des cadres juridiques très différents.
Le Comité va au-delà en évoquant également le sujet de la localisation du traitement et le stockage des données informatiques de paiement. S’il est évident que cette situation crée une forme de dépendance des acteurs européens, par rapport à d’autres acteurs notamment américains et en particulier vis-à-vis de Visa et Mastercard, il semble qu’il soit un peu tard pour remédier à cette situation.
Données et paiements apparaissent donc inextricablement liés, le développement de cette stratégie devrait donc donner lieu à des débats entre les acteurs du paiement et la Cnil qui rappelons-le est membre de l’Observatoire de la sécurité des moyens de paiement.
Aurélie Banck
Lexing Conformité RGPD Banque – Assurance
Notes
(1) Données de paiement sensibles : Il s’agit des données permettant d’initier des paiements qui incluent les coordonnées bancaires, le numéro de carte et les identifiants de compte en ligne.
(2) « Tokenisation » : Il s’agit d’un process permettant de transformer une donnée sensible en un jeton informatique ou « token» constitué d’un ensemble de caractère non signifiant.
(3) DSP2 : Directive (UE) 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015 concernant les services de paiement dans le marché intérieur, en vigueur dans l’Union européenne depuis le 13 janvier 2018.