Données personnelles : la DSP 2 et le RGDP sont-ils alignés ?

la DSP 2 et le RGDPComment concilier l’ouverture des données de paiement et le RGPD ? Aurélie Banck nous livre son analyse dans un numéro spécial « DSP 2 : Un nouvel univers de business » publié par la Revue Banque & Stratégie.

La DSP 2 et le RGDP : une philosophie opposée …

La philosophie de la DSP 2 est souvent opposée à celle du RGPD, l’ouverture des données de paiement étant pour certains difficilement conciliable avec la protection des données personnelles. Qu’en est-il vraiment ?

L’ouverture des données de paiement est au centre de l’open banking.  Elle permet à de nouveaux acteurs d’accéder à ces données, et place donc l’interaction entre la directive sur les services de paiement (DSP 2) et le Règlement général sur la protection des données (RGPD) au cœur du débat.

La DSP 2 a été adoptée le 25 novembre 2015 et le Règlement général sur la protection des données date du 14 avril 2016, avec une entrée en application au 25 mai 2018. Ces deux textes ont donc été adoptés dans un cadre temporel très proche.

Dès lors, même si la DSP 2 a été adoptée alors que la Directive 95/46/CE sur la protection des données personnelles était encore en vigueur, on aurait pu légitimement supposer que le législateur veillerait à la cohérence de ce texte avec la réforme en cours relative à la protection des données…

Aurélie  Banck, « La DSP2 et le RGPD sont-ils alignés ou orthogonaux ? » Revue Banque & Stratégie n°379, avril 2019.




Données personnelles : Directive Services de Paiement 2 et RGPD

Directive Services de Paiement 2Comment s’articule la Directive Services de Paiement 2 (DSP2) et le RGPD ? Aurélie Banck, directrice du département Conformité RGPD Banque et Assurance du cabinet nous livre son analyse dans un étude publiée dans la Revue de droit Bancaire et financier (1).

Pour rappel, la Directive sur les services de paiement 2 (PSD2Directive on Payment Services 2) applicable depuis janvier 2018 est venue bouleverser le paysage réglementaire des services de paiement. Cette directive crée de nouveaux services et consacre les principes de l’Open banking que l’on pourrait traduire par « système bancaire ouvert ».

L’Open banking désigne le fait pour des banques de partager les données qu’elles ont à leur disposition avec d’autres services bancaires. L’ouverture des systèmes d’information des banques et le partage des données de leurs clients à des tiers doit prendre en compte le Règlement général sur la protection des données personnelles (RGPD), applicable depuis le 25 mai 2018 (2).

Ce dernier contraint les banques à intégrer le consentement du client à leur stratégie de partenariat. Il en résulte de nombreuses problématiques nouvelles puisque les clients doivent en effet pouvoir :

  • décider des données qu’ils souhaitent partager, avec qui et à quelles fins ;
  • retirer leur consentement ;
  • demander la suppression de leurs données à tout moment.

Le prestataire de services de paiement (PSP) se trouve confronté à de nombreuses questions pratiques s’agissant du recueil du consentement au traitement des données clients : peut-il résulter d’une case à cocher ?  qu’advient-il si le client ne coche pas la case ? le service de paiement peut-il continuer à être délivré ? etc. et de nombreuses autres questions que soulève l’auteur dans son étude.

Isabelle Pottier
Directeur Études et Publications

(1) Aurélie Banck, « Données personnelles : articulation de la Directive sur les Services de Paiement 2 et du Règlement général sur la protection des données – Acte II : suite et fin ? », N°6 – 19 décembre 2018 – Droit bancaire et financier – LexisNexis.
(2) Dans une précédente étude 1, Aurélie Banck examinait l’articulation des dispositions relatives à la protection des données figurant dans la Directive sur les Services de Paiement 2 (DSP2) et le RGPD, N°1 Janvier 2018 Revue de Droit bancaire et financier  LexisNexis.




Recommandation de la Cnil sur les données de cartes de paiement

données de cartes de paiementLa Cnil a mis à jour sa délibération de 2017 sur le traitement des données de cartes de paiement en cas d’opération à distance. Le but de la mise à jour  de cette recommandation est de prendre en compte les évolutions technologiques, ainsi que l’entrée en application du Règlement 2016/679 (ci-après « RGPD »).

Pour rappel, cette délibération (1) s’applique au traitement de données relatives à la carte de paiement lors des ventes à distance de produits ou de services.

Données de cartes de paiement : Quels sont les changements à prendre en compte par les e-commerçants ?

Evaluer si une analyse d’impact (« AIPD ») est requise

La Cnil rappelle que les données relatives à la carte de paiement sont des données à caractère « hautement personnel » (2).

Or, il s’agit de l’un des critères susceptibles de nécessiter la réalisation d’une analyse d’impact sur la vie privée (« AIPD ») selon le Comité européen de la protection des données.

De ce fait, les e-commerçants qui traitent ces données doivent réaliser une pré-analyse pour déterminer si une AIPD est requise.

A cette fin, ils peuvent solliciter, conformément à l’article 28, 3) du RGPD, l’aide de leur sous-traitant, auprès duquel la gestion du système de paiement est externalisée.

Possibilité de se fonder sur l’intérêt légitime pour conserver les données relatives à la carte de paiement lors de la souscription d’un abonnement avec des services additionnels

Désormais, l’e-commerçant qui propose un abonnement avec des services additionnels, peut conserver les coordonnées bancaires sur la base de son intérêt légitime.

En effet, selon la Cnil, le fait de souscrire un tel abonnement traduit l’intention de l’abonné de s’inscrire dans une relation commerciale régulière.

De ce fait, l’intérêt légitime peut constituer une base juridique pour ce traitement car l’abonné peut raisonnablement s’attendre à la conservation de ses données (3).

Sont concernés, notamment, les abonnements aux plateformes avec des services de livraison gratuite, assortis de prestations additionnelles comme un service de la livraison rapide.

L’e-commerçant peut conserver les données relatives à la carte de paiement si certaines conditions sont respectées :

  • la personne concernée doit avoir manifesté son intention de s’inscrire dans une relation commerciale régulière, intention qui ne peut être déduite de la simple création d’un compte client ;
  • l’abonné doit avoir été clairement informé de la conservation par défaut des données relatives à sa carte de paiement ;
  • il doit, en outre, être en mesure de s’opposer à la conservation de ses données au moment de la collecte (par une case à cocher par exemple) ;
  • les données relatives à la carte de paiement ne peuvent être conservées dans ce cadre que le temps nécessaire à l’accomplissement de la finalité.

A noter, cependant, que l’option permettant de faciliter les éventuels paiements ultérieurs nécessite toujours le recueil du consentement de la personne concernée, conformément à l’article 6 du RGPD.

Mise à jour des mentions d’information des clients

La Cnil recommande aux e-commerçants de modifier leurs mentions d’information pour les rendre conformes aux articles 13 et 14 du RGPD.

Par ailleurs, ces mentions d’information doivent présenter les nouveaux droits issus du RGPD (comme le droit à la portabilité). Il conviendra, en outre, en cas de reconduction tacite du contrat, de rappeler au client que ses données seront utilisées dans le cadre du nouveau contrat.

Nécessité de conclure un contrat conforme à l’article 28 du RGPD

Les e-commerçants externalisent généralement la gestion du système de paiement auprès d’un sous-traitant (ayant la qualité de prestataire de service de paiement).

Les e-commerçants devront donc procéder à la modification de leurs contrats d’acceptation avec ces prestataires pour les rendre conformes à l’article 28 du RGPD.

Obligation de notifier les violations de données à la personne concernée

La recommandation précise qu’en plus de la notification de violation qui doit être adressée à la Cnil, une seconde notification doit être faite à la personne dont les données ont fait l’objet d’une violation de sécurité afin qu’elle puisse prendre les mesures appropriées pour limiter les risques de réutilisation frauduleuse de ses données (contestation de paiements frauduleux, mise en opposition de la carte, etc.). Il semblerait, dès lors, que, dans ce contexte, la Cnil considère qu’une violation portant sur de telles données comporte un risque élevé pour les personnes concernées.

Aurélie Banck
Alicia Béré
Département Conformité RGPD Banques et Assurances

(1) Délibération Cnil n° 2018-303 du 6 septembre 2018 portant adoption d’une recommandation concernant le traitement des données relatives à la carte de paiement en matière de vente de biens ou de fourniture de services à distance et abrogeant la délibération n°2017-222 du 20 juillet 2017.
(2) G29, Lignes directrices concernant l’analyse d’impact relative à la protection des données (AIPD) et la manière de déterminer si le traitement est «susceptible d’engendrer un risque élevé» aux fins du règlement (UE) 2016/679, adoptée le 4 avril 2017, telles que modifiées et adoptées en dernier lieu le 4 octobre 2017, p.11.
(3) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données), considérant 47.




RGPD : les banques sont-elles à égalité avec les géants du web ?

géants du webLes géants du web sont-ils soumis aux mêmes règles ? Aurélie Banck nous livre son analyse dans un numéro spécial « Gafa & Banques : concurrents ou partenaires » publié par la Revue banque.

Alors que le RGPD vient d’entrer en vigueur, les acteurs bancaires européens peuvent-ils compter sur une égalité de traitement réglementaire avec les géants technologiques quant à l’utilisation des données personnelles ? Pour Aurélie Banck, la réponse est nuancée.

Pour les entreprises les plus puissantes du monde de l’internet à savoir : Google, Apple, Facebook et Amazon, le Règlement général européen sur la protection des données personnelles (RGPD ou, en anglais, GDPR) pourrait offrir de nouvelles opportunités.

Elles pourraient récupérer des données dont l’exploitation commerciale est une source significative de revenus. Ou, dans une stratégie de diversification, créer un nouveau pôle d’activité. Cela va se jouer autour de la capacité, d’une part, à capter et traiter les données, d’autre part, à conserver la relation directe avec le client mais également au niveau réglementaire sur l’égalité de traitement entre les entreprises du secteur bancaire et les géants du web.

L’adoption du RGPD applicable depuis le 25 mai dernier offre un cadre réglementaire de plus en plus dense sur la protection des données personnelles et la sécurité des transactions numériques.

Les banques restent vigilantes face aux avancées des GAFA dans leur périmètre, mais elles savent pouvoir compter sur de réels atouts : un patrimoine de données très riches et leur capacité à s’adapter plus aisément aux évolutions réglementaires.

Aurélie Banck, « Les géants du web sont-ils soumis aux mêmes règles ? » Revue Banque n°821, juin 2018.




Articulation de la PSD2 et du RGPD, le CEPD publie sa position

articulation de la PSD2 et du RGPDArticulation de la PSD2 et du RGPD, le Comité européen de la protection des données (successeur du G29) publie sa position. 

Alors que le Sénat vient d’adopter en seconde lecture, la ratification (1) de l’ordonnance 2017-1252 du 9 août 2017 portant transposition de la directive 2015/2366 dite Directive sur les services de paiement 2 (PSD2 : Directive on Payment Services 2), le Comité européen de la protection des données vient de faire connaitre sa position quant à l’articulation de ce texte avec le Règlement européen relatif à la protection des données (RGPD).

C’est au travers d’une lettre de la Présidente du Comité (2) en réponse à un membre du Parlement européen que le successeur du G29 fait connaitre sa position sur les dispositions relatives à la protection des données figurant dans la PSD2 qui devait être transposée au plus tard le 13 janvier 2018.

Articulation de la PSD2 et du RGPD : les données du problème

Le consentement. Pour mémoire, la PSD2 comporte des dispositions spécifiques concernant la protection des données notamment au travers de son article 94 qui dispose que « les prestataires de services de paiement n’ont accès à des données à caractère personnel nécessaires à l’exécution de leurs services de paiement, ne les traitent et ne les conservent qu’avec le consentement explicite de l’utilisateur de services de paiement ».

Ce texte a soulevé de nombreuses interrogations, les données nécessaires à l’exécution d’un contrat étant généralement collectées sur la base de l’exécution de mesures contractuelles au sens de l’article 6, 1), b du RGPD et non sur la base d’un consentement qui par définition est réversible.

En l’espèce, le retrait de ce consentement aurait entraîné l’impossibilité de traiter les données nécessaires à l’exécution du contrat et donc empêcher la délivrance du service. En outre, la notion de consentement explicite ne concerne dans le RGPD que la collecte de données relevant de catégories dites « particulières » (3) dont les données financières ne font pas partie. Le recueil de ce consentement n’était donc pas sans soulever de questions.

La collecte de données relatives à des tierces parties. La réalisation d’un virement à l’intention d’un particulier nécessite la collecte et le traitement de données personnelles relatives à ce tiers notamment son relevé d’identité bancaire afin de procéder à cette opération. Alors même que la collecte des données de l’utilisateur des services de paiement était supposée reposer sur son consentement, les prestataires de service de paiement s’interrogeaient sur le fondement de la collecte de ces informations relatives à des tiers et notamment sur le fait qu’il convenait ou non de recueillir leur consentement à l’opération de paiement.

Articulation de la PSD2 et du RGPD : Les réponses du CEPD

Sur le consentement, le Comité affirme que le consentement au sens de l’article 94 s’entend d’un « consentement contractuel ». Le Comité considère donc qu’au sens du RGPD, la collecte des données nécessaires à la délivrance du service de paiement relève de l’exécution de mesures contractuelles (art. 6, 1, B du RGPD). Les personnes concernées doivent donc au moment de l’entrée en relation avec un prestataire de service de paiement être clairement informées des finalités et des modalités de traitement de leurs données, clauses qui doivent être distinctes des autres éléments du contrat.

Le Comité en conclut que le concept de consentement explicite de l’article 94 de la Directive n’est pas le même que celui de consentement explicite du RGPD. Si on peut  saluer cette position pragmatique, cette interprétation ne sera sans doute pas au goût des puristes, le consentement requis au titre de l’opération de paiement faisant l’objet de l’article 64 de la Directive, ce qui sous-tend que le consentement prévu à l’article 94 était bien relatif au traitement des données – interprétation qui semble être confirmé par le législateur français au vu des termes de la transposition (cf. infra).

Le Comité rappelle également que tout traitement de données supplémentaire pour des besoins qui ne seraient pas strictement nécessaires à l’exécution du contrat peuvent cependant relever du consentement pour autant que les conditions prévues dans le règlement soient respectées.

Sur la collecte de données relatives à des tiers, le Comité précise que la collecte et le traitement de ces données peuvent relever de l’intérêt légitime du responsable du traitement ou du tiers en l’espèce l’utilisateur du service de paiement. Il rappelle cependant que l’intérêt légitime du responsable du traitement est limité et déterminé par les attentes raisonnables des personnes concernées (en l’espèce transmettre ou recevoir une somme d’argent). Dès lors, ces données ne sauraient être utilisées pour une autre finalité que de procéder aux opérations de paiement.

Articulation de la PSD2 et du RGPD : les questions restant en suspens

Le Comité était également interrogé sur la question des standards techniques. Il révèle à cette occasion qu’il n’a pas été consulté sur ces standards ce qui semble regrettable au vu de la nécessité d’articuler l’ensemble de ces dispositions.

Le Comité n’était pas non plus interrogé sur la question de l’articulation des notifications de violation de données et des incidents de sécurité. Pour mémoire, les incidents opérationnels ou de sécurité majeurs doivent faire l’objet d’une notification tout comme les violations de données à caractère personnel. Les modalités de ces deux déclarations et les autorités de contrôle compétentes sont toutefois distinctes.

Enfin, l’ordonnance récemment ratifiée par le Parlement ne prend pas en compte ces éléments. Ainsi, l’article L. 521-5 du code monétaire et financier (CMF) reprend la terminologie de la Directive en précisant que « Les prestataires de services de paiement n’ont accès à des données à caractère personnel nécessaires à l’exécution de leurs services de paiement, ne les traitent et ne les conservent qu’avec le consentement exprès de l’utilisateur de services de paiement ». Le contrôle de ces dispositions incombant à la Cnil au titre de l’article L. 521-7 du CMF, il est probable que l’autorité prendra en compte la position du Comité sur ce sujet.

L’ensemble des standards techniques n’étant pas encore publiés, il est probable que ce sujet sera de nouveau d’actualité dans les prochains mois.

Aurélie Banck
Lexing Conformité RGPD Banque Assrance

(1) Loi de ratification (petite loi) : http://www.senat.fr/petite-loi-ameli/2017-2018/672.html
(2) Letter regarding the PSD2 Directive : https://edpb.europa.eu/sites/edpb/files/files/news/psd2_letter_en.pdf
(3) Font parties des catégories dites « particulières » de données l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle.




Protection des données : quels changements pour les banques ?

protection des donnéesQuels sont les changements à attendre du projet de loi sur la protection des données personnelles dans le secteur bancaire ?

Cet article analyse les impacts pour le secteur bancaire et financier du projet de loi relatif à la protection des données personnelles sur le point d’être adopté.

Ce texte modifie la loi Informatique et Libertés afin d’intégrer en droit français les dispositions nécessaires à la mise en œuvre du RGPD (notamment en ce qui concerne les prérogatives de la Cnil). Il intègre également en droit local des spécificités prévus par le Règlement. Enfin, il transpose la directive 2016/680 relative aux traitements mis en œuvre à des fins de Prévention et de Détection des infractions pénales.

L’ensemble de ces dispositions ne sont donc pas applicables au secteur bancaire et financier notamment les articles 18 et 19 du projet qui portent sur la transposition de la Directive.

Au titre des dispositions impactantes pour ces acteurs, on peut noter la modification des pouvoirs de la Commission et notamment la possibilité qui lui est offerte d’adopter des lignes directrices, recommandations ou référentiels destinés à faciliter la mise en conformité des traitements.

Le projet de loi clarifie également les types de secret opposable aux agents de la Commission et exclut le secret bancaire de ces dispositions. Il introduit certaines dispositions spécifiques pour les traitements comportant une prise de décision automatisé, fréquents dans le secteur bancaire et financier. Enfin, les parlementaires ont introduit par voie d’amendement la possibilité d’engager une action de Groupe à des fins d’indemnisation du préjudice subi par les personnes concernées.

Conscient qu’un travail de rédaction postérieur à l’adoption de la loi sera nécessaire notamment afin de donner aux règles de protection des données personnelles une meilleure lisibilité, le gouvernement a prévu de prendre par ordonnance les mesures nécessaires à la réécriture de la loi Informatique et Libertés avant la fin de l’année.

Aurélie Banck, « Projet de loi sur la protection des données personnelles ? Quels changements pour les établissements financiers ? » , Revue Banque n°819, mars 2018.




Les problématiques juridiques relatives au paiement cashless

Les problématiques juridiques relatives au paiement cashlessLe paiement cashless est un moyen de paiement dématérialisé très facile d’utilisation qui connait un essor  fulgurant.

Popularisé à l’occasion de festivals ou de concerts, le paiement cashless peut se matérialiser sous différentes formes ayant toutes pour vocation la limitation de la circulation d’argent.

Ainsi, l’utilisateur se dote d’une bague ou d’un bracelet spécifiquement conçu pour pouvoir communiquer avec des terminaux adaptés, et ce au sein d’un périmètre bien défini.

Comment fonctionne le paiement cashless ?

La puce utilisée dans le cadre du paiement cashless est une puce NFC (near field communication) permettant au terminal de paiement et au bracelet, tous deux dotés de puce NFC, de communiquer entre eux.

Il s’agit d’un dérivé des puces RFID, qui se distingue de ces dernières en ce que la puce NFC :

  • a une plus courte distance d’action ;
  • utilise des vitesses faibles de transmission.

Les deux équipements dotés de puce NFC peuvent fonctionner selon trois modes opérationnels distincts :

  • soit de pair-à-pair afin de transférer des fichiers entre deux smartphones par exemple ;
  • soit en lecture-écriture, le smartphone se transforme en lecteur NFC pour lire les étiquettes électroniques ou tags diffusant des informations ;
  • et enfin soit en émulation de carte, comme dans le cadre d’un paiement cashless.
Comment utiliser le paiement cashless ?

Au préalable, l’utilisateur peut recharger son bracelet ou sa bague de deux manières :

  • le moyen de paiement est relié à un compte par une carte à puce. Le titulaire du moyen de paiement sans contact peut recharger son compte sur le site web ou l’application dédiée ;
  • le titulaire du moyen de paiement ne dispose pas d’un compte et va alors procéder au rechargement sur les lieux de l’événement, auprès d’une banque identifiée cashless, en contrepartie d’espèces.
Quels sont les risques en matière de protection des données à caractère personnel ?

L’usage de ce type de technologie soulève d’importantes problématiques en matière de protection des données à caractère personnel.

Ainsi, dans l’hypothèse où le contenu de la puce n’est pas chiffré, toute personne peut, dès lors qu’elle dispose d’un appareil adéquat, lire le contenu de la puce. Or, les puces contiennent des données à caractère personnel, permettant d’identifier directement ou indirectement, le porteur de la carte.

Les puces NFC peuvent contenir de nombreuses informations non chiffrées comme le nom, le prénom du porteur, le numéro de la carte et la date d’échéance ainsi que les dernières transactions effectuées.

Une étude réalisée en 2003 par la Commission nationale de l’informatique et des libertés (Cnil) (1) identifie « quatre pièges qui concourent à minorer le risque que présente cette technologie en matière de protection des données personnelles et de la vie privée », à savoir :

  • l’insignifiance apparente des informations contenues dans les puces ;
  • le fait que les puces paraissent plutôt rattachées aux objets qu’aux personnes ;
  • la normalisation technologique basée sur le concept américain de « privacy », sans prise en compte des principes européens de protection de la vie privée ;
  • le risque de « non-vigilance » individuelle, la présence et l’activation de la puce étant invisibles.

La Commission européenne s’était intéressée à ces problématiques en 2006 et avait lancé une consultation publique sur la manière de concilier le développement de la technologie RFID et la protection des données à caractère personnel et de la vie privé.

Identifiant les risques que pouvaient impliquer la RFID, la Commission a considéré que seule « une approche spécifique à chaque application RFID peut s’avérer efficace […], car chaque application comporte ses propres risques et avantages ».

Pour la Commission en effet, « les puces RFID peuvent être considérées comme un moyen d’espionner les consommateurs. Il faut donc prendre des mesures pour garantir que cette technologie respecte la vie privée. Un emblème RFID sur les produits serait une première étape garantissant la transparence de l’industrie ».

Ces mesures ont été prises par une grande majorité des acteurs du secteur bancaire, cependant, on peut déplorer le fait que l’utilisateur ne soit pas informé des risques qu’engendre ce type de services.

L’existence de pratiques abusives

Il a été constaté à l’occasion de diverses manifestations que l’utilisation du paiement cashless pouvait constituer une pratique abusive.

Ainsi, les organisateurs s’affranchiraient de la législation applicable en interdisant le paiement en espèce au profit du paiement cashless.

Pourtant la loi est claire en la matière puisqu’est puni d’une contravention de deuxième classe « le fait de refuser de recevoir des pièces de monnaie ou des billets de banque ayant cours légal en France » (2).

Par conséquent, en interdisant le paiement en espèces, les organisateurs s’exposent au paiement d’amende d’un montant maximum de 1500 euros.

En outre, le paiement cashless nécessite l’acquisition d’une carte de paiement qui exige le paiement de la somme de 1 euro. Autrement dit, le paiement en espèces est taxé par rapport à un paiement direct par carte bancaire auprès du vendeur.

Or, il est interdit d’appliquer des frais pour l’utilisation d’un instrument de paiement, comme le précise l’article L. 112-12 du code monétaire et financier. La Banque de France le confirme : ces pratiques sont bien « des infractions » passibles d’une contravention de seconde classe.

Les organisateurs de ce type d’évènements passent donc outre le cadre légal et règlementaire existant.

Enfin, il semble que ces moyens de paiement disposent d’une durée de validité limitée dans le temps extrêmement réduite. Cette caractéristique ne pose pas en soi de problème.

ependant, il semble nécessaire de prévoir des modalités simples pour les consommateurs de récupérer l’argent restant sur ce compte rechargé de façon éphémère au risque de perdre la totalité des sommes non dépensées.

Avec l’application du règlement européen (3) à partir du 4 mai 2018, la protection des données à caractère personnel devient un défi majeur sur le territoire de l’Union européenne. Dès lors les éditeurs de solutions de paiement devront concevoir leurs nouvelles solutions à l’aune des principes du règlement européen, notamment en veillant au respect du principe de privacy by design ou de security by design.

Frédéric Forster
Charlotte Le Fiblec
Lexing Droit Télécoms

(1) Communication de M. Philippe Lemoine relative à la radio-identification du 30-10-2003
(2) C. pén., art. R.642-3
(3) Règlement UE 2016-679 du 27-04-2016




France Fintech R:Evolution : « Big time for data and security »

France Fintech R:Evolution : "Big time for data"Alain Bensoussan participera à une table ronde sur le Big data à la journée FINTECH R:EVOLUTION du 3 mai.

France Fintech est une association qui fédère les entreprises utilisant des modèles opérationnels, technologiques ou économiques innovants et visant à traiter des problématiques existantes ou émergentes de l’industrie des services financiers.

Elle organise le 3 mai 2016 au Pavillon Gabriel à Paris l’événement Fintech R:EVOLUTION réunissant les personnalités les plus influentes du monde de la Fintech, et ses start up les plus innovantes.

Alain Bensoussan participera à la table ronde sur le thème « Big time for data and security » aux côtés de :

  • Damien Bancal, journaliste, expert en cybersécurité ;
  • Nozha Boujemaa, conseiller auprès du président directeur général de l’Inria, spécialiste Big Data ;
  • Stéphane Dubois, fondateur et directeur général de Xignite, modérateur.

Le Big data offre la possibilité de traiter en temps réel un nombre quasi illimité de données avec des outils analytiques de plus en plus performants. Cette gestion massive des données n’est pas sans poser certaines questions à la fois quant à la disponibilité des données (publiques, privées), la sécurité et la confidentialité, la responsabilité, le respect de la vie privée et la protection des données à caractère personnel.

Les plus grands hackers de données ne sont-ils pas les opérateurs des réseaux sociaux qui collectent des milliards de données sur leurs utilisateurs sans que ces derniers n’en aient vraiment conscience ? « If you don’t pay for the product, you’re the product » :

  • Où s’arrête la limite de partage des données ? Peut-on parler d’un cadre moral ?
  • Quel cadre légal demain avec les nouvelles technologies de la Data ? Quels seront nos droits ?

Le phénomène touche l’ensemble des secteurs économiques et des activités de l’entreprise, du marketing aux ressources humaines. Le Big data fait partie des grands enjeux juridiques des nouvelles technologies du futur.

Virginie Bensoussan-Brulé
Lexing Droit presse et pénal numérique

La journée FINTECH R:EVOLUTION aura lieu le 3 mai 2016, au pavillon Gabriel, 5 avenue Gabriel, 78008 Paris.
Programme et inscription : http://revolution.francefintech.org/

 




Lutte contre le blanchiment en assurance : avalanche de réformes

Lutte contre le blanchiment en assurance : une avalanche de réformesCéline Avignon interviendra sur la lutte contre le blanchiment en assurance dans le cadre d’une formation organisée par Edition Formation Entreprise, qui se déroulera le 5 avril à Paris.

Il s’agit du 5e RDV annuel sur la lutte contre le blanchiment et le financement du terrorisme en assurance organisé par EFE.

Les assureurs et intermédiaires auront à faire face à une avalanche de réformes à venir (4e directive LCB/FT, PNLF, réforme Sapin, nouvelles lignes directrices de l’Autorité de contrôle prudentiel et de résolution -ACPR-, déclarations de soupçons à Tracfin, règlement européen « Data protection », etc.).

Les grands experts de la matière passeront au crible toute l’actualité légale et réglementaire ainsi que les nouvelles pratiques apparues pendant l’année.

L’occasion de faire le point notamment sur la 4e directive lutte anti-blanchiment du 20 mai 2015, les nouvelles lois « Renseignement » et « Fraude fiscale et grande délinquance économique », sur les dernières décisions, notamment le jugement « Ricci » mais aussi sur les nouvelles lignes directrices de TRACFIN et de l’ACPR, ou encore d’analyser le traitement des dernières opérations suspectes de blanchiment en assurance, le tout illustré par des retours d’expériences concrets.

Céline Avignon abordera plus particulièrement les moyens de concilier les obligations relatives à la lutte contre le blanchiment en assurance avec celles relatives aux traitements de données à caractère personnel, autorisations de la Cnil, flux transfrontières de données ainsi que les futures obligations du règlement européen « Data protection ».

Consultez le programme de la formation.




Le sticker : un nouveau moyen de paiement sans contact

Le sticker : un nouveau moyen de paiement sans contactLe sticker de paiement sans contact est un moyen de paiement à apposer par le consommateur sur un objet.

Le sticker permet de régler des achats sans avoir à composer un code. Approuvé par Visa et Mastercard, le sticker peine à entrer sur le marché Français mais commence à se développer au Royaume-Uni, ainsi qu’aux Etats-Unis et dans d’autres pays européens.

Le développement de la technologie NFC dans le secteur bancaire. L’introduction des stickers de paiement sans contact sur le marché des moyens de paiement renouvelle la question de la sécurité autour de la technologie NFC (Near Field Communication).

La Cnil s’était déjà penchée sur la question du niveau de protection des données personnelles de ces nouveaux moyens de paiement.

Elle avait, à cette occasion, relevé une insuffisance de sécurité du fait de la possibilité d’intercepter les échanges de données personnelles entre une carte bancaire dotée de la technologie NFC et le lecteur à proximité duquel elle est passée (1).

Suite aux recommandations de la Cnil, seuls le numéro de carte et sa date d’expiration restent interceptables.

Réduire les risques de fraude liés à la technologie NFC. Pour réduire les risques de fraude, plusieurs moyens s’offrent aux consommateurs. Tout d’abord, ces moyens de paiement sans contact sont unitairement limités aux achats d’un montant, en général, inférieur à 20 euros. Des plafonds cumulés empêchent également de payer sans contact au-delà d’un certain montant par jour et par mois.

Par ailleurs, la Cnil ainsi que la Banque de France recommandent aux utilisateurs de protéger leur moyen de paiement par l’usage d’un étui protecteur qui créé une barrière contre les ondes électromagnétiques.

Enfin, en cas de fraude, l’établissement bancaire est tenu au remboursement intégral immédiat pour tous prélèvements réalisés sans qu’un code confidentiel n’ait été composé et si le titulaire du moyen de paiement ne tarde pas à faire opposition (2).

L’Institut national de la consommation a publié en début d’année une fiche pratique relative au paiement sans contact afin de répondre aux diverses interrogations des consommateurs (3).

Christian Noyer, le gouverneur de la Banque de France tient à rassurer les utilisateurs des moyens de paiement sans contact comme le sticker, en affirmant que l’année 2014 a permis de révéler que « la fraude demeur[ait] parfaitement contenue » avec un taux de 0,010% représentant un montant total de 108 000 euros ».

Ces statistiques, apportent, selon le gouverneur, la preuve « qu’innovation et sécurité ne sont pas incompatibles ».

Frédéric Forster
Lexing Droit Télécoms

(1) Lire un précédent Post du 27-7-2013.
(2) CMF, art. L.133-20 et L.133-18.
(3) INC, Fiche pratique du 25-2-2015.




Salon Banque et Innovation : le cabinet était présent

Salon Banque et Innovation : le cabinet était présentAlain Bensoussan, Polyanna Bigle et Frédéric Forster sont intervenus dans le cadre du salon Banque et Innovation 2015.

La deuxième édition du salon Banque et Innovation, événement de référence dédié aux innovations bancaires, s’est déroulée le 1er octobre dernier à Paris, en l’Hôtel des Arts & Métiers. Elle avait pour thématique les enjeux que représente la transition digitale pour le secteur bancaire. notamment en termes d’évolution de l’expérience et de la relation client, d’utilisation des réseaux sociaux ou encore de protection des données.

Le recours croissant aux technologies de l’information et de la communication impulse en effet de profondes mutations que la banque doit accompagner en se dotant d’instruments appropriés en vue de favoriser la modernisation de ses canaux, produits et services.

Alain Bensoussan et Polyanna Bigle sont intervenus dans le cadre d’une conférence intitulée « Signature électronique en proximité et à distance ». Leurs propos portaient plus particulièrement sur la signature électronique adoptée par les usages avec les solutions Wacom.

Frédéric Forster a pris quant à lui la parole dans le cadre d’une seconde conférence consacrée à la collecte et à la valorisation des données à des fins marketing. Il s’est attaché à préciser la réglementation française et européenne applicable aux Big Data.

Le salon a été ponctué par la remise des grands prix Banque et Innovation, distinguant les meilleures innovations, sélectionnés sur le fondement de « critères d’excellence technique, de potentiel commercial et d’originalité ».




Secteur bancaire : une recommandation sur le paiement à distance

Secteur bancaire : une recommandation sur le paiement à distanceLe secteur bancaire n’en finit pas de faire l’objet d’évolutions de sa réglementation, la dernière en date concernant une nouvelle recommandation de la Cnil relative au paiement à distance (1), qui vient modifier une précédente recommandation datant de 2003. Cette recommandation a fait l’objet d’une concertation impliquant, outre la Cnil, la Banque de France, les associations de consommateurs, des acteurs du e-commerce et de la vente à distance ainsi que le Groupement carte bancaire, selon le communiqué de la Cnil.

Concernant, tout d’abord, le champ d’application de cette recommandation, celle-ci se trouve élargi à l’ensemble des cartes bancaires en circulation, qu’elles soient interbancaires ou non.

Le numéro de la carte ne peut être collecté que pour des besoins ayant trait aux opérations de paiement (transactions, réservation de biens ou de services, création de comptes de paiement en ligne, offres de paiement à distance proposées par les acteurs du secteur bancaire, comme les prestataires de services de paiement et, enfin, lutte contre le blanchiment).

La Cnil indique ainsi que toute autre utilisation de ce numéro est interdite et qu’il ne peut donc pas constituer un identifiant commercial permettant de désigner une personne physique par ce numéro.

Les commerçants en ligne se voient également interdits de toute collecte d’une copie de la carte bancaire, y compris si les numéros qui y figurent sont partiellement masqués, les seules données pouvant être demandées au porteur de la carte étant son numéro, sa date d’expiration et le cryptogramme visuel.

Si l’e-commerçant souhaite pouvoir conserver le numéro de la carte de son client, pour lui éviter, par exemple, de le ressaisir lors d’un prochain achat, il doit obligatoirement obtenir le consentement exprès de celui-ci, ce consentement ne se présumant pas.

Comme souvent, en pareil cas, le consentement peut prendre la forme d’une case à cocher, le pré-cochage de celle-ci par le commerçant étant évidemment interdit. De plus, la Cnil recommande que l’e-commerçant mette à disposition de ses clients un moyen simple d’annuler l’autorisation qu’il a pu donner à un moment.

Le secteur bancaire sera plus particulièrement intéressé par les recommandations de la Cnil sur la confidentialité des données relatives à la carte, puisque les e-commerçants devront prendre des mesures de nature, par exemple, à masquer tout ou partie du numéro de la carte lors de son affichage ou de son stockage, ), à remplacer les numéros de cartes par des numéros non signifiants ou à mettre en œuvre les mesures permettant de détecter les accès frauduleux ou illégitimes et à les imputer à une personne responsable.

Mais le secteur bancaire devra également prendre en compte, pour ce qui concerne ses propres activités, la recommandation selon laquelle les numéros de cartes bancaires ne doivent pas être stockables et, en conséquence, stockés sur les terminaux mobiles des clients, ces terminaux n’offrant pas, selon la Cnil, les moyens d’assurer la sécurité des données bancaires.

La question épineuse, et non réellement tranchée par cette recommandation, est celle de la communication des numéros de cartes, voire le cryptogramme qui lui est attaché, ainsi que de la date d’expiration, lors de transactions réalisées par téléphone. En effet, la Cnil pose le principe selon lequel une solution technique alternative, gratuite pour le client, doit lui être proposée pour lui permettre de communiquer ces informations en toute sécurité. Cependant, la Cnil ne donne ni de date butoir de mise en œuvre, ni d’indication sur ce que pourrait être cette solution technique.

Par ailleurs, le secteur bancaire est clairement directement concerné par la dernière partie de la recommandation de la Cnil puisqu’il lui est demandé d’anticiper une évolution réglementaire qui concernera la notification des failles de sécurité.

Comme c’est déjà le cas de longue date aux Etats-Unis, les entreprises du secteur bancaire devraient, sans attendre que cette évolution réglementaire n’arrive en France, révéler les failles qui conduiraient à la compromission des données bancaires des clients et prendre els mesures appropriées pour limiter les risques de réutilisation frauduleuse des cartes.

Enfin, le secteur bancaire est invité à modifier sa démarche en matière de protection des données personnelles, puisqu’il lui est proposé, comme aux autres acteurs impliqués par les opérations de commerce électronique, à développer une démarche de type « Privacy by design » et d’élaboration de politiques « Vie privée », et ce, dès la conception des produits permettant la collecte et le stockage des données personnelles de leurs clients.

Frédéric Forster
Lexing Droit Télécoms

(1) Délib. n° 2013-358 du 14-11-2013




Nouvelle recommandation de la Cnil relative aux cartes de paiement

Nouvelle recommandation de la Cnil relative aux cartes de paiementRecommandation de la Cnil – L’autorité considère que la sécurité et la confidentialité des données relatives aux cartes de paiement constituent des éléments clés pour garantir la confiance dans le commerce électronique. A cet égard, elle avait adopté, le 19 juin 2003, une recommandation relative au « stockage et à l’utilisation du numéro de carte bancaire dans le secteur de la vente à distance » (1). Au regard de l’évolution du cadre légal et technologique depuis ces dix dernières années, la Cnil a récemment actualisé ses recommandations s’agissant des garanties minimales à respecter lors de la mise en œuvre, par les professionnels, de traitements afférents à des données relatives à la carte de paiement (2), recommandations qui viennent d’être publiées au Journal Officiel.

Cette recommandation de la Cnil, qui vise les traitements de données relatives à la carte de paiement en matière de vente de biens ou de fourniture de services à distance, apporte, tout d’abord, des précisions complémentaires sur les finalités couvertes.

A cet égard, le périmètre de cette nouvelle recommandation de la Cnil a été élargi au traitement de données relatives aux cartes privatives et accréditives.

Par ailleurs, certaines finalités de traitement des informations « CB » liées à la particularité des opérations à distance sont clairement mentionnées car considérées comme légitimes par la Cnil (la réservation d’un bien ou d’un service, ou encore la facilitation des éventuels achats ultérieurs du client sur le site du commerçant).

En outre, les modalités de mise en œuvre des traitements visant à lutter contre la fraude grâce au numéro de la carte de paiement sont précisées dans la recommandation de la Cnil.

Ensuite, la Cnil insiste sur le fait que le numéro de la carte de paiement ne peut pas être utilisé comme identifiant commercial et que seuls le numéro de la carte, la date d’expiration et le cryptogramme visuel constituent des données nécessaires à la réalisation d’une transaction à distance par carte de paiement, à l’exclusion de l’identité du titulaire de la carte et de la photocopie ou de la copie numérique de la carte de paiement qui ne doivent pas par principe être collectées.

S’agissant de la durée de conservation des données, la recommandation de la Cnil rappelle que les données relatives à la carte ne peuvent être conservées que pendant la durée nécessaire à la réalisation de la transaction. En revanche, elle ajoute que les commerçants en ligne peuvent conserver le numéro et la date de validité de la carte, à l’exclusion du cryptogramme visuel, à des fins de gestion des éventuelles réclamations des titulaires de cartes de paiement pendant treize ou quinze mois suivant la date de débit sous forme d’archives intermédiaires.

La Cnil poursuit ensuite en rappelant que toute utilisation du numéro de carte de paiement, quelle qu’en soit la finalité, doit faire l’objet d’une information complète et claire auprès des personnes conformément aux dispositions de la loi Informatique et libertés.

En outre, elle rappelle que lorsque les données relatives à la carte sont conservées au-delà du temps strictement nécessaire à la réalisation de la transaction, pour simplifier un paiement ultérieur, le responsable du traitement doit recueillir le consentement libre, spécifique et informé de la personne concernée mais ajoute qu’il doit intégrer directement sur son site marchand un moyen simple de retirer, sans frais, le consentement donné pour la conservation des données de la carte.

Enfin, outre les mesures de sécurité préconisées dans sa précédente recommandation, la Cnil renforce ses préconisations sur ce point. La recommandation de la Cnil prévoit notamment que :

  • seuls les dispositifs conformes à des référentiels reconnus en matière de sécurisation de données au niveau européen ou international (comme le standard PCI DSS) soient utilisés ;
  • des mesures « d’obfuscation » ou de « tokenisation » soient mises en œuvre par les responsables de traitement afin de restreindre les accès au numéro de la carte de paiement des clients ;
  • le stockage des données relatives à la carte de paiement sur le terminal des clients soit interdit ;
  • des mesures de traçabilité spécifiques soient mises en œuvre, lorsque les données relatives à la carte de paiement sont conservées afin de faciliter la réalisation ultérieure de transactions ;
  • des moyens d’authentification renforcée du titulaire de la carte de paiement soient mis en place par les responsables de traitements ;
  • une notification aux personnes dont les données ont fait l’objet d’une violation de sécurité soit également effectuée afin qu’elles puissent prendre les mesures appropriées pour limiter les risques de réutilisation frauduleuse de leurs données (contestation de paiements frauduleux, mise en opposition de la carte, etc.) ;
  • lorsque la collecte du numéro de la carte de paiement est effectuée par téléphone, des mesures de sécurité soient adoptées (comme la traçabilité des accès aux numéros de la carte) et qu’une solution alternative sécurisée, sans coût supplémentaire, soit proposée aux clients qui ne souhaitent pas transmettre les données relatives à leurs cartes par ce moyen.

Céline Avignon
Raouf Saada
Lexing Droit Marketing électronique

(1) Recommandation de la Cnil, Délibération n° 2003-034 du 19-6-2003.
(2) Recommandation de la Cnil, Délibération n° 2013-358 du 14-11-2013.




Registre national des crédits aux particuliers à l’Assembléenationale

registre national des créditsLa création d’un registre national des crédits aux particuliers (RNCP) est à nouveau d’actualité suite au dépôt d’un amendement du gouvernement le 10 juin dernier. Cette nouvelle version du registre fait suite à son retrait initial du projet de loi relatif à la consommation présenté le 2 mai dernier en Conseil des ministres et à l’avis favorable rendu par le Conseil d’Etat. Le périmètre du futur registre « positif » des crédits a ainsi été retravaillé et des changements, jugés satisfaisants par la Cnil, ont été apportés au projet initial :

  • Le registre national des crédits ne recensera plus que les seuls « crédits à la consommation accordés aux personnes physiques n’agissant pas pour des besoins professionnels ». La Cnil se félicite de ce changement dans la mesure où l’exclusion des prêts immobiliers, des prêts viagers hypothécaires et des crédits renouvelables non utilisés entraîne une diminution sensible du nombre de personnes fichées ;
  • En ce qui concerne la durée de conservation des informations, celle-ci correspondra à la durée d’exécution du contrat de crédit ou, en cas de crédit renouvelable, à la durée de remboursement du montant du crédit utilisé. Là encore, la Cnil se montre satisfaite car l’exclusion des crédits immobiliers du périmètre du registre national des crédits réduit cette durée de conservation ;
  • Enfin, l’utilisation d’un « identifiant spécifique » créé notamment à partir de l’état civil des personnes concernées au lieu de l’utilisation du numéro de sécurité sociale est un autre point positif pour la Cnil qui sera consultée sur les modalités de cet identifiant.

Le projet de loi, qui porte également sur l’introduction des actions de groupe à la française et vise à transposer la directive 2011/83/UE relative aux droits des consommateurs, est discuté en séance publique à l’Assemblée nationale depuis lundi 24 juin et ce, jusqu’au 3 juillet prochain.

Céline Avignon
Mathilde Alzamora
Lexing Droit Marketing électronique




Lutte anti blanchiment : adoption d’une quatrième directive européenne

lutte anti blanchimentFrédéric Forster – En matière de lutte anti blanchiment, l’Union européenne a adopté une quatrième directive et un nouveau règlement sur la transparence. La crise financière que subissent les pays de la zone Euro et les pratiques parfois douteuses qu’elle révèle ont incité les autorités européennes à pousser les feux sur la remise en conformité du droit bancaire européen avec les dernières recommandations internationales du Gafi (Groupe d’action financière internationale) en matière de lutte anti blanchiment, d’une part, mais également à renforcer la transparence de certaines opérations financières.

S’agissant de la lutte anti blanchiment, il est apparu que le dispositif mis en place par la troisième directive du 26 octobre 2005 n’était pas suffisant dans la mesure où il ne permettait pas nécessairement de détecter toutes les opérations conduisant à des pratiques de blanchiment de capitaux ou favorisant le financement du terrorisme.

Aussi, la Commission a-t-elle souhaité modifier le paradigme de la réglementation sur la lutte anti blanchiment afin de l’orienter davantage sur une meilleure appréhension et compréhension des risques que la réalisation de certaines opérations pourrait engendrer sur la stabilité du système bancaire et financier européen.

Ainsi, les acteurs contribuant à cette lutte, qui est élargie aux auditeurs et aux prestataires de jeux d’argent et de hasard, devront-ils prendre toutes les mesures qui s’imposeront pour diminuer ces risques, les mesures à appliquer devant être proportionnées et adaptées aux risques considérés.

L’identification des bénéficiaires de mouvements de fonds potentiellement suspects est renforcée, notamment s’agissant d’opérations conclues entre un bénéficiaire et une société, le premier détenant plus de 25% du capital ou des droits de vote de la seconde.

La coopération entre les organismes nationaux auprès desquels sont effectuées les déclarations de soupçons est également renforcée. Enfin, les obligations de vigilance sont élargies aux prestations réalisées pour le compte de personnes politiquement exposées ou pour le compte d’organisations internationales.

S’agissant du renforcement de la transparence, celle-ci passera par l’adoption d’un règlement européen, centré sur les opérations de virements de fonds pour lesquelles seraient obligatoirement identifiés, non seulement l’émetteur du virement (comme actuellement), mais également le bénéficiaire de celui-ci.

Les prestataires de services de paiement devront donc relever un certain nombre d’informations touchant à l’identité de l’émetteur et du bénéficiaire, ainsi que d’autres informations relatives à l’adresse, à la date et au lieu de naissance ou zu numéro RCS pour l’émetteur de l’ordre.

Ces prestataires seraient évidemment toujours tenus du respect des obligations qui sont déjà les leurs en matière de déclaration de soupçons auprès des autorités nationales et de conservation des documents reflétant les opérations déclarées pendant une durée de cinq ans.

Enfin le seuil financier des virements échappant à ces nouvelles règles serait fixé à la somme de 1 000 euros.

Lexing Droit Télécoms

Proposition de directive COM(2013) 45 final du 5-2-2013
Proposition de règlement COM(2013) 44 final du 5-2-2013
Communiqué du 5-2-2013
Gafi, Recommandations du 2-2012




Vers la création d’un registre national des crédits aux particuliers

registreL’idée de mettre en œuvre un registre recensant les encours de toutes les personnes auxquelles un crédit a été consenti (fichier « positif »), là où, pour le moment, seules les personnes n’ayant pas honoré leurs échéances sont répertoriées (dans le cadre du Fichier des Incidents de remboursement des Crédits aux Particuliers (FICP), a été relancée en ce début d’année.

En effet, dans le cadre de l’élaboration d’un projet de loi sur la consommation, qui sera présenté au printemps prochain, une consultation publique a été réalisée sur le site du ministère de l’économie et des finances. Cette consultation portait sur les caractéristiques de ce futur registre, avec, comme objectifs affichés, la prévention du surendettement des particuliers et une meilleure information des prêteurs sur la solvabilité des emprunteurs.

La création de ce fichier, déjà utilisé dans un certain nombre de pays, est régulièrement mise à l’ordre du jour, provoquant, à chaque fois, de grandes réserves de la part de la Cnil. Celle-ci estime, en effet, qu’un tel fichier positif présente un risque pour la vie privée, du fait du nombre élevé de personnes potentiellement concernées par le fichage et du grand nombre d’informations d’ordre patrimonial et relatives au mode de vie des personnes qui y seraient contenues. Enfin, l’utilisation d’un dérivé du numéro de sécurité sociale, le NIR, comme identifiant des personnes fichées, impliquant sa collecte systématique par les organismes de crédit, est une source d’inquiétude pour l’autorité.

D’autres acteurs se montrent circonspects quant à l’opportunité de la création d’un tel fichier, à commencer par la Fédération Bancaire Française (FBF) qui doute de son efficacité pour lutter contre le surendettement et s’inquiète de ses coûts substantiels de mise en place et de fonctionnement. De même, l’association de défense des consommateurs UFC-Que choisir est loin d’être enthousiaste et réclame l’instauration de solides garanties si un tel fichier venait à être créé.

Céline Avignon
Mathilde Alzamora
Lexing Droit Marketing électronique

Communiqué de presse du 18-2-2013
Consultation publique du 1-2-2013




Sommet de l’information financière 2012

Sommet de l'information financièreFrédéric Forster a participé à la troisième édition annuelle du Sommet de l’information financière, qui a eut lieu le mardi 12 juin 2012 à l’Hôtel Concorde La Fayette, Paris.

Il a abordé les questions de propriété intellectuelle, notamment quelles sont les données qui peuvent être considérées comme des données à forte valeur ajoutée ? que prévoit la législation française en terme de protection ? de commercialisation ? etc.

Télécharger le programme




Nouvelle tentative en faveur d’un registre national des crédits

un registre national des créditsUne proposition de loi en faveur de la création d’un registre national des crédits aux particuliers vient d’être déposée au Sénat.

Ce texte, enregistré à la présidence du Sénat en date du 2 novembre 2011, prévoit la création d’un fichier recensant l’ensemble des crédits octroyés aux personnes physiques pour des besoins non professionnels.

Le registre national des crédits : un fichier positif

Aux termes de l’article unique de cette proposition de loi, ce registre serait tenu par les services de la Banque de France.

Cette dernière ne pourrait communiquer les informations contenues dans ce fichier aux établissements de crédit qu’à condition que ces derniers soient en mesure de prouver que la personne dont ils souhaitent connaître la situation d’endettement personnel leur demande un prêt pour des besoins non professionnels.

Cette diffusion d’information nécessiterait en outre une autorisation écrite et un code d’accès.

Les modalités de collecte, d’enregistrement, de conservation et de consultation des données dans ce fichier seraient fixées par un règlement du Comité de la réglementation bancaire.

Selon l’auteur de cette proposition, un tel « fichier positif » serait un moyen de lutter contre le surendettement, dans la mesure où il aurait vocation à mieux informer les prêteurs sur la situation réelle de la personne à laquelle ils proposent un crédit et, concomitamment, à responsabiliser tant la personne qui sollicite le crédit que l’organisme qui l’accorde.

Ce texte doit maintenant faire l’objet d’un examen parlementaire…

Proposition de loi n° 75 du 2-11-2011




Blanchiment de capitaux : actualisation de l’autorisation unique AU-003

La Cnil a, par délibération du 16 juin 2011, révisé les dispositions de l’autorisation unique n°AU-003 relative aux traitements de données à caractère personnel mis en œuvre par des organismes financiers dans le cadre de la lutte contre le blanchiment de capitaux et le financement du terrorisme. Cette actualisation est consécutive à la transposition, en droit interne, de la directive n°2005/60/CE du 26 octobre 2005 relative à la prévention de l’utilisation du système financier aux fins du blanchiment de capitaux et du financement du terrorisme. Un délai d’un an, courant à compter du 7 juillet 2011, est accordé aux responsables de traitement pour se mettre en conformité avec le présent texte, qui abroge et remplace la délibération n° 2005-297 du 1er décembre 2005, modifiée par la délibération n°2007-060 du 25 avril 2007, précédemment en vigueur.

Cnil, Délib. n°2011-180 du 16-6-2011




Les transferts bancaires Europe – Etats-Unis

Informatique et libertés

Secteur Banque

Transferts bancaires Europe – Etats-Unis

La Cnil vient d’apprendre l’ouverture de nouvelles négociations entre la Commission européenne et les Etats-Unis en vue de l’adoption d’un accord, aux termes duquel les autorités américaines auraient finalement accès aux données stockées par SWIFT sur le serveur en Suisse, initialement conçu pour éviter un tel accès. Le Président de la Cnil, qui préside également le groupe des Cnil européennes (G29), s’étonne de n’être ni consulté ni informé des termes des négociations. Il craint une remise en cause des garanties négociées au printemps 2007, par la Commission et le Conseil européen avec le gouvernement américain.

Cnil, Communiqué de presse du 16 septembre 2009

(Mise en ligne Septembre 2009)

Autres brèves




Mises en demeure adressées par la Cnil à plusieurs hypermarchés

Lors de contrôles diligentés sur place, la Cnil a constaté qu’aucune mention d’information des clients ne figurait aux caisses concernant l’utilisation d’un dispositif permettant de contrôler, grâce à la consultation du fichier national des chèques irréguliers (FNCI), la régularité des chèques présentés par la clientèle.

La Cnil a également constaté que des listes négatives de mauvais payeurs étaient directement accessibles par les différentes caisses des hypermarchés, sans que ces listes aient été soumises à une demande d’autorisation auprès de la Cnil conformément à l’article 25 de la loi Informatique et libertés et sans qu’en aient été informés les clients.

La Cnil a par ailleurs insisté sur le fait que, lors de la consultation du FNCI, les hypermarchés ne pouvaient « mémoriser » l’information relative à la situation d’interdiction bancaire d’un client en vertu du principe du droit à l’oubli. Les hypermarchés contrôlés ont ainsi été mis en demeure, lors de la séance de la Cnil du 21 septembre 2006 en formation restreinte, de faire cesser leurs manquements dans un délai d’un mois à l’issue duquel une procédure de sanction pécuniaire pourrait être engagée, en l’absence de mise en conformité.

Cnil, rubrique « En bref », 30-10-2006