Nathalie Métallinos Avocat à la Cour d'appel de Paris

Transcription

1 Banque, Paiement en Ligne et Protection des Données Personnelles PRÉVENTION DE LA FRAUDE ET DES IMPAYÉS, FICHIERS DE PERSONNES À RISQUES ET PROTECTION DES DONNÉES À CARACTÈRE PERSONNEL Nathalie Métallinos Avocat à la Cour d'appel de Paris

2 Les défis posés par les dispositifs de prévention de la fraude Caractère intrusif et stigmatisant des traitements destinés à la prévention de la fraude et des impayés, que ce soit des "listes noires" proprement dites, ou de l'identification des personnes "à risque" Leur fonctionnement peut être largement dérogatoire aux règles relatives à la protection des données à caractère personnel, Or, ces traitements sont nécessaires pour : Répondre aux obligations légales en matière de lutte contre le blanchiment et le financement du terrorisme (LCT-FT), Faire face aux défis actuels de la cyber sécurité et assurer la confiance dans le e-commerce, Protéger les intérêts légitimes des responsables de traitement cherchant à se prémunir contre des agissements frauduleux Cette recherche d'équilibre est l'un des défis posés au législateur européen dans le cadre de la réforme devant aboutir à l'adoption d'un Règlement général relatif à la protection des données (RGPD)

3 Plan de l intervention I. Les difficultés pour concilier les règles relatives à la protection des données et celles destinées à prévenir la fraude et les impayés II. Passage en revue l application des principes de protection des données et leurs conséquences sur les traitements de prévention de la fraude et des impayés III. Perspectives d'évolution dans le RGPD

4 - I - DIFFICULTÉS RECONTRÉES

5 Difficultés rencontrées par les acteurs économiques Absence de concertation : défaut de prise en compte des règles relatives à la protection des données à caractère personnel dans les législations sectorielles exposant ainsi les acteurs économiques à des risques importants, sans que les moyens permettant de concilier les exigences de part et d autre soient clairement identifiés. Désormais il existe un certain mouvement de convergence, ou tout au moins de tentative de réconciliation, de ces règles (IVème directive LCB-FT tient compte d avantage des règles de protection de données personnelles)

6 Manque d harmonisation au sein des États membres Difficultés rencontrées : Régime d'autorisation préalable (ex : France, Pays-Bas) Mesures relatives à l'information des personnes (consentement, information avant enregistrement dans la liste noire) Interdiction posée dans certains pays de traiter des données relatives aux infractions ou condamnations /limitations à la possibilité de traiter et mutualiser des données relatives à la fraude ou aux impayés, ou simplement susceptibles d exclure des personnes qui varient selon les sensibilités nationales Disparité dans les durées de conservation autorisées Complexité des règles/ incertitudes Conséquences Donnent le sentiment à certains acteurs de l impossibilité de disposer d outils efficaces de prévention de la fraude aux moyens de paiement, qui passe nécessairement par une certaine mutualisation des données de carte ou des données de connexion, telle s les adresses IP, ou tout au moins de données sous une forme pseudonymisée. Frein au déploiement de solutions de prévention de la fraude sur l'ensemble du territoire de l'ue - Difficulté d'application des Lignes directrice saient été adoptées en 2005 par le G29 pour le secteur de carte de paiement (Visa Merchant Alert Service) - Exemple : Livre Blanc de la Fevad (2013)

7 Page 7

8 - II - PRINCIPES DECOULANT DE L'APPLICATION DE LA DIRECTIVE 95/46/CE

9 Convergence des objectifs Il n y a pas d incompatibilité de principe entre la protection de la vie privée et des données personnelles et la prévention de la fraude et des impayés en effet, la protection des données à caractère personnel la première n a pas pour objet de protéger les comportements frauduleux But = d éviter les exclusions illégitimes ou les conséquences disproportionnées pour les individus. Au contraire, dans bien des cas, application des règles de protection des données : vise à prévenir les comportements frauduleux - cf. règles relatives à la sécurité, la qualité des données, l'efficacité/pertinence du traitement inclut la prise en compte des risques, les mesures de sécurité ou autres garanties devant être appropriées au regard du danger présenté par le traitement au regard des droits et libertés des personnes - cf. recommandations sur la sécurité des payements sur Internet de la Banque Centrale Européenne à adapter les dispositifs de surveillance mis en place aux risques présentés

10 L'interprétation des règles issues de la directive 95/46/CE Principes dégagés par le G29: - Test de légitimité du traitement : nécessité d'une balance en faveur des personnes + justification en raison de pratiques courantes/ recommandations régulateur Proportionnalité : facteurs culturels et de la tradition législative des États membres. Qualité des données : exactitude et mise à jour Durée de conservation : G 29 = 5 ans, en l absence de dispositions légales spécifiques fixant une durée plus longue. (En France, la durée généralement préconisée par la CNIL est de deux/trois ans) Information des personnes/droit de contestation: Information à plusieurs niveaux Garanties appropriées / mécanismes de résolution des conflits/ Importance de la sécurité des traitements Références : G 29 : Document de travail sur les listes noires du 3 novembre 2002 /Lignes directrices sur les «Terminated Merchants Data bases» résultant des discussions entre le G29 et le secteur des moyens de paiement / Avis n 06/2014 sur la notion d intérêt légitime du responsable de traitement (WP 217) Page 10

11 - II - PERSPECTIVES D'EVOLUTION AVEC LE RGPD

12 Perspectives d'évolution avec le RGPD Cas de présomption de légitimité fondée sur l intérêt légitime Sécurisation des réseaux : listes noires d identifiants électroniques en vue de restreindre l'accès et le recours abusif à des réseaux ou à des systèmes d'information accessibles au public (considérant 39) Proposition du Conseil (février 2014) : inclure le traitement de données strictement nécessaire à la prévention de la fraude Traitements correspondants aux «attentes raisonnables» de la personne concernée en ce qui concerne sa relation avec le responsable du traitement (considérant 38) Traitements se limitant aux données "pseudonymes" Page 12 Pourrait s appliquer aux dispositifs de tokenisation permettant de suivre les transactions effectuées avec une carte donnée sans pour autant chercher à identifier le porteur.

13 Profilage : des règles dont la portée mériterait d être précisée Seuls fondements possibles aux mesures de profilage (Art.20 RGPD/PE) Nécessité contractuelle (à la double condition : + information des personnes sur les "mesures appropriées garantissent la sauvegarde des intérêts légitimes de la personne aient été invoquées" Obligation légale Consentement de la personne L'intérêt légitime du responsable de traitement n'est pas visé. Problématique pour les traitements destinés à la prévention de la fraude qui ne peuvent relever de la nécessité contractuelle (WP 217,) Par ailleurs, le RGPD exclut la possibilité pour les États membres d apporter des limitations à la portée des restrictions définies en matière de profilage pour les traitements opérés à des fins d intérêt public (art.21 RGPD/PE) Page 13

14 Certification et privacy by design Des perspectives intéressantes dans le contexte des traitements destinés à prévenir la fraude et les impayés : Le recours à des données pseudonymes La place accordée aux mécanismes de certification Sont de natures à inciter les acteurs à intégrer les règles relatives à la protection des données dans les solutions de prévention de la fraude (Privacy by design) - Illustration : le label EuroPrise, le European Privacy Seal, a été attribué le 5 août 2014 à l application Vaalid-ZLC qui consiste en un dispositif de prévention de la fraude pour les paiements de type «card present» Page 14

15 Conclusion Le RGPD : - une nécessité compte tenu des disparités entre États membres - Ouvre des perspectives intéressantes de nature à réconcilier l'application des règles relatives à la protection des données à caractère personnel avec les impératifs liés à la prévention de la fraude - Promotion de l'approche par les risques, en ligne avec celle adoptée dans les législations sectorielles, sans pour autant diminuer le niveau de protection Page 15

16 Merci de votre attention Bird & Bird is an international legal practice comprising Bird & Bird LLP and its affiliated and associated businesses. Bird & Bird LLP is a limited liability partnership, registered in England and Wales with registered number OC and is authorised and regulated by the Solicitors Regulation Authority. Its registered office and principal place of business is at 15 Fetter Lane, London EC4A 1JP. A list of members of Bird & Bird LLP and of any non-members who are designated as partners, and of their respective professional qualifications, is open to inspection at that address. twobirds.com