Nathalie Métallinos Avocat à la Cour d'appel de Paris



Documents pareils
FRATEL 10 ème rencontres

GS Days Les journées francophones de la sécurité. 18 mars 2014, Paris

Notre réponse à la consultation de la CNIL relative au Cloud computing

LES DROITS DE LA PERSONNALITE

CHARTE D UTILISATION DU SYSTEME DE TRAITEMENT DE L INFORMATION ET DE LA COMMUNICATION DOCUMENT ANNEXE AU REGLEMENT INTERIEUR

La Déclaration des Nations Unies sur les droits des peuples autochtones

DOCUMENT DE TRAVAIL DES SERVICES DE LA COMMISSION RÉSUMÉ DE L ANALYSE D IMPACT. accompagnant la

Délibération n du 27 septembre 2010

HUAWEI TECHNOLOGIES CO., LTD. channelroad. A better way. Together.

(Document adopté par la Commission le 19 janvier 2006)

1 LES MESURES DE SÉCURITÉ PCI SONT-ELLES ADAPTÉES AU MARCHÉ FRANÇAIS?

Le e-commerce en France

1 A noter que le Règlement 864/2007 du 11 juillet 2007 sur la loi applicable aux obligations non contractuelle

Convention Beobank Online et Beobank Mobile

PROFILAGE : UN DEFI POUR LA PROTECTION DES DONNEES PERSONNELLES Me Alain GROSJEAN Bonn & Schmitt

1. Procédure. 2. Les faits

BILL C-452 PROJET DE LOI C-452 C-452 C-452 HOUSE OF COMMONS OF CANADA CHAMBRE DES COMMUNES DU CANADA

ENJEUX JURIDIQUES DEMATERIALISATION DES CONTRATS A LA SOURCE 21 SEPTEMBRE 2012

Projet de Loi Structures Patrimoniales Privées aussi pour la Société de gestion de patrimoine familiale (SPF) luxembourgeoise

Big Data et le droit :

Protection des données, Technologie, Médias et Propriété intellectuelle. local partner for global players

POLITIQUE RELATIVE AUX LOIS ANTI CORRUPTION D ALCOA, INC.

MENTIONS LEGALES CONDITIONS GENERALES D'UTILISATION DU SITE

Public and European Business Law - Droit public et européen des affaires. Master I Law Level

< SOMMAIRE. page. 5 Avant-propos

CARTES PRÉPAYÉES AU CANADA : IDENTIFICATION DES ENJEUX JURIDIQUES ET GESTION DU RISQUE. Institut Canadien 28 novembre 2012 Nicolas Faucher

Charte d hébergement de site web

RESUME DES CONCLUSIONS SUR LE RISQUE OPERATIONNEL. No Objet Remarques et Conclusions du superviseur. Observations après un entretien

Support Orders and Support Provisions (Banks and Authorized Foreign Banks) Regulations

Etude d impact CIL Volet «Effort» F.A.Q Foire Aux Questions

CONDITIONS GENERALES DE VENTE ET D UTILISATION DE SNCF TER NFC

Les travaux de l ARCEP afin d améliorer les offres faites aux consommateurs de services de communications électroniques. FRATEL Jeudi 12 mai 2011

CONSEIL DE L'EUROPE COMITÉ DES MINISTRES RECOMMANDATION N R (87) 15 DU COMITÉ DES MINISTRES AUX ÉTATS MEMBRES

Optimisez la gestion de vos projets IT avec PPM dans le cadre d une réorganisation. SAP Forum, May 29, 2013

Conditions générales d utilisation

Contractualiser la sécurité du cloud computing

RENDEZ VOS CLEFS OU L AUTHENTIFICATION FORTE SANS SUPPORT PHYSIQUE

AUDIT COMMITTEE: TERMS OF REFERENCE

CONDITIONS GENERALES DE VENTE ET D UTILISATION

Confirmation du titulaire de la carte en cas de contestation de transaction(s) Cardholder s Certification of Disputed Transactions

«LA PROTECTION DU SECRET DES SOURCES DES JOURNALISTES» U.I.A. - CONGRÈS DE FLORENCE (COMMISSION DU DROIT DE LA PRESSE)

Législation et droit d'un administrateur réseaux

Les badges de chantier*

Guide juridique de l'e-commerce et de l'e-marketing

La sécurité des PABX IP. Panorama des risques et introduction des mesures de protection

T : F : info@cms-bfl.com Neuilly-sur-Seine, le 14 décembre 2011

TSM & NFC. Les enjeux liés au déploiement des services mobiles JTE CNAM 6 février 2012

«De l authentification à la signature électronique : quel cadre juridique pour la confiance dans les communications électroniques internationales?

Compétences partagées, les règles à respecter

L ESPACE À TRAVERS LE REGARD DES FEMMES. European Economic and Social Committee Comité économique et social européen

LICENCE SNCF OPEN DATA

Les autorités judiciaires françaises n ont pas mis en œuvre de politique nationale de prévention dans ce domaine.

Charte de Qualité sur l assurance vie

Bill 69 Projet de loi 69

Face aux nouvelles menaces liées aux cyber attaques et l évolution des technologies, comment adapter son SMSI? CLUB27001 PARIS 22 novembre 2012

P R E T S P R E F E R E N T I E L S E T S U B V E N T I O N S D I N T E R Ê T S

Code à l intention des partenaires commerciaux

Conditions Générales de Vente

UNION EUROPÉENNE 2005/0182 (COD) PE-CONS 3677/05

Order Binding Certain Agents of Her Majesty for the Purposes of Part 1 of the Personal Information Protection and Electronic Documents Act

LEQUERRE et Lucas PAEAMARA

TOUT SAVOIR SUR LA CARTE BANCAIRE

Commission nationale de l informatique et des libertés

Monitor LRD. Table des matières

Recommandations pour les entreprises qui envisagent de souscrire à des services de Cloud computing

Sécurisation des paiements en lignes et méthodes alternatives de paiement

SONJA KORSPETER ET ALAIN HERMANN *

Commerce électronique et assurance (Document de discussion destiné au groupe de travail)

Secteur des Technologies de l Information et de la Communication (TIC) PLAN D ACTION

FLEGT Note d Information

OUVRIR UN COMPTE CLIENT PRIVÉ

REVISION DE LA DIRECTIVE ABUS DE MARCHE

INVESTIGATION INTERNE AUX ENTREPRISES: LE CADRE JURIDIQUE

Contrat d'hébergement application ERP/CRM - Dolihosting

Le prélèvement SEPA Quels impacts pour votre entreprise?

L assurance et le risque Data. Clusir 25 avril 2012 Lyon François Brisson - Hiscox France

F1 Security Requirement Check List (SRCL)

INTRODUCTION AU THÈME

Règlement du jeu concours «Grand Quiz Nice Tourisme et European Masters Games» :

Camping-car Park est un concept novateur de gestion d aires d étapes de camping-cars en France et à l Etranger, ouvertes 24 H/24, toute l année.

Cybersurveillance: quelle sécurité Internet en interne et en externe pour l entreprise? 23/03/2012

Intelligence Economique : risques ou opportunités? AMRAE - L exploitation et la reproduction de ce document sont strictement interdites

Principales dispositions du projet de règlement

TRADUCTION EXTÉRIEURE NON RÉVISÉE

CONDITIONS GENERALES D'UTILISATION. Date de dernière mise à jour et d entrée en vigueur : 11 mai 2015.

Importations parallèles: intérêt du consommateur et intégration communautaire

FORMULAIRE DE MISE A JOUR DE SOUS-COMPTE LOYAL BANK

Plan. l influence de la convention de compte courant. I- les clauses de convention de compte. 1- les clauses générales. 2- les clauses statutaires II-

Etablissant des exigences techniques pour les virements et les prélèvements en euros et modifiant le règlement (CE) n 924/2009

LIBRE CIRCULATION DES MARCHANDISES

Transcription:

Banque, Paiement en Ligne et Protection des Données Personnelles PRÉVENTION DE LA FRAUDE ET DES IMPAYÉS, FICHIERS DE PERSONNES À RISQUES ET PROTECTION DES DONNÉES À CARACTÈRE PERSONNEL Nathalie Métallinos Avocat à la Cour d'appel de Paris

Les défis posés par les dispositifs de prévention de la fraude Caractère intrusif et stigmatisant des traitements destinés à la prévention de la fraude et des impayés, que ce soit des "listes noires" proprement dites, ou de l'identification des personnes "à risque" Leur fonctionnement peut être largement dérogatoire aux règles relatives à la protection des données à caractère personnel, Or, ces traitements sont nécessaires pour : Répondre aux obligations légales en matière de lutte contre le blanchiment et le financement du terrorisme (LCT-FT), Faire face aux défis actuels de la cyber sécurité et assurer la confiance dans le e-commerce, Protéger les intérêts légitimes des responsables de traitement cherchant à se prémunir contre des agissements frauduleux Cette recherche d'équilibre est l'un des défis posés au législateur européen dans le cadre de la réforme devant aboutir à l'adoption d'un Règlement général relatif à la protection des données (RGPD)

Plan de l intervention I. Les difficultés pour concilier les règles relatives à la protection des données et celles destinées à prévenir la fraude et les impayés II. Passage en revue l application des principes de protection des données et leurs conséquences sur les traitements de prévention de la fraude et des impayés III. Perspectives d'évolution dans le RGPD

- I - DIFFICULTÉS RECONTRÉES

Difficultés rencontrées par les acteurs économiques Absence de concertation : défaut de prise en compte des règles relatives à la protection des données à caractère personnel dans les législations sectorielles exposant ainsi les acteurs économiques à des risques importants, sans que les moyens permettant de concilier les exigences de part et d autre soient clairement identifiés. Désormais il existe un certain mouvement de convergence, ou tout au moins de tentative de réconciliation, de ces règles (IVème directive LCB-FT tient compte d avantage des règles de protection de données personnelles)

Manque d harmonisation au sein des États membres Difficultés rencontrées : Régime d'autorisation préalable (ex : France, Pays-Bas) Mesures relatives à l'information des personnes (consentement, information avant enregistrement dans la liste noire) Interdiction posée dans certains pays de traiter des données relatives aux infractions ou condamnations /limitations à la possibilité de traiter et mutualiser des données relatives à la fraude ou aux impayés, ou simplement susceptibles d exclure des personnes qui varient selon les sensibilités nationales Disparité dans les durées de conservation autorisées Complexité des règles/ incertitudes Conséquences Donnent le sentiment à certains acteurs de l impossibilité de disposer d outils efficaces de prévention de la fraude aux moyens de paiement, qui passe nécessairement par une certaine mutualisation des données de carte ou des données de connexion, telle s les adresses IP, ou tout au moins de données sous une forme pseudonymisée. Frein au déploiement de solutions de prévention de la fraude sur l'ensemble du territoire de l'ue - Difficulté d'application des Lignes directrice saient été adoptées en 2005 par le G29 pour le secteur de carte de paiement (Visa Merchant Alert Service) - Exemple : Livre Blanc de la Fevad (2013)

Page 7

- II - PRINCIPES DECOULANT DE L'APPLICATION DE LA DIRECTIVE 95/46/CE

Convergence des objectifs Il n y a pas d incompatibilité de principe entre la protection de la vie privée et des données personnelles et la prévention de la fraude et des impayés en effet, la protection des données à caractère personnel la première n a pas pour objet de protéger les comportements frauduleux But = d éviter les exclusions illégitimes ou les conséquences disproportionnées pour les individus. Au contraire, dans bien des cas, application des règles de protection des données : vise à prévenir les comportements frauduleux - cf. règles relatives à la sécurité, la qualité des données, l'efficacité/pertinence du traitement inclut la prise en compte des risques, les mesures de sécurité ou autres garanties devant être appropriées au regard du danger présenté par le traitement au regard des droits et libertés des personnes - cf. recommandations sur la sécurité des payements sur Internet de la Banque Centrale Européenne à adapter les dispositifs de surveillance mis en place aux risques présentés

L'interprétation des règles issues de la directive 95/46/CE Principes dégagés par le G29: - Test de légitimité du traitement : nécessité d'une balance en faveur des personnes + justification en raison de pratiques courantes/ recommandations régulateur Proportionnalité : facteurs culturels et de la tradition législative des États membres. Qualité des données : exactitude et mise à jour Durée de conservation : G 29 = 5 ans, en l absence de dispositions légales spécifiques fixant une durée plus longue. (En France, la durée généralement préconisée par la CNIL est de deux/trois ans) Information des personnes/droit de contestation: Information à plusieurs niveaux Garanties appropriées / mécanismes de résolution des conflits/ Importance de la sécurité des traitements Références : G 29 : Document de travail sur les listes noires du 3 novembre 2002 /Lignes directrices sur les «Terminated Merchants Data bases» résultant des discussions entre le G29 et le secteur des moyens de paiement / Avis n 06/2014 sur la notion d intérêt légitime du responsable de traitement (WP 217) Page 10

- II - PERSPECTIVES D'EVOLUTION AVEC LE RGPD

Perspectives d'évolution avec le RGPD Cas de présomption de légitimité fondée sur l intérêt légitime Sécurisation des réseaux : listes noires d identifiants électroniques en vue de restreindre l'accès et le recours abusif à des réseaux ou à des systèmes d'information accessibles au public (considérant 39) Proposition du Conseil (février 2014) : inclure le traitement de données strictement nécessaire à la prévention de la fraude Traitements correspondants aux «attentes raisonnables» de la personne concernée en ce qui concerne sa relation avec le responsable du traitement (considérant 38) Traitements se limitant aux données "pseudonymes" Page 12 Pourrait s appliquer aux dispositifs de tokenisation permettant de suivre les transactions effectuées avec une carte donnée sans pour autant chercher à identifier le porteur.

Profilage : des règles dont la portée mériterait d être précisée Seuls fondements possibles aux mesures de profilage (Art.20 RGPD/PE) Nécessité contractuelle (à la double condition : + information des personnes sur les "mesures appropriées garantissent la sauvegarde des intérêts légitimes de la personne aient été invoquées" Obligation légale Consentement de la personne L'intérêt légitime du responsable de traitement n'est pas visé. Problématique pour les traitements destinés à la prévention de la fraude qui ne peuvent relever de la nécessité contractuelle (WP 217,) Par ailleurs, le RGPD exclut la possibilité pour les États membres d apporter des limitations à la portée des restrictions définies en matière de profilage pour les traitements opérés à des fins d intérêt public (art.21 RGPD/PE) Page 13

Certification et privacy by design Des perspectives intéressantes dans le contexte des traitements destinés à prévenir la fraude et les impayés : Le recours à des données pseudonymes La place accordée aux mécanismes de certification Sont de natures à inciter les acteurs à intégrer les règles relatives à la protection des données dans les solutions de prévention de la fraude (Privacy by design) - Illustration : le label EuroPrise, le European Privacy Seal, a été attribué le 5 août 2014 à l application Vaalid-ZLC qui consiste en un dispositif de prévention de la fraude pour les paiements de type «card present» Page 14

Conclusion Le RGPD : - une nécessité compte tenu des disparités entre États membres - Ouvre des perspectives intéressantes de nature à réconcilier l'application des règles relatives à la protection des données à caractère personnel avec les impératifs liés à la prévention de la fraude - Promotion de l'approche par les risques, en ligne avec celle adoptée dans les législations sectorielles, sans pour autant diminuer le niveau de protection Page 15

Merci de votre attention Bird & Bird is an international legal practice comprising Bird & Bird LLP and its affiliated and associated businesses. Bird & Bird LLP is a limited liability partnership, registered in England and Wales with registered number OC340318 and is authorised and regulated by the Solicitors Regulation Authority. Its registered office and principal place of business is at 15 Fetter Lane, London EC4A 1JP. A list of members of Bird & Bird LLP and of any non-members who are designated as partners, and of their respective professional qualifications, is open to inspection at that address. twobirds.com

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back