DSP2 et RGPD : une philosophie et des objectifs « en partie antagonistes »

DSP2 et RGPD : une philosophie et des objectifs « en partie antagonistes »

Benjamin May, avocat associé du cabinet Aramis, analyse l’impact du Règlement européen sur la protection des données personnelles (RGPD) sur le secteur de la banque et des moyens de paiement et la convergence entre ce texte et une DSP2 s’inscrivant dans un objectif d’ouverture du marché.

L’une des actualités réglementaires marquantes de cette année 2018 est l’entrée en vigueur du RGPD. Quels sont les principaux axes de ce texte ? Quels sont ses principaux impacts sur les marchés de la banque et des moyens de paiement ?

Avant d’analyser le contenu de cette nouvelle législation, il convient de s’intéresser à son statut juridique. En effet, le choix d’un règlement – plutôt que d’une directive, par exemple – n’est pas anodin. Cette réglementation ne se transpose pas : elle s’applique directement dans tous les Etats membres. Parallèlement à cela, à l’échelle nationale, la Loi Informatique et Liberté de 1978 est maintenue mais modifiée pour s’aligner sur ce texte. Cela pose des questions d’orthodoxie juridique.

Concernant le texte en tant que tel, et notamment son impact sur l’activité bancaire, il subsiste des difficultés d’interprétation mais nous pouvons néanmoins affirmer que le RGPD change tout et rien à la fois. La particularité du monde monétique repose sur son éclatement en plusieurs maillons, situation parfaitement illustrée dans le domaine de l’acquisition ou encore de l’agrégation, par exemple. Aussi, la question juridique de la responsabilité était déjà clairement posée, tout comme ses sous-jacents comme la dichotomie entre responsable des données et sous-traitant. La différence est que le RGPD donne une acuité plus importante à ces statuts et rouvre donc les discussions. Avec l’entrée en vigueur du RGPD, il est clairement moins intéressant d’être sous-traitant que par le passé en raison de la responsabilité directe que cela implique avec également un ensemble de contraintes associées allant des audits aux dispositifs de sanction.

Comment le sujet RGPD s’articule-t-il avec la DSP2 et les débats sur l’open banking caractérisant actuellement le marché des paiements ?

La DSP2 et le RGPD sont deux textes arrivant au même moment avec une philosophie et des objectifs en partie antagonistes. Ainsi, la DSP2 et ses RTS sécurité considèrent que les banques détiennent les données dont le partage est essentiel pour stimuler la concurrence. C’est toute la philosophie de la DSP2 qui s’inscrit dans une volonté d’ouverture du secteur. Le RGPD, lui, considère que le citoyen doit avoir la maîtrise de ce qui est fait avec ses données personnelles, ce qui est une philosophie différente. Nuançons néanmoins car un certain nombre d’outils juridiques existent pour réconcilier les objectifs, comme la notion de consentement ou encore le principe de respect des obligations légales qui peut être appliqué dans le cas du KYC, par exemple.

La data recouvre pour de nombreux acteurs un potentiel considérable en termes stratégiques, comme le démontrent les initiatives sur les Card Linked Offers (CLO). Qu’autorise la réglementation ?

Le cas des CLO que vous citez, à savoir la publicité ciblée individualisée, est compatible avec le RGPD à la condition que les traitements reposent sur l’un des piliers permettant le traitement de données, parmi lesquels le consentement explicite du client, dans les conditions prévues par le texte. Ainsi, l’utilisation des données à des fins marketing n’est pas interdite mais encadrée, avec une obligation de transparence. Le consentement constitue en outre une prérogative qui sera sans doute difficile à contourner pour tous ces acteurs.

Quels sont les enjeux suscités pour les acteurs du type Gafa ?

Les Gafa ont été associés très en amont de la rédaction de ce texte, et sont à l’origine de certains amendements ! Ils disposent à la fois des moyens de sensibiliser les acteurs politiques sur ce sujet et de se mettre en conformité a posteriori. Leur approche est d’ailleurs paradoxale dans ce domaine. Rappelons ainsi que Facebook ou encore Google ont été sanctionnés par les Cnil européennes et n’hésitent pas à contester et à aller au bout des voies de recours. Et pour cause : ils testent ainsi les limites du système afin de créer la jurisprudence la plus large possible. L’exemple topique est le cas de Facebook qui a plaidé son propre « intérêt légitime » pour justifier ses activités d’utilisation des données à des fins publicitaires.

Parallèlement à cela, ces acteurs disposent de toutes les équipes idoines en interne pour se mettre en conformité. Le sujet est effet pris très au sérieux par ces acteurs bien qu’ils testent toutes les sanctions tant que ces dernières ne sont pas dissuasives. Cela explique que les Cnil soient de moins en moins pédagogiques avec les Gafa, compte tenu de l’historique des sanctions.

Comment s’inscrit le sujet blockchain dans la problématique data ?

Il est encore un peu tôt pour se prononcer, certains use cases de la blockchain étant actuellement en cours de gestation. Ce dont nous sommes certains, c’est que cette innovation n’apporte aucun moyen de contourner la réglementation prévue. Et pour cause, le principe d’anonymisation est une notion très forte dans le RGPD, qui insiste sur son caractère irrévocable.

Propos recueillis par Andréa Toucinho

Actualitées liées

  • Mobilité
  • Paiement
  • 29.01.2018

Mastercard et Here travaillent sur le paiement embarqué

Here Technologies et Mastercard ont annoncé depuis le CES de Las Vegas une extension de leur partenariat ; il vise à développer des services connectés au profit des personnes en situation de mobilité. L’objectif de ce nouveau rapprochement étant d’im...
  • Paiement
  • 22.05.2018

La solution de Cardlytics convainc JPMorgan Chase

Forte d’une introduction en bourse réussie en début d’année, Cardlytics a dévoilé les résultats de son activité au premier trimestre 2018. La FinTech américaine spécialisée dans les Card-linked Offers (CLO) a annoncé par la même occasion avoir noué u...