La résolution par la DSP3 des limitations dues au RGPD dans la lutte contre la fraude

 

 

| Banque – Finance |

 

Christophe Jacomin, Marianne MaurinRevue Banque, le 24 juin 2024

 

 

La Directive n° 2015/2366 relative aux services de paiement dans l’Union européenne (DSP2) a transformé en profondeur le monde des paiements, remplaçant la Directive 2007/64 (DSP1) devenue obsolète. La DSP2 a renforcé les obligations de lutte contre la fraude et a notamment exigé que tous les prestataires de services de paiement (PSP) appliquent l’authentification forte du client (SCA) chaque fois qu’un utilisateur initie un paiement électronique ou accède à son interface bancaire en ligne. Les PSP de toute l’Union ont mis au point des solutions d’authentification fondées sur l’utilisation d’au moins deux éléments parmi les suivants : la connaissance (quelque chose que seul l’utilisateur connaît) ; la possession (quelque chose que seul l’utilisateur possède) ; l’inhérence (une part de l’identité de l’utilisateur, obtenue par exemple par la biométrie).

La pratique a fait émerger des besoins de clarification et d’uniformisation, d’où la nécessité de la réforme de la DSP2.

 

La réforme de la DSP2

 

Ainsi, le 28 juin 2023 ont été publiés deux textes : une proposition de directive n° 2022/0209 sur les services de paiement et d’argent électronique (DSP3) et une proposition de règlement n° 2023/0210 sur les services de paiement dans l’Union européenne (RSP1). L’utilisation d’un règlement est significative de la volonté de la Commission européenne d’uniformiser la réglementation sur les paiements. Non transposable, le règlement est en effet d’application directe et évite les différences d’application entre les États membres. Ces textes ont été adoptés par le Parlement européen en avril 2024 et sont toujours en attente d’être votés.

Ils rentreront en vigueur 20 jours à compter de leur publication au journal officiel de l’Union Européenne, avec un délai supplémentaire de 24 mois concernant les dispositions imposant aux PSP de vérifier les divergences entre le nom et l’identifiant unique d’un bénéficiaire en cas de virement et le régime de responsabilité correspondant.

La lutte contre la fraude est un des grands objectifs du RSP1, dans la continuité de la DSP2. Les outils de lutte contre la fraude ne cessent de se perfectionner, notamment grâce à l’utilisation de la biométrie. Or, ces évolutions se trouvent limitées par le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD).

 

Autorisation de traiter des catégories particulières de données à caractère personnel

 

Le RGPD, afin d’encadrer l’utilisation des données personnelles et de protéger les consommateurs, exige le consentement du client pour l’utilisation des données biométriques(1).

Les fraudeurs étant peu enclins à donner ce consentement, cela impacte l’efficacité de la biométrie afin de lutter contre la fraude.

Le 24 septembre 2020, la Commission européenne a publié une communication sur une stratégie en matière de paiements de détail pour l’Union européenne(2) où elle reconnaît que « les paiements ont acquis une importance stratégique et sont devenus le fluide vital de l’économie européenne ».

Cet intérêt public justifie une évolution de la réglementation. Ainsi, le RSP1 qui réforme la DSP2, indique que les PSP et les opérateurs de systèmes de paiement devraient pouvoir traiter des catégories particulières de données à caractère personnel au sens de l’article 9 (notamment les données biométriques) et au sens de l’article 10 (traitement des données à caractère personnel relatives aux condamnations pénales et aux infractions du RGPD), dans la mesure nécessaire à la prestation de services de paiement et au respect des obligations au titre du RSP1, dans l’intérêt public du bon fonctionnement du marché intérieur des services de paiement, sous réserve de garanties appropriées pour les libertés et droits fondamentaux des personnes physiques, notamment aux termes de l’article 80 du RSP1 :

– des mesures techniques visant à garantir le respect des principes de limitation de la finalité, de minimisation des données et de limitation de la conservation, tels qu’énoncés dans le RGPD, y compris des limitations techniques applicables à la réutilisation des données et à l’utilisation de mesures de pointe en matière de sécurité et de protection de la vie privée, y compris la pseudonymisation ou le chiffrement ;

– des mesures organisationnelles, notamment la formation au traitement de catégories particulières de données, la limitation de l’accès à des catégories particulières de données et l’enregistrement de cet accès.

Cette possibilité était très attendue des PSP qui se trouvaient limités dans l’efficacité de leur SCA, à cause de cette interdiction, alors même que des garde-fous sont possibles, comme le prévoit le RSP1.

Le RSP1 permet désormais d’utiliser la biométrie à des fins d’authentification de client et de lutte contre la fraude sans son autorisation. Avec le même objectif, le RSP1 encourage le partage d’informations entre PSP.

 

Partager l’information entre PSP

 

Aux termes de l’article 83 du RSP1, pour mieux détecter les opérations de paiement frauduleuses et protéger leurs clients, les PSP sont autorisés à échanger, sur une base volontaire, des données à caractère personnel telles que les identifiants uniques de bénéficiaires (i. e. les IBAN), les techniques de manipulation et d’autres circonstances associées aux virements frauduleux recensées individuellement par chaque PSP dans le cadre de dispositifs de partage d’informations.

L’existence d’éléments suffisants pour partager des identifiants uniques est présumée lorsqu’au moins deux utilisateurs différents de services de paiement qui sont des clients du même prestataire de services de paiement ont informé qu’un identifiant unique d’un bénéficiaire a été utilisé pour effectuer un virement frauduleux.

Ces dispositifs de partage d’informations doivent définir les modalités détaillées de participation et les éléments opérationnels, y compris l’utilisation de plates-formes informatiques spécifiques.

Avant de participer à de tels dispositifs, les PSP doivent effectuer une analyse d’impact relative à la protection des données et, si nécessaire, consulter préalablement l’autorité de contrôle, conformément au RGPD. Une analyse d’impact préalable est requise, mais il n’est pas nécessaire d’en refaire une lorsqu’un PSP adhère à un dispositif de partage d’informations existant.

Le RGPD et la DSP2 ont pour objectif commun la protection des consommateurs. La pratique a révélé que certaines dispositions du RGPD limitaient les possibilités de lutte contre la fraude, en utilisant la biométrie notamment. La réforme de la DSP2 va permettre de supprimer ces limites et de renforcer la lutte contre la fraude, dans un environnement où les techniques des fraudeurs sont de plus en plus élaborées et les faux papiers d’identité parfois impossible à repérer.

 
 
 
Notes :
[1] Article 9 du RGPD.
[2] Communication de la Commission au Parlement européen, au Conseil, au Comité économique et social européen et au Comité des régions sur une stratégie en matière de paiements de détail pour l’UE, 24 septembre 2020.