Il y a quelques semaines, la décision de la Cour de Justice de l’Union Européenne (CJUE) a invalidé le Privacy Shield qui était un cadre légal pour les échanges de données entre Etats-Unis et Europe (CNIL). J’ai déjà eu l’occasion de traiter de ce sujet dans un précédent article…
Cependant, j’aimerais ici évoquer les impacts potentiels que cette décision, pourrait avoir sur nos moyens de paiement actuels…
Les moyens de paiements
Lorsque l’on parle de moyen de paiements, on pense cartes bancaires, virements bancaires, Paypal, etc…
Ce qu’il faut comprendre, c’est qu’à l’heure actuelle en Europe les moyens de paiement comme les cartes bancaires (Mastercard et Visa) sont des entreprises américaines, et donc elles aussi dépendantes des lois américaines. Ce qui pose une réelle interrogation sur le management des données personnelles et sensibles, que sont nos données bancaires.
Sur les virements bancaires, la plupart des banques, sinon toutes, utilisent le système interbancaire SWIFT, qui est issu d’une coopérative bancaire européenne, dont le siège est à Bruxelles. Cela permet de penser raisonnablement qu’elle ne dépend pas du droit américain. Par contre, elle est impactée par l’invalidation du Privacy Shield, compte tenu des nécessaires opérations avec les Etats-Unis…
Avec l’explosion des plateformes en ligne d’e-commerce, de nouveaux moyens de paiement ont vu le jour, principalement américains comme PayPal, Google Pay et Apple Pay, des entreprises américaines là encore, assujetties au droit américain.
Ces dernières années cependant, les FinTechs françaises sont venues sur le devant de la scène et de nouveaux moyens de paiement sont proposés, pour certains avec l’objectif de sécuriser et protéger nos données. Comme exemples non exhaustifs, nous avons BizoverBiz et l’infrastructure de paiement Chain4Wallet, ou encore Lydia et monisnap dans le domaine du paiement dématérialisé.
Quels enjeux ?
Pour beaucoup, le fait que nos transactions financières ou données personnelles financières soient susceptibles d’être utilisées ne posent pas de problème. Le fameux, « je n’ai rien à cacher », ou encore « que cela soit les US ou l’Europe, quelle différence, c’est pareil»… Cependant ces données sont critiques, elles en disent beaucoup sur vous, vos habitudes de consommation, vos hobbies, votre santé financières, vos penchants sexuels, politiques et religieux…
Ces informations peuvent donc être utilisées par les géants du numériques américains, afin d’améliorer leur ciblage publicitaire et la revente de données agrégées. Pensez, à la connaissance qu’il est possible d’accumuler sur vous, lorsque l’on peut agréger les données bancaires avec vos activités sur les réseaux sociaux… Cela permet aussi de mieux vous connaitre et potentiellement d’influencer vos habitudes de dépenses, mais aussi en intégrant ces données à celles collectées sur les réseaux sociaux, cela permet de se faire une meilleure image de votre positionnement en tant que citoyen et qui sait vous influencer pour déstabiliser la politique de votre pays…
Par ailleurs le fait de dépendre du droit européen est plus protecteur pour les utilisateurs, notamment grâce au RGPD, au contraire du droit américain. Il s’agit là aussi d’une différence notable à prendre en compte.
Pourquoi, je me focalise sur les géants du numérique américain et non sur les chinois ? Parce qu’à ce jour ce sont eux qui ont la meilleure pénétration sur le marché européen et que de plus cela correspond complètement à leur modèle commercial.
Mais que ce soit pour eux ou pour les chinois, le danger est tout aussi important pour notre liberté de penser et politique compte tenu des liens incestueux entre les géants du numériques chinois et les dirigeants du partis ou d’anciens militaires et de l’environnement légal pour le côté américain, et côté chinois de la subordination assumée des acteurs à leur état.
Que change l’invalidation du « Privacy Shield » ?
Ici nous nous refocalisons sur les géants du numérique américains, ou tout acteur devant échanger des données avec les US. Si beaucoup pensent que les clauses standard contractuelles qui parfois existent peuvent les protéger, c’est oublier les raisons fondamentales de l’invalidation du Privacy Shield. La CJUE précise concernant les traitements de données pour des raisons de sécurité publique, de défense ou de sûreté de l’état que : « ce type de traitement de données par les autorités d’un pays tiers ne saurait exclure un tel transfert du champ d’application du RGPD ». En d’autres termes, il suffit pour les américains d’invoquer un problème de sécurité publique, de défense ou de sûreté de l’état pour s’affranchir de la protection des données personnelles apportées par la RGPD.
Et compte tenu des lois américaines (Patriot Act et Cloud Act), il est clair qu’aucune garantie ne peut être apportée sur la façon dont seront traitées vos données personnelles, dans le cas où ces dernières seraient exploitées par des sociétés américaines, ou par des sociétés européennes transférant des données vers les US.
Il est donc intéressant de se pencher sur les sociétés gérant nos cartes bancaires, comme Visa ou Mastercard. Je vous ferai un suivi sur ce sujet car j’ai saisi leur DPO (privacyanddataprotection@mastercard.com / privacy@visa.com ) afin de comprendre de quelles données personnelles ils disposent, où sont-elles stockées et si elles sont transférées aux Etats-Unis.
Et j’attends avec impatience la mise en place de l’initiative européenne EPI (European Payment Initiative) qui devrait nous permettre de nous sortir de l’hégémonie américaine dans ce domaine…
Suite au prochain épisode…
