BFM Business

Vie privée: la Cnil met en garde contre les nouveaux moyens de paiement dématérialisés

Pour la très large majorité des personnes interrogées, paiement sans contact et paiement via un smartphone exposent davantage au risque de fraude ou de piratage

Pour la très large majorité des personnes interrogées, paiement sans contact et paiement via un smartphone exposent davantage au risque de fraude ou de piratage - Justin Sullivan-Getty Images North America-AFP

La Commission veut définir un code de conduite pour les acteurs du paiement numérique, dans le respect de la protection des données personnelles.

La Commission nationale de l'informatique et des libertés (Cnil) a publié, mercredi 6 octobre, un livre blanc sur les nouveaux moyens de paiement dématérialisés, et notamment sur les risques liées aux données de paiement émises dans ce cadre.

Parmi les opérations étudiées par la Cnil figurent les paiements sans contact, les paiements en ligne ou encore le paiement mobile avec les services proposés par exemple par Apple Pay. Ces services dématéralisés ont explosé depuis la crise sanitaire: ils s'inscrivent dans la logique de respect des gestes barrières.

Des données sensibles

Les données de paiement représentent "l'ensemble des données personnelles utilisées lors de la délivrance d'un service de paiement pour une personne", explique la Cnil dans le document.

Cela comprend, "entre autres: identifiants du moyen de paiement utilisé, montant de la transaction, date et heure du paiement, identité et IBAN du commerçant et du bénéficiaire", poursuit la Commission.

Selon cette dernière, la gestion de ces données personnelles peut présenter un risque pour la vie privée des personnes. En effet, l'accès à ces informations permet de retracer ou localiser le parcours d'une personne, et a donc vocation à être rigoureusement encadré.

Un code de conduite à respecter

Pour mieux protéger ces nouvelles pratiques, la Cnil a pour projet de définir un "code de conduite" pour les prestataires de service de paiement, conforme au RGPD. Elle y propose plusieurs points cruciaux, tels que la qualification officielle et concrète de ces acteurs, l'anonymat des données de paiement, mais aussi la vigilance quant à "l'enrichissement des données de paiement réutilisées", notamment à des fins commerciales ou en matière de lutte contre la fraude.

Elle encourage également à la "tokenisation" des transactions, c'est-à-dire à leur inscription dans une "chaine de blocs", qui permet de les chiffrer et donc de les sécuriser. Il s'agit de la technologie utilisée par la cryptomonnaie. La Commission indique dialoguer avec les différents acteurs du marché afin de mettre au point ce code de bonne conduite.

Victoria Beurnez