Un new deal européen sur les données pour favoriser l’économie, y compris le paiement digital ?
L’Europe s’était déjà dotée d’un règlement fondateur pour permettre la libre circulation des données personnelles : le RGPD (Règlement Général pour la Protection des Données). Mais la portabilité des données, prévue par ce nouveau règlement pour permettre le partage des données et leur réutilisation, n’est toujours pas effective. Or l’enjeu de la réutilisation des données pour créer des services numériques transfrontaliers innovants (parcours numériques, IA,...) est stratégique pour la croissance de l’économie européenne.
Le volume de données générées par le secteur public, les services privés et les citoyens augmente constamment : le volume pourrait être multiplié par 5 entre 2018 et 2025. Pour bénéficier de cet avantage économique du marché unique européen des données personnelles et non personnelles, évalué entre 500 et 540 milliards d’euros (soit entre 3,8 et 3,95 % du PIB), l’Europe souhaite instaurer un modèle alternatif à celui de certaines BigTech. Elle propose pour cela une nouvelle gouvernance des données en adéquation avec les valeurs fondamentales européennes.
Au travers du nouveau projet de règlement dévoilé le 26 novembre 2020, dit acte sur la gouvernance des données, l’Europe veut donc se doter d’un outil législatif pour permettre le partage et la réutilisation des données, personnelles ou non, avec des garanties de protection appropriées pour les entreprises et les consommateurs, tout en respectant les règles de la concurrence.
Est-ce que ce nouveau règlement transectoriel pourrait bénéficier au secteur des paiements ? sans nul doute mais comment ?
NOTRE DECRYPTAGE :
En première lecture des communiqués de presse européens sur ce projet, le lecteur pourrait envisager que ce règlement n’est que la prolongation de la loi République et Numérique française d’Axelle Lemaire pour l’open-data et les cas d’usage GtoB (Government to Business). Il s'agissait dans ce cas-là de réutilisation de données (personnelles ou pas) du secteur public par le secteur privé, avec consentement du détenteur, au bénéfice du bien commun pour des motifs d’intérêt général (santé, mobilité, climat) ou pour la recherche scientifique.
En fait, ce projet de règlement a une portée bien plus vaste puisqu’il projette d’instaurer le cadre juridique d’intermédiaire de confiance pour les prestataires de services de partage de données, et les exigences associées pour l’échange de données entre entités morales (BtoB) et entre un particulier et une entreprise (CtoB).
La banque, déjà tiers de confiance auprès de ses clients, pourrait également profiter de ce nouveau règlement pour proposer un service de prestataire de partage de données, qui pourrait être très efficient dans une vision open-banking.
→ La première exigence s’appuie sur le principe fondamental de séparation dans l’économie fondée sur les données, entre fourniture, intermédiation et utilisation. Aussi, quel que soit le cas d’usage, l’intermédiaire ne peut pas utiliser des données pour son propre compte, par exemple en les vendant à une autre entreprise ou en s'en servant pour développer son propre produit. Et il devra se conformer à des exigences strictes de protection. Ainsi, un prestataire de services de partage de donnée n’est ni un prestataire de service en nuage, ni un databroker ; à savoir un prestataire de services qui obtient des données auprès de leurs détenteurs, les agrège, les enrichit ou les transforme et accorde à des utilisateurs des licences d’utilisation pour les données qui en résultent, sans établir de relation directe entre les détenteurs de données et les utilisateurs de données.
Se faisant, le règlement s’oppose au monopole sur les données par certaines BigTech et au "farwest des données" qui en résulte, tout en n’interdisant pas le flux de données ou la localisation du prestataire de partage de données, en dehors de l'Union Européenne. Pour cela, l’Europe souhaite encadrer le flux hors de l’Union par des conditions d’adéquation pour la protection des données personnelles ou pas, et en imposant la désignation d’un responsable effectif en Europe pour les prestataires localisés en dehors.
Les prestataires de services de partage de données ont pour principal objectif d’établir une relation commerciale, juridique et éventuellement technique entre, d’une part, des détenteurs de données, y compris des personnes individuelles, et, d’autre part, des utilisateurs potentiels et d’aider l’une et l’autre parties dans leurs transactions réciproques d’actifs de données. Pour assurer l’interopérabilité, le prestataire pourra se doter d’une infrastructure de connexion avec les utilisateurs de données, et pourra être autorisé à apporter des adaptations aux données échangées, telles que leur conversion dans des formats spécifiques, dans la mesure où cela facilite leur utilisation par l’utilisateur.
Cette activité de service de partage de données sera ouverte aussi bien à des sociétés classiques qu’à des coopératives de données, pour fournir des services aux particuliers et aux entreprises unipersonnelles, micro-entreprises, petites et moyennes entreprises qui sont membres de la coopérative.
Cet intermédiaire de confiance devient l’aidant, l’ange gardien et le conseiller numérique de la personne physique ou morale, pour gérer sa vie numérique.
→ Pour le cas d’usage CtoB pour le partage et la réutilisation de données personnelles, ce règlement impose un principe de loyauté et transpose les concepts privacy by design du Privacy Identity Management System, dit PIMS. A savoir, cet intermédiaire aidera les personnes physiques à garder le contrôle sur leur données grâce à l’exercice de leurs droits au titre du RGPD : gestion de leur consentement au traitement des données, droit d’accès à leurs propres données, droit de rectification des données à caractère personnel inexactes, droit à l’effacement ou « droit à l’oubli », droit à la limitation du traitement.
Par ailleurs, les prestataires pourront conseiller les personnes sur les utilisations potentielles de leurs données et vérifier que les utilisateurs de données font preuve d’une diligence suffisante avant de les autoriser à contacter les personnes concernées, afin d’éviter les pratiques frauduleuses. Quant au modèle commercial, il importe que celui-ci garantisse qu’il n’existe pas d’incitations inadaptées poussant les personnes à mettre à disposition en vue d’un traitement davantage de données qu’elles ne devraient le faire dans leur propre intérêt.
Ce projet ouvre ainsi la voie à une régulation encadrée de services en ligne personnalisés, dans le strict respect des personnes, par exemple pour développer le ecommerce.
→ Le texte législatif proposé n’impose pas mais incite au traitement de données directement dans l’environnement sécurisé et donc dans l’espace de stockage de données personnelles dédié à la personne, pour éviter que les données à caractère personnel ne soient transmises à des tiers.
Ces concepts juridiques d’intermédiaires de données pour les particuliers pourraient être satisfaits par des systèmes de gestion d’identité reposant sur les principes du SSID (Self Sovereign Identity) et de Verifiable Credentials, associés à des wallets sécurisés de données en ligne ou locaux (cloud personnel, coffre-fort numérique…).
Quelle garantie de confiance ?
Afin de favoriser l’innovation et l’émergence de nouveaux services, l’Europe a fait le choix d’une règlementation souple. Elle oblige à une notification obligatoire sur un registre européen et à un contrôle a posteriori par les autorités de chaque pays membre qui auront également la liberté de prévoir par leur propre cadre législatif des sanctions en cas de non-respect des exigences du règlement. Elle n’impose donc pas de labellisation ou de certification.
Toutefois le projet de révision eIDAS prévu début 2021 pourrait offrir un cadre, non pas de labellisation ou de certification, mais de qualification eIDAS de ces fournisseurs de partage de données CtoB.
En effet l’option 2 de la révision prévoit de nouveaux fournisseurs privés de services de confiance pour la gestion d’attributs d’identité, de credentials/attestations et gestion de la vie privée, qui seraient fort utiles pour compléter l’identité numérique pivot d’un moyen d’identification électronique eIDAS, dans une démarche approfondie de Customer Due Diligence pour un KYC plus approfondi, pour des services financiers autres que la simple ouverture de compte bancaire.
Ces fournisseurs privés de partage de données personnelles pourraient donc proposer des services d’identification KYC-as-a-Service, assurant le rôle d’intermédiaires dit KYC utilities, aussi bien pour l’ouverture d’un compte bancaire que pour tout autre compte nécessitant une identification vérifiée, et faciliter ainsi le parcours d’enrôlement du client à distance en le rassurant sur le contrôle de ses données.