Numéro 34 // Jeudi 29 septembre 2022
|
|
|
|
EURO NUMÉRIQUE : QUELS ENJEUX POUR LA PROTECTION DES DONNÉES PERSONNELLES ?
|
|
|
|
Ce mois-ci, la Lettre du DPO a interrogé Dominique Jeanne (Délégué à la Protection des Données à la Banque de France), Luc Millot (Expert en cyber-résilience ainsi qu’en gestion des risques opérationnels à la Banque de France) et Barbara Buchalik (avocate IT, co‑fondatrice de la FinTech Brygge, après avoir travaillé au Ministère Fédéral des Finances en Allemagne). Ils livrent à la Lettre du DPO leur témoignage sur les défis de l’euro numérique.
L’euro numérique : une réaction au développement des cryptomonnaies. Le 2 octobre 2020, la Banque centrale européenne (BCE), qui a fait le constat du déclin des paiements en espèce au profit des solutions de paiement numériques dans nombre de pays européens, a publié un rapport sur l’euro numérique.
Selon la BCE, l’euro numérique serait l’équivalent des billets en euros, sous forme dématérialisée, sans pour autant les remplacer. Cette forme parallèle de monnaie électronique serait émise par l’Eurosystème (la BCE et les banques centrales nationales de la zone euro) et accessible aux particuliers comme aux entreprises. Ce projet ambitionne de faire face au développement des « cryptomonnaies » et au projet Libra/Diem de Meta (anciennement Facebook), qui soulève depuis 2019 une réticence importante des régulateurs financiers. La création d’une « monnaie numérique de banque centrale » permettrait ainsi de concurrencer, pour les usages numériques innovants, les « cryptomonnaies ». L’Eurosystème étudie actuellement les avantages et les risques que présenterait un euro numérique, afin de continuer à répondre aux besoins de l’ensemble des habitants de la zone euro. Cette phase d’étude, qui a commencé en octobre 2021, devrait s’achever en octobre 2023.
Le respect de la vie privée, un enjeu crucial de l’euro numérique. Il ressort des résultats de la consultation publique sur l'euro numérique de la BCE, publiée en avril 2021 que pour 43 % des répondants, la confidentialité est le point le plus important, loin devant la sécurité (18 %). Dans ce contexte, l’élaboration d’un standard de confidentialité et de protection des données sera certainement une des principales clés pour la réussite du futur euro numérique. Par ailleurs, les autorités de protection des données européennes ont récemment insisté sur les risques importants pour la vie privée et la protection des données pouvant résulter de l’euro numérique (comme, par exemple, le suivi et la surveillance généralisés des transactions à travers les systèmes de paiement, l’interférence excessive d’entités étatiques centralisées ou de services privés dans les données de paiement, etc.) et sur l’exigence de concevoir l’euro numérique conformément aux lois et principes européens (tels que le « privacy by design » et le « privacy by default ».)
Recommandations pour limiter les risques d’atteinte à la vie privée. Afin de limiter les risques d’atteinte à la vie privée, les autorités de protection des données européennes préconisent un équilibre reposant d’une part, sur un espace d’anonymat qui doit être préservé sans traçabilité (par exemple en-dessous d’un certain seuil pour les transactions du quotidien) ; d’autre part, sur des transactions qui doivent pouvoir être traçables exclusivement par les entités investies d’une mission légale d’intérêt public. À l’échelle nationale, les derniers travaux du Conseil national du numérique en ont fait un enjeu de souveraineté en recommandant le maintien d’une marge d’anonymat des transactions, afin empêcher l’exploitation des données personnelles par les grands services du numérique. De son côté, la CNIL considère qu’un débat démocratique sur l’euro numérique est indispensable et collaborera étroitement avec la Banque de France afin de trouver un équilibre entre les exigences légales en matière financière et les enjeux pour la vie privée des personnes.
|
|
|
|
"L’AVENIR DE LA MONNAIE NUMÉRIQUE, C'EST LA CONFIANCE."
|
|
|
|
Respectivement Déléguée à la Protection des Données (DPO) et expert en cyber-résilience ainsi qu'en gestion des risques opérationnels, au sein de la Banque de France (BDF), Dominique Jeanne et Luc Millot accompagnent l’institution bicentenaire dans sa transformation numérique, notamment à travers le projet de lancement d’une Monnaie Numérique de Banque Centrale (« MNBC ») pour offrir, sous une forme numérique, une monnaie sûre face à la multiplication des monnaies numériques privées qui se caractérisent par leur absence d’adossement physique ou financier et qui séduisent de plus en plus, menaçant la stabilité des systèmes financiers et la souveraineté monétaire des États.
Conscients de l’importance de ce projet, mais aussi de ses possibles répercussions sur les droits fondamentaux des européens (vie privée, sécurité des transactions …), Dominique Jeanne et Luc Millot livrent leur vision sur ce sujet à la Lettre du DPO.
|
|
|
|
1/- Quel est votre parcours, et qu’est-ce qui vous a amenés, chacun, à vous intéresser au numérique et à la donnée ?
DJ : « Juriste de formation, j’ai occupé, tout au long de ma carrière au sein de la BDF, des fonctions consacrées aux usages et aux évolutions réglementaires (notamment sur le surendettement et les fichiers d’incidents de paiement), puis dans le domaine des services bancaires et des relations institutionnelles (gestion des comptes de l’État). J’ai ainsi pu associer l’expertise juridique à des composantes plus opérationnelles et techniques. Cela m’a conduit à m’intéresser à la protection des données personnelles et à l’automatisation des processus de traitements des données. »
LM : « Ingénieur de formation avec une spécialité en systèmes d’informatique industrielle, j’ai ensuite travaillé dans différents secteurs où la donnée est centrale (télécoms, banques, bourse …), avec une forte dimension internationale, ce qui m’a amené à m’intéresser à la sécurité de l’information et à la gestion du risque opérationnel. En 2019, j’ai participé à un parcours de formation à l’IHEDN (Institut des Hautes Études de Défense Nationale) dans lequel j’ai abordé la souveraineté numérique, et pendant lequel j’ai rencontré des experts de la CNIL. »
2/- Quelles sont vos responsabilités actuelles sur ces sujets, au sein de la Banque de France ?
DJ : « J’occupe à temps plein la fonction de DPO de la BDF et de ses filiales avec une équipe de 3 personnes couvrant les 3 missions principales de la Banque (la politique monétaire, la stabilité financière et les services à l’économie). Pour certaines activités, cela couvre de grands volumes de données personnelles. Mon rôle est l’assistance des métiers, le contrôle du bon respect de la conformité au RGPD et la formation/sensibilisation. Cela couvre aussi les relations avec la Banque centrale européenne qui est soumise au règlement EU n° 2018/1725 qui reprend l’essentiel du RGPD et qui est applicable aux institutions européennes. »
LM : « Pour ma part, je travaille essentiellement sur les contributions de la BDF aux projets européens (les systèmes de paiement en monnaie de banque centrale) pour lesquels la sécurité cyber est d’importance majeure afin de préserver la sureté financière du continent, et dans le cadre desquels j’exerce des missions d’expertise et de coordination d’experts. »
3/- Quel est votre vision d’avenir sur l’économie numérique et la monnaie de la Banque Centrale (Euro digital) ?
DJ : « La distanciation physique imposée par la pandémie a accru considérablement les paiements sans contact et sur mobile. La BDF accompagne les acteurs de ces nouveaux modes de paiement, pour qu’ils s’intègrent dans les dispositifs réglementaires. Le recours à une monnaie de banque centrale doit respecter, comme le cash aujourd’hui, les droits et libertés des usagers et garantir la sécurité des données personnelles en se conformant à la réglementation relative à la protection des données personnelles. »
LM : « L’arrivée de certains nouveaux acteurs soulève des problématiques de souveraineté, en particulier pour ceux qui émettent des soi-disant crypto monnaies, puisque battre monnaie est, par essence, la prérogative du souverain, avec pour corollaire la protection de la stabilité monétaire de l’État. Par ailleurs, les traces numériques laissées par les instruments de paiement peuvent exposer à l’extrême nos vies privées. Il est donc essentiel que ces nouveaux outils soient encadrés par de fortes garanties juridiques, mais aussi techniques. L’avenir de la monnaie numérique, c’est la bataille de la confiance. Après une monnaie unique, notre vieux continent peut et doit réussir à gagner cette bataille. »
|
|
|
|
"La MNBC pourrait être conçue de manière à offrir une protection des données nettement supérieure à celle des instruments de paiement électronique existants."
|
|
|
|
Barbara Buchalik a commencé sa carrière dans le privé en tant qu’avocate spécialisée dans l’informatique en Allemagne avant de rejoindre l’autorité allemande de surveillance financière (BaFin) puis le Ministère fédéral allemand des finances à une époque où les ICO [Initial Coin Offering] poussaient comme des champignons et où la réglementation des cryptoactifs, de la finance décentralisée, des stablecoins et de la Monnaie Numérique de la Banque Centrale (MNBC) devenait le centre des discussions. Il y a environ un an, elle a quitté le secteur public et a cofondé « Brygge », une start-up FinTech à impact social axée sur une solution pour les personnes de 55 ans et plus. Barbara Buchalik a accepté de partager avec la Lettre du DPO son point de vue et ses idées pratiques sur la MNBC et les discussions autour de la protection des données. Vous pouvez retrouver l’intégralité de cet échange sur notre site internet.
La protection des données comme argument de vente unique pour la MNBC. La MNBC pourrait être conçue de manière à offrir une protection des données nettement supérieure à celle des instruments de paiement électronique existants, tels que les paiements par carte ou par Internet. La BCE a récemment publié un document présentant les options de confidentialité qu’elle envisage dans le cadre du développement d’une MNBC. Trois grandes options de protection de la vie privée sont envisagées pour la conception de la MNBC. Dans le premier scénario, la MNBC sera conçue pour imiter les transactions numériques actuelles, où seuls les intermédiaires comme les banques commerciales auront accès aux données des transactions. La deuxième option permettra une confidentialité sélective pour les transactions de faible valeur/à faible risque, car la collecte d’informations par les intermédiaires sera limitée. La dernière option permettra une confidentialité encore plus grande en permettant une fonctionnalité hors ligne pour les transactions de faible valeur/à faible risque. Bien que chaque option nécessite encore des contrôles des utilisateurs par les intermédiaires et les banques centrales lors de l’embarquement, la BCE a déclaré que le premier scénario est la base de référence actuellement applicable avec laquelle elle travaille.
Concilier protection des données et lutte contre le blanchiment d’argent et le financement du terrorisme. Deux objectifs politiques pèsent lourd dans la balance : la lutte contre le blanchiment d’argent et la lutte contre le financement du terrorisme. Ces deux sujets ont une grande importance dans l’agenda politique. Le décideur politique sera-t-il prêt à réduire les normes de lutte contre le blanchiment d’argent afin de permettre une plus grande protection de la vie privée ? Je suppose que ce ne sera guère le cas. Nous avons besoin d’un débat ouvert sur cette question. La CNIL joue un rôle très actif dans ce débat. Je ne vois pas beaucoup de discussions en Allemagne, même si ce pays est connu pour être un grand défenseur de la protection des données. Et pourtant, je pense que cette discussion devrait être menée plus fortement afin que la protection de la vie privée soit au moins garantie pour les paiements de faible valeur.
|
|
|
|
L'ACTIVITÉ DE PROFILAGE À DES FINS DE PUBLICITE CIBLÉE DE CRITEO, BIENTÔT SANCTIONNÉE PAR LA CNIL ? |
|
|
|
Le 5 août 2022, CRITEO a fait savoir, via un communiqué de presse publié sur son site internet, que le rapporteur de la CNIL lui avait communiqué son rapport final (non-rendu public) faisant état de plusieurs violations au RGPD et proposant une sanction financière d’un montant de 60 millions d’euros. Ce rapport fait suite à une plainte adressée, en novembre 2018, par l’ONG anglaise Privacy International à la CNIL, à l’autorité de contrôle irlandaise (CPD) et anglaise (ICO) contre les courtiers de données spécialisés en publicité ciblée, CRITEO, QUANTCAST et TAPAD. La CNIL avait ouvert une enquête formelle visant CRITEO, suite à cette plainte, en janvier 2020. Parmi les manquements reprochés par Privacy International, figurent notamment ceux de violation des principes de transparence, de loyauté et de licéité du traitement de profilage à des fins de publicité ciblée. Privacy International relève notamment que « l’un des problèmes majeurs posés par les activités de traitement de données de ces sociétés Adtech est l’échelle. Elles profilent, à tout moment, des millions de personnes à travers l’UE. » (§197). La décision de la CNIL est attendue pour mi-2023.
Pour en savoir plus cliquez ici.
|
|
|
|
Sanction de TOTALENERGIES ÉLECTRICITÉ ET GAZ FRANCE.
|
|
|
|
Alors que la CNIL a fait du manquement à l’exercice des droits des personnes son axe prioritaire du plan stratégique 2022-2024, c’est TOTALENERGIES ÉLECTRICITÉ ET GAZ FRANCE qui en a fait les frais juste avant la période estivale. C’est à la suite des 27 plaintes reçues que la CNIL a entrepris un contrôle de la conformité du troisième fournisseur d’électricité et de gaz en France, dénombrant près de 8 millions de clients et prospects. La société écope d’une amende d’1 million d’euros, pour avoir principalement omis, d’une part, d’instaurer un moyen permettant, pour toute personne qui remplissait un formulaire de souscription à un contrat d’énergie, de s’opposer à la réutilisation de ses données pour lui adresser des offres commerciales (art. L.34-5 CPCE) ; d’autre part, d’informer les personnes démarchées par téléphone via un message délivré oralement ou par tout autre moyen d’accès à ces informations (mise en place d’une touche de téléphone à presser par exemple). A la marge, mais non sans importance, elle est également sanctionnée pour violation du droit d’accès et des obligations relatives aux modalités d’exercice des droits, pour n’avoir pas respecté le délai d’un mois lui incombant pour y répondre.
|
|
|
|
FAQ Google Analytics : quelle utilisation reste permise ?
|
|
|
|
Le 7 juin 2022, la CNIL a publié une foire aux questions destinée à répondre aux interrogations suscitées par les mises en demeure qu’elle a envoyées relativement au transfert désormais illégal de données d’internautes européens par l’utilisation de l’outil d’analyse d’audience Google Analytics, en conséquence de l’invalidation du Privacy Shield. Entre autres, l’Autorité de contrôle indique, d’abord, que les clauses contractuelles types et les mesures supplémentaires d’ordre juridiques, organisationnelles et techniques mises en place par Google avec les organismes visés sont jugées insuffisantes, et qu’il n’est pas possible de paramétrer l’outil de manière à empêcher les transferts hors Union européenne. La CNIL confirme ensuite que le chiffrement peut constituer une garantie supplémentaire à la seule condition que les clés de chiffrement soient conservées sous le contrôle exclusif de l’exportateur de données. Elle indique enfin qu’une solution envisageable pourrait être d’utiliser un proxy permettant d’éviter tout contact entre le terminal de l’internaute et les serveurs de Google Analytics. A titre alternatif, le recueil du consentement des personnes reste possible en cas de transferts occasionnels uniquement.
|
|
|
|
Lundi 7 novembre 2022 de 14h à 18h |
|
|
|
Évènement Air2022 « avenirs, innovations et révolutions » organisé par la CNIL
|
|
|
|
Organisé par la CNIL, cet évènement annuel de réflexion éthique, qui rassemble des expertises terrain, politiques et scientifiques, portera cette année sur les Edtech (éditeurs de logiciels et de ressources numériques interactives dans le milieu éducatif) et les usages numériques dans l’éducation.
L’évènement, qui aura lieu de 14h à 18h dans les locaux de la CNIL (Paris) et sur les réseaux sociaux, offrira ainsi une réflexion prospective pour appréhender la question du développement du numérique dans l’éducation et ses conséquences éthiques sur l’évolution du modèle éducatif français.
Pour en savoir plus cliquez ici
|
|
|
|
Le département Immatériel et Numérique de klein • wenner
Forte d’avocats expérimentés, experts en droit du numérique et du RGPD, l’équipe Immatériel & Numérique de klein • wenner a développé une pratique transversale inédite en droit de la donnée. En lien avec d’autres experts (cybersécurité, SI/gouvernance des données), elle propose une approche globale permettant de traiter l’ensemble des questions liées aux données (privacy, propriété intellectuelle, cybersécurité, et open data* – *avec l’équipe Droit public du cabinet).
|
|
|
|
La Lettre du DPO est une publication de klein • wenner qui traite vos données conformément à la règlementation protégeant les données à caractère personnel. Pour en savoir plus, cliquez ici.
|
|
|
|
|
|
|
|
