2021 a démarré avec le Brexit, quel impact règlementaire sur le parcours numérique de paiement ou pas ?

Fév 17, 2021

Après de longs mois de négociation, l’Union Européenne et le Royaume Uni ont fini par s’entendre, le 24 décembre dernier, sur un nouveau projet d’accord de commerce et de coopération. Du côté britannique il a été validé par le 1er ministre Boris Johnson puis par le parlement britannique et la chambre des Lords, avant d’être approuvé par la reine Elizabeth II le 31 décembre 2020. Du côté européen, il a déjà été validé par les 27 pays membres de l’UE mais sa ratification finale va nécessiter débats et vote au parlement européen. Nonobstant, dans l’attente de ce vote, l’accord entre en vigueur pour une période transitoire jusqu’au 28 février 2021.

Cette proposition d’accord entérine la fin des équivalences de services financiers (articles SERVIN à partir de la page 108) même s’il permet toujours à un établissement de l’une des parties de s’établir dans le territoire de l’autre partie, avec le respect du principe de non-discrimination aux procédures d’autorisation/homologation et à l’accès à des systèmes financiers de l’autres parties. Il prévoit des articles (articles LAW.AML à partir de la page 343) de principe pour le respect des normes et bonnes pratiques définies au niveau international pour lutter contre le terrorisme et le blanchiment d’argent et pour l’échange des données dans ce cadre. Mais ce projet d’accord très volumineux de 1259 pages prévoit d’autres articles qui impacteront aussi tous les prestataires de services de paiement qu’ils soient établis en Grande Bretagne ou en Europe : les articles liés à la protection des données personnelles et pour le maintien d’un marché numérique facilité sans barrières contraignantes.

Une libre circulation des données numériques consacrée :

Les articles dédiés au marché numérique (articles DIGIT à partir de la page 117) consacrent la libre circulation des données sans frais de douane alors que pour les marchandises il en est tout autre. Nul doute que certains de ces articles feront l’objet d’intenses débats car le projet actuel interdirait à l’Europe d’imposer une localisation européenne tant pour le stockage des données que leur traitement de données mais aussi l’empêcherait d’exiger des exigences de certification ou d’homologation pour les installations informatiques ou les réseaux utilisés pour les traitements.

Quant au règlement eIDAS, il ne peut plus s’appliquer à la Grande Bretagne intégralement mais demeure applicable mais avec certaines limitations.

  • Le schéma d’identification électronique anglais GOv.UK notifié en 2019 au niveau substantiel sort de la fédération interopérable des nœuds eIDAS et les fournisseurs de service de confiance britanniques ne peuvent plus être sur la liste européenne EU TSL des fournisseurs qualifiées dits QTSP (Qualified Trusted Services Provider). Toutefois la loi britannique ECA 2000, continuera de reconnaître l’admissibilité des services fournis par des QTPS européens tels que la signature qualifiée. A l’inverse un fournisseur britannique n’est plus à même de fournir une signature à valeur égale équivalente en France à une signature manuscrite en France, quand bien même reconnue précédemment qualifiée en Europe.
  • Cependant, indépendamment de tout critère de qualification, le principe de non-discrimination de valeur légale introduit par le règlement eIDAS pour la contractualisation numérique avec la signature ou le cachet électronique, l’horodatage électronique continuerait de s’appliquer en général, dans les deux sens, sauf pour certains services particuliers. Nous noterons toutefois que la définition de signature électronique introduite par l’accord Brexit se rapproche davantage de la définition eIDAS de signature au niveau avancé, en imposant, outre le consentement de la personne, de rendre détectable toute modification ultérieure des données sous forme électronique. Cette incertitude juridique liée à la définition de base de la signature électronique et soulevée par des experts pourrait introduire un risque de non-conformité pour la signature à la volée (ni avancée ni qualifiée) qui pourrait nécessiter un amendement de l’accord entre l’Europe et la Grande Bretagne.
  • Toutefois, chaque partie pourra exiger, pour certains types de transactions, que le service de confiance soit certifié/qualifié avec les exigences définies par ses soins, en raisons de contraintes légales ou des standards objectifs. Ainsi l’accord de non-discrimination exclue, entre autre chose, les services juridiques, les services de notaires ou autres professions délégataires d’un service public. Ainsi les Européens pourraient exiger (ou continuer d’exiger comme en France pour les actes notariés ou pour une des deux exigences du code monétaire financier pour le niveau de vigilance renforcé) un niveau qualifié de service de signature, de recommandé ou d’identification à distance qualifiée.
  • En effet, le nouvel accord de Brexit prévoit explicitement d’exclure du principe de non-discrimination les contrats nécessitant un témoignage (« witnessing in ») en personne, et donc intuitivement les services d’identification requérant un face-à-face ou une équivalence au face-à-face comme les ouvertures de compte à distance.

Cette libre circulation des données numériques est encadrée par la garantie de protection des consommateurs et des données personnelles.

En complément de la DSP2 qui déroge à l’exigence d’authentification forte pour tout achat en ligne, dès qu’au moins un prestataire de service de paiement (émetteur ou acquéreur) est non européen, l’accord prévoit explicitement que les fournisseurs de biens ou services devront toujours donner une information claire et complète, sur leur identité et leurs coordonnées (ou s’ils agissent en tant qu’intermédiaire, de désigner cet intermédiaire), les caractéristiques des produits achetés, le prix total avec l’ensembles taxes et charges, les droits des consommateurs avec modalités d’accès à des demandes de réparation.

Quelles nouvelles garanties pour la protection des données personnelles ?

En préliminaire, ce projet d’accord Brexit reconnait de part et d’autre le droit à la protection des données personnelles avec des exigences élevées pour assurer la confiance dans l’économie numérique.

Mais quoi qu’il en soit, le Brexit signifie également qu’à terme la Grande Bretagne ne sera plus soumise au RGPD. A terme, car le sursis accordé durant l’année 2020, va se prolonger durant une période transitoire jusqu’au 1er juillet 2021 au plus tard (Article FINPROV.10A à partir de la page 414) sur la base de la législation britannique en vigueur au 31 décembre 2020 et la condition expresse que la Grande Bretagne n’exerce pas ses pouvoirs d’autorité pour amender son cadre législatif en la matière. L’autorité britannique en charge de la protection des données personnelles, ICO, (au demeurant très active pour éditer des guides mais aussi émettre des sanctions : sanction en octobre 2020 contre Bristish Airways de 20 millions £ pour faille de données personnelles et bancaires en 2018 et sanction en novembre 2020 contre  Ticketsaster UK à hauteur 1,25 millions £ pour failles de données de cartes bancaires) ne pourra plus servir de guichet unique. Dès le 1er janvier 2021, les responsables du traitement et sous-traitants établis uniquement au Royaume-Uni seront tenus de désigner un représentant dans l’Union Européenne, pays ou l’autorité en charge du RGPD pourra servir de guichet unique.

Ce sursis de 6 mois d’adéquation temporaire pourrait être réduit à 4 mois si l’une des parties s’y opposait, hypothèse peu probable puisque que même la CNIL ne l’envisage même pas dans sa communication. Ce sursis pourrait également tomber si le transfert de données personnelles était autorisé par une décision d’adéquation pérenne.

Selon le New York Times, ce processus d’adéquation serait en bonne voie d’aboutir, courant février, pour permettre la continuité du transfert de données personnelle telles que des données bancaires. Toutefois cette position politique de la commission européenne favorable aux attentes du marché, devrait irriter l’European Data Protection Board (EDPB). En effet  Andrea Jenilek, président de l’EDPB, avait déclaré dès le mois de juin dernier, une position très défavorable en raison de l’accord existant entre les US et la Grande Bretagne pour le transfert des données pour de la surveillance.

En grande partie pour ce motif, l’accord d’adéquation entre les US et l’UE, appelé Privacy Shield, a été invalidé par décision de la Cour de Justice de l’Union Européenne (CJUE) du 16 juillet dernier (affaire #Schrem2) et cela suite à l’action de l’association NOYB portée par Max Schrem (le même qui avait fait invalidé l’accord précédent Safe Harbour affaire #Schrem1), contre Facebook. Outre le motif d’absence de pouvoir/d’indépendance de l’« ombudesman » pour répondre à une requête d’un européen sur la base de ces lois qui exigent une instance judiciaire américaine, cette décision de justice européenne est en effet essentiellement motivée par les lois et programmes de surveillance américaine (FISA, PRISM …), lois qui permettent aux autorités américaines de collecter massivement des données, de façon non appropriées et non proportionnées.

Malgré les communications officielles de poursuite de négociation entre l’Union Européenne et les US, l’administration américaine (jusqu’alors Trumpiste) semblait peu encline à modifier ces textes législatifs de surveillance. Ainsi les données (contacts, informations réseaux sociaux, photos, vidéos) issues des téléphones mobile des voyageurs européens peuvent être toujours collectés avec des nouveaux outils du DHS très intrusifs (Department of Homeland Security) et conservés pendant 75 ans.

Mais la décision de la CJUE du 16 juillet 2020 a une portée bien plus large que l’invalidité du seul accord d’adéquation avec les US. Cette décision invalide toute adéquation avec d’autres pays et  tous les outils de transfert de données vers des pays tiers, (les clauses contractuelles type SCC, Standard Contractual Clauses, entre deux entités légales distinctes ou les règles d’entreprises contraignantes, BCR Binding Corporate Rules, pour la protection des données intragroupe) s’ils ne peuvent apporter des garanties appropriées suffisantes. Non seulement des garanties doivent être apportées pour l’exercice par les Européens, des droits opposables et de voies de droit effectives, conformément à l’article 46 du RGPD mais aussi pour la protection des données. Ainsi selon la justice et les autorités européennes en charge de la protection des données personnelles, toutes lois de surveillance de masse contreviennent à tout transfert, vers ces pays tiers, de données qui n’auraient pas fait l’objet de mesures techniques complémentaires telles qu’un chiffrement efficient des données pour empêcher l’accès aux données en clair par ce pays tiers.

Alors que faire pour la mise en conformité RGPD pour les échanges de données avec la Grande Bretagne ? Pour éviter tout risque juridique, les acteurs du paiement, comme tous les autres acteurs, devraient continuer de profiter du dernier sursis de 4 à 6 mois, pour se mettre rapidement en règle pour le transfert de données en considérant encore la Grande Bretagne comme un pays tiers sans adéquation.

Identité Numérique

Pour en savoir plus nos newsletters sur l’identité numérique rendez-vous sur ADNews.

Vous pouvez aussi consulter nos modules de formation sur l’identité numérique.

 

Share This