par Alexandre Mandil, avocat – Lex-Squared
Dans une économie toujours plus dématérialisée, la sécurisation des opérations de paiements et la maitrise des données qui y sont liées représentent un enjeu critique pour les entreprises et pour les Etats dans un contexte de guerre économique mondiale. En Europe, l’essor de l’économie numérique et le renforcement des exigences règlementaires (lutte contre la fraude, lutte contre le blanchiment…) ont ainsi conduit à un accroissement sans précédent du volume de données paiement, attirant de nombreux acteurs extra-européens désireux de les exploiter.
Ces données stratégiques particulièrement précieuses, tant d’un point de vue quantitatif que qualitatif, incluent notamment les données liées au moyen de paiement (numéro de carte bancaire, IBAN…), les données utilisées pour sa sécurisation (codes, données biométriques…) mais également toutes les données liées au contexte de l’opération de paiement (habitudes de consommation, géolocalisation…) et constituent, pour la plupart, des données à caractère personnel protégées par la règlementation française et européenne.
Pourtant, loin de s’en assurer la maitrise, l’Union européenne a préféré privilégier l’ouverture de son marché du numérique et des paiements, offrant de fait aux entreprises de ses rivaux américains et chinois l’opportunité d’y proposer leurs services et d’accaparer les données.
L’ouverture à la concurrence du marché des paiements européen
Victime de ce manque de vision, le marché européen de la carte de paiement est désormais largement dominé par deux acteurs américains, Visa et MasterCard, même si certains concurrents domestiques, comme c’est le cas en France avec le GIE Cartes Bancaires, sont parvenus à leur opposer une certaine résistance. Ces géants américains ont en effet su profiter à merveille de l’absence de vision à moyen et long terme des européens qui ont su se saborder en trois temps :
- D’abord, l’abandon du projet de système de paiement européen « Monnet » en 2012 en raison de profonds désaccords entre les banques européennes et la Commission européenne.
- Ensuite, les réformes de la Commission européenne de 2015 visant à libéraliser les services de paiement et le marché de la carte sans la moindre considération pour les enjeux de souveraineté.
- Enfin, toujours en 2015, la cession de Visa Europe par les établissements financiers européens à l’américain Visa Inc pour des raisons bassement financières.
Conséquence, la grande majorité des paiements par carte effectués par les Européens sont aujourd’hui contrôlés par ces deux acteurs qui n’hésitent pas à transférer les données aux Etats-Unis (et le plus souvent, dans des Etats dont la législation en matière de vie privée n’est pas la plus protectrice).
L’arrivée des big tech sur le marché des paiements européen
Au-delà des acteurs traditionnels du secteur que sont les banques et les systèmes de paiement, une myriade de start-up de la FINTECH et les géants de la « bigtech » (les GAFAM et leurs équivalents chinois, les BATX), entendent eux aussi profiter de ces précieuses données de paiement et de la naïveté européenne.
De fait, certains GAFAM, les plus avides de données, n’ont pas hésité à se rapprocher des acteurs traditionnels du marché. Le Wall Street Journal a ainsi révélé en aout 2018 que Facebook aurait approché de grandes banques américaines afin de récupérer les données bancaires de ses utilisateurs liées à leurs opérations effectuées par carte bancaire et aux soldes de leurs comptes courants. De même, l’agence Bloomberg a révélé en septembre 2018 que Google avait conclu un accord « secret » avec Mastercard afin de suivre les achats réalisés en magasin par les porteurs de carte MasterCard aux Etats-Unis et être en mesure de les lier aux dépenses de publicité en ligne de ses utilisateurs.
Désormais, ces acteurs entendent développer leur wallet (Google Pay, Apple Pay, Facebook Pay…), leur carte de paiement (Google Card, Apple Card…), leur banque en ligne (Amazon Bank, Google Bank…), voire même…leur « cryptomonnaie » (le très controversé projet Diem, ex Libra…) avec pour objectif de collecter le maximum de données de leurs utilisateurs à travers le monde. Evidemment, ces acteurs en profitent eux aussi ensuite pour transférer ces données de paiement vers leurs serveurs aux Etats-Unis.
De son côté, la Chine n’est pas en reste et entend également profiter de la candeur des Européens. Ainsi, UnionPay, le principal système de paiement par carte chinois commence à accélérer son implantation sur notre continent en y développant des partenariats.
Dès lors, la perte de contrôle de l’Europe sur son marché des paiements au profit d’acteurs américains (et demain chinois) engendre des risques de multiples natures et dont les conséquences s’avèrent dramatiques pour l’autonomie stratégique européenne et la souveraineté de ses nations.
Une perte d’opportunités pour l’économie européenne
Cette perte de contrôle engendre en premier lieu une perte d’opportunités pour les acteurs européens qui participe au déclassement technologique l’Europe.
Individualisées, ces données sont de nature à permettre de profiler de manière particulièrement fine les Européens à des fins de lutte contre la fraude, d’assurance ou encore de marketing et de fidélisation. Agrégées, elles permettent d’acquérir une connaissance poussée de l’activité commerciale et économique de nos Etats et de nos collectivités.
Certains programmes de « collectivités territoriales intelligentes » entendent notamment s’appuyer sur ces données de paiement agrégées pour mieux connaitre leur tissu économique et industriel (pic d’activités, secteurs représentés…) et en prévoir les évolutions. La qualité et la quantité de ces données permettraient également, en théorie, d’alimenter de puissantes intelligences artificielles reposant sur des techniques de machine learning, ce que font déjà les américains avec leurs données.
En renonçant à la maîtrise de ces données, l’Europe réduit conséquemment les possibilités de les mettre en valeur.
Un avantage concurrentiel stratégique pour les puissances extra-européennes
De surcroît, la perte de maitrise de l’Europe sur ces données de paiement est de nature à conférer un avantage concurrentiel et stratégique majeur aux puissances rivales de l’Europe, avantage d’autant plus préoccupant dans le contexte actuel de guerre économique mondiale exacerbée.
En effet, la richesse de ces données permet à celui qui les maitrise de cartographier de manière fine les opérations de paiement, les parts de marché, les tendances économiques ou encore les clients des entreprises européennes et du marché européen. Outre l’avantage économique indéniable qu’elle procure, cette connaissance des opérations de paiement réalisées en Europe constitue également un formidable moyen de pression politique et stratégique pour les autorités américaines, renforçant l’arsenal offensif à leur disposition.
Déjà, en 2006, l’affaire SWIFT avait révélé la collaboration forcée entre la société de droit belge SWIFT, qui participe à la réalisation des virement internationaux, et les agences de renseignement des États-Unis (CIA notamment), consistant à leur transférer les copies des messages échangés entre les institutions financières du monde entier (et notamment européennes) et dont SWIFT assurait le transport et l’archivage temporaire. Les révélations d’Edward Snowden en 2013 ont ensuite confirmé la surveillance mondiale par les Etats-Unis et en particulier par la NSA, à un niveau jamais atteint dans l’Histoire, de l’ensemble des moyens de communication et d’internet dans un but sécuritaire, politique (écoute des dirigeants étrangers), diplomatiques (pressions sur les diplomates étrangers) mais également commercial (espionnage économique massif des concurrents des entreprises américaines). En 2015 la fuite d’un document de 2012 publié par wikiLeaks avait en outre précisé la stratégie offensive des Etats-Unis dans le domaine économique à l’égard de la France ainsi que leurs méthodes utilisées pour récupérer toutes les informations possibles sur les contrats d’envergure impliquant des entreprises françaises.
Une dépendance des Européens à l’égard des Américains
Au-delà de l’accès à des secrets des affaires et politiques, la menace pourrait également se caractériser par des ruptures (ou menaces de rupture) de services susceptibles de paralyser durablement nos économies, comme l’ont illustré les blocages partiels réalisés par Visa et MasterCard en Russie à la suite des sanctions de 2014.
L’Europe est, de fait, fortement dépendante d’infrastructures et de technologies américaines utilisées pour les paiements. Visa et MasterCard ne dominent pas seulement le marché européen. Ils sont également les membres principaux des organisations EMVco et PCI qui édictent et contrôlent les principales normes respectivement utilisées pour le fonctionnement et la sécurisation des paiements par carte. Il est également inquiétant de constater que la gestion et la génération des tokens (sortes de pseudonymes servant à sécuriser les transactions en rendant impossible la reconstitution des données sensibles de paiement) se font en large majorité à l’heure actuelle en dehors de l’Union européenne, rendant de ce fait l’ensemble des acteurs européens de la chaîne de paiement potentiellement dépendants.
En outre, la dépendance européenne vis-à-vis des infrastructures d’hébergement contrôlées par les GAFAM est également source d’inquiétudes. Denis Beau, le premier sous-gouverneur de la Banque de France, alertait en 2018 sur ce risque qui croit à mesure que les fonctions essentielles des banques européennes basculent vers le cloud. Le différend entre le réseau social « Parler » et Amazon Web Services (AWS) et qui a amené ce dernier à suspendre début 2020 son service d’hébergement en quelques heures provoquant la disparition de Parler, illustre parfaitement le pouvoir phénoménal de pression de ces acteurs américains.
De manière plus prosaïque, cette dépendance rend également l’Europe vulnérable à des pannes américaines comme ce fut le cas en juin 2018 lorsqu’un incident informatique avait empêché certaines transactions opérées par Visa en Europe ou encore en 2017 avec la panne intervenue chez AWS sur une partie du territoire américain à la suite d’une erreur humaine.
Un risque d’atteinte massive à la vie privée et à la protection des données à caractère personnel des porteurs européens
Enfin, les paiements utilisent et génèrent des données à caractère personnel dont l’analyse permet d’acquérir de précieuses informations : habitudes de vie et consommations, dépenses, tendances, localisation géographique, pouvoir d’achat… La maitrise de ces données représente dès lors un enjeu crucial pour la vie privée des citoyens européens, en particulier lorsque les données de paiement sont traitées par des acteurs extra-européens et transférées aux Etats-Unis.
En effet, la législation américaine en matière de protection des données, tant au niveau fédéral que des Etats fédérés, est particulièrement parcellaire et considérablement moins protectrice que le droit européen. En outre, comme évoqué précédemment, les autorités administratives et judiciaires américaines disposent de nombreux leviers pour intercepter et se faire communiquer les données à caractère personnel des citoyens européens, qu’elles soient hébergées aux Etats-Unis ou traitées par des entreprises américaines hors du territoire américain (FISA, E.O. 12333, Cloud Act…).
Quelle réponse européenne ?
Pour tenter de répondre à cette troisième menace, le Règlement général sur la protection des données, le fameux RGPD, est venu renforcer la règlementation applicable dans l’Union européenne en matière de protection des données à caractère personnel. Le RGPD a ainsi vocation à protéger les données personnelles des résidents européens y compris lorsqu’elles sont traitées à l’extérieur de l’Europe et conditionne les transferts de données hors de l’Espace économique européen à la mise en œuvre de certaines garanties (Privacyshield, accords intra-groupe, clauses contractuelles types…).
Ce principe d’extraterritorialité du RGPD est toutefois difficile à appliqueren pratique et les garanties prévues par le RGPD s’avèrent, dans les faits, largement insuffisantes lorsqu’il s’agit d’assurer la protection des données dans des Etats dont les autorités sont peu respectueuses de la vie privée. Consciente de ces failles, la Cour de Justice de l’Union européenne (CJUE) a prononcé un arrêt retentissant le 16 juillet 2020 dans lequel elle invalide l’accord encadrant les transferts des données vers les Etats-Unis, le PrivacyShield.
Si une telle invalidation avait déjà été prononcée 5 ans auparavant à l’encontre du SafeHarbor, (l’ancêtre du PrivacyShield) la CJUE va cette fois beaucoup plus loin en remettant en cause le principe même des transferts vers les Etats-Unis (et non l’outil permettant de les encadrer). En effet, la CJUE mentionne expressément les programmes de surveillance américain et notamment ses pratiques visant à filtrer les flux de trafic Internet et à accéder aux câbles sous-marins transatlantique et affirme que les données personnelles européennes ne peuvent être transférées qu’à la condition que leur sécurité soit réellement assurée. Cet arrêt a poussé les autorités européennes de protection des données (le CEPD) à renforcer le cadre applicable à ces transferts dans les pays à risque en imposant la mise en œuvre de mesures techniques s’ajoutant aux mesures organisationnelles et contractuelles. En clair, ces transferts ne devraient avoir lieu que lorsqu’ils s’accompagnent de mesures (chiffrement homomorphique…) empêchant en pratique l’accès aux agences de renseignement étrangères.
Néanmoins, à ce jour, cette décision n’a toujours pas produit les effets escomptés. Force est en effet de constater que les intérêts politiques et économiques en jeu ainsi que la forte dépendance des acteurs européens vis-à-vis des technologies et infrastructures des géants du numérique américains rendent vaines toute tentative de mettre un terme à ces transferts à court ou moyen terme. Par ailleurs, le RGPD a uniquement vocation à assurer la protection de la vie privée des européens et n’est en aucun cas un instrument de souveraineté européenne permettant de protéger les données et le marché européen contre les acteurs extra-européens (ces derniers étant soumis au même cadre que les entreprises européennes).
Au-delà du RGPD, l’Union européenne ne dispose d’aucune règlementation affirmée lui permettant d’assurer véritablement sa souveraineté sur ses données, personnelles ou non. Pourtant, les grandes puissances extra-européennes rivales des Etats-Unis démontrent qu’il est possible de conserver une relative souveraineté sur ses systèmes de paiement et donc sur les données qui y sont liées. La Chine (UnionPay), l’Inde (RuPay) et la Russie (MIR), grâce à un mélange plus ou moins subtile entre volonté politique et protectionnisme, sont en effet parvenues à développer des systèmes de paiement indépendants des Etats-Unis.
La création d’un système de paiement européen
Conscient des lacunes européennes, le Ministre de l’Economie et des finances, Bruno Le Maire, a confié en 2019 une mission d’étude au Conseil général de l’Economie (CGE) ayant trait aux enjeux de protection et de localisation en Europe de ces données. S’inscrivant dans le cadre de la stratégie 2019-2024 du Comité national des paiements scripturaux (CNPS), le CGE a rendu son rapport en février 2020 préconisant la localisation en Europe des données de paiement, la sécurisation des données de paiement et des infrastructures liées et l’élaboration d’un système de paiement européen.
C’est dans ce contexte que plusieurs grandes banques européennes (dont les principales banques françaises), soutenues cette fois-ci par la Commission européenne et la Banque centrale européenne, ont pris l’initiative de lancer en 2 juillet 2020 un nouveau système de paiement paneuropéen baptisé EPI (European Payment Initiative, ex-Pepsi). Elles entendent organiser l’interbancarité à l’échelle européenne et s’appuyer sur les infrastructures européennes déjà existantes (le virement instantané SEPA SCT Inst et le service de règlement TIPS – target instant payment settlement). L’ambition clairement assumée, tant politique qu’opérationnelle, est de créer une solution de paiement paneuropéenne couvrant l’ensemble des flux, nationaux et transnationaux et, in fine, de redonner au continent, en matière de paiements, une indépendance stratégique qu’elle a abandonnée depuis trop longtemps à Visa et Mastercard.
Toutefois, l’avenir et la réussite de ce nouveau système paneuropéen dépendra fortement de la capacité de l’Union européenne à développer une stratégie à la fois défensive et offensive : protéger son marché puis se lancer, comme les acteurs américains et chinois, à la conquête des marchés extra-européens pour renforcer son emprise.
A l’heure de l’émergence de solutions de paiement décentralisées (les « cryptomonnaies »), la question de la capacité politique de l’Europe à défendre efficacement son indépendance stratégique en matière de paiement sera déterminante pour l’avenir de notre continent. L’économiste britannique Roy Harrod ne qualifiait-il pas la monnaie de pouvoir ?