La donnée de paiement peut être définie comme toutes les données collectées et traitées à l’occasion d’une opération de paiement. Le champ des données de paiements et donc potentiellement large et il a forcement des liens avec d’autres types de données (historiques des achats, données de connaissance client).
Les données dont nous allons parler ici tombent dans trois grandes catégories dont les frontières sont moins claires pour les paiements en ligne que pour les paiements physiques :
• Données de paiement proprement dites : entre autres identifiants du moyen de paiement utilisé, montant de la transaction, date et heure du paiement, identité du commerçant, identité du bénéficiaire, IBAN, score de lutte anti-fraude du client… Elles dépendent du moyen de paiement et du système de paiement utilisés et sont traditionnellement historicisées par les acteurs bancaires.
• Données d’achat ou de caisse : entre autres caractéristiques des produits achetés, date et lieu de l’achat, identifiants de la carte de fidélité le cas échéant… Elles sont observées lors de l’acte d’achat et traditionnellement collectées et historicisées par les commerçants (traditionnels ou en ligne).
• Données contextuelles ou comportementales : données de connaissance client, géolocalisation, caractéristiques du terminal utilisé pour un achat en ligne, caractéristiques des produits prospectés en amont de l’achat, temps passé à prospecter… Plus faciles à collecter lors d’un achat en ligne, elles sont aisément accessibles aux acteurs du numérique.
Pour la suite nous. allons donc définir les données de paiements comme les données personnelles utilisées lors de la délivrance d’un service de paiement pour une personne physique, y compris des données annexes telles que la géolocalisation, des données contextuellesvoire, selon le cas de figure, le détail des achats. Cette définition est d’ailleurs celle retenue par le régulateur des paiements britannique alors que la directive sur les services de paiement (DSP2) ne définit pas cette notion.
À ce stade, il est important de rappeler que certains paiements (en espèces, en-dessous d’un montant de 1 000 € en France pour les paiements à un professionnel) n’engendrent pas de données personnelles associées et constituent aujourd’hui une alternative offerte à tous, même si les paiements en espèces deviennent de plus en plus compliqués.
La donnée de paiement
Ces données sont des données à caractère personnel, car relatives à une personne physique (le client) identifiée ou identifiable, directement ou indirectement. Certaines sont qualifiées de données personnelles lorsqu’elles sont prises individuellement, d’autres le sont du fait de leur collecte conjointe avec d’autres données à des fins d’identification (ex : les caractéristiques du navigateur) ou parce qu’elles sont recoupables avec d’autres à des fins d’inférence sur une personne (ex : le montant d’une transaction).
La circulation et le devenir des données de paiement varient sensiblement selon le moyen de paiement utilisé. C’est pourquoi la dynamique des différents moyens de paiement est d’une grande importance pour les travaux de la CNIL. En particulier, les transactions en espèces ne donnent pas lieu en elles-mêmes à un traitement de données personnelles : elles sont anonymes. Il s’agit donc du moyen de paiement le plus protecteur de la vie privée.