Au début, l'histoire se répète à l'identique : l'institution financière soumet à ses clients une modification de ses conditions d'utilisation afin d'autoriser l'exploitation des informations relatives à leurs transactions dans le but de leur proposer des promotions ciblées. La presse s'empare de l'affaire, les consommateurs s'indignent et interpellent l'organisme public en charge de la protection des données personnelles… qui réagit cette fois par une mise au point en forme d'interdiction adressée à l'ensemble de la profession.
Pour ce que j'en comprends, la position [PDF] de l'AP (Autoriteit Persoonsgegevens, équivalent néerlandais de la CNIL française) s'appuie sur une lecture rigoureuse du RGPD (Règlement Général sur la Protection des Données) entré en application dans l'Union Européenne il y a un peu plus d'un an. Ainsi, selon son interprétation, les banques ne peuvent pas utiliser les données collectées sur les opérations de leurs clients – y compris si elles demandent et obtiennent l'accord de ces derniers – à d'autre fins que leur destination initiale, à savoir des services de paiement ou de retrait.
L'alerte est suffisamment puissante pour conduire ABN AMRO à suspendre ses propres pratiques, en attendant une clarification. Également signalées par certains de ses clients au gendarme des données, celles-ci semblent pourtant plutôt bénignes, voire positives pour leurs « victimes », puisqu'elles ne concernent que des recommandations de produits de la banque ou des conseils pratiques contextuels, tels que le verrouillage des paiements à l'étranger lors de la détection d'un retour de voyage ou l'invitation à effectuer un remboursement anticipé de prêt en cas de disponibilités sur le compte…
Il n'est pas question ici de contester la légitimité du texte, ni l'argumentaire de l'agence néerlandaise. En revanche, il vaut de s'interroger sur les conséquences de ses conclusions, car elles introduisent – par l'intermédiaire d'une autre réglementation européenne (la DSP2) et ses obligations d'ouverture et de partage des données de paiement – une distorsion de concurrence pour le moins embarrassante.
Pour ne prendre qu'un exemple, en projetant le principe dans l'hexagone, une startup (telle que Joko, qui faisait la une récemment avec sa levée de fonds) n'est embarrassée d'aucun obstacle sur la finalité originale de la captation des données de paiement qu'elle utilise pour récompenser ses utilisateurs, tandis que ce prétexte pourrait être retenu afin d'empêcher une banque de développer une solution similaire (tuant au passage les jeunes pousses qui les accompagnent dans ces initiatives, à l'instar de Paylead).
La logique qui prévaut dans la directive des services de paiement est que les informations recueillies sur les transactions appartiennent à l'individu qui les réalise et qu'il peut donc en disposer à sa guise. Il paraîtrait logique que les banques soient aussi en mesure de profiter de ce point de vue, ce qu'elles considéraient, jusqu'à maintenant, comme acquis à partir du moment où un consentement explicite était recueilli.
Dans un sens, la situation pourrait devenir absurde. En effet, il existe suffisamment de cas d'application bénéfiques pour les consommateurs pour s'inquiéter d'un blocage total : comment le régulateur justifiera-t-il, sur ces mêmes bases juridiques, d'interdire aux institutions financières de développer des approches automatisées de conseil ultra-personnalisé (le cœur de leur métier, en principe), tout en laissant des startups et des géants du web prendre position sur ce créneau avec un minimum de contraintes ?