Intervention de Delphine Gény-Stephann

En ce qui concerne le risque lié au maniement et à la divulgation d’informations sur les comptes d’épargne, si nous partageons cette finalité d’une sécurisation accrue du recours à ces données, après examen – je m’y étais engagée lors de la première lecture –, nous ne sommes pas convaincus par le dispositif qui avait été proposé par votre commission des finances.

L’introduction d’une obligation d’assurance et d’une obligation d’enregistrement auprès de l’ACPR, l’Autorité de contrôle prudentiel et de résolution, serait susceptible d’induire en erreur l’usager, celui-ci pouvant s’estimer protégé par l’existence d’une assurance, alors que certains risques inhérents à la pratique du web scraping demeureraient identiques. En outre, des mesures ad hoc propres au droit national pourraient être considérées comme imposant une contrainte qui n’existe pas dans d’autres États membres, ce qui pourrait brouiller le message d’attractivité et de lutte contre la surtransposition que nous portons par ailleurs.

Nous avons donc travaillé à une approche alternative, fondée sur les dispositions du règlement général sur la protection des données, le RGPD, qui prévoit un régime de responsabilité pour tout responsable de traitement de données que sont les prestataires de services de paiement. Ce règlement prévoit des obligations de sécurisation des données personnelles à la charge des responsables de traitement, assorties d’importantes sanctions en cas de violation et d’un droit de l’usager à réparation en cas de violation de ces règles.

Les échanges parlementaires autour de ce projet de loi m’ont convaincue de l’opportunité d’inviter la Commission nationale de l’informatique et des libertés, la CNIL, à travailler étroitement avec la Banque de France, l’Autorité de contrôle prudentiel et de résolution, ainsi que l’Agence nationale de la sécurité des systèmes d’information, l’ANSSI, afin de clarifier, au regard du RGPD, les modalités adéquates et sûres d’accès aux données financières des usagers.

Je vous informe que nous saisissons cette semaine ces autorités afin de les inviter à émettre des recommandations permettant d’apporter un niveau de sécurité optimale dans l’accès aux comptes autres que les comptes de paiement.

Je rappelle que nous avons en parallèle saisi la Commission européenne pour l’inviter à établir un cadre juridique unifié au niveau européen sécurisant l’utilisation de l’ensemble des données financières individuelles, incluant les données issues de comptes d’épargne.

Enfin, je viens de saisir l’Inspection générale des finances d’une mission visant à élaborer des propositions pour cartographier de manière plus précise les risques suscités par ces nouveaux services et alimenter ces travaux au niveau européen.

Cette approche permettra d’offrir un cadre à la fois sécurisé pour les consommateurs, et proportionné juridiquement, pour le développement des services d’information sur les comptes.

Je tiens à vous remercier, mesdames, messieurs les sénateurs, et vous, en particulier, monsieur le rapporteur, du dialogue qui s’est instauré pour trouver ces voies de progrès.