Le cashback est le leurre de la vie privée
L'utilisation d'instruments de paiement électroniques: cashback
(par Giuseppe Gorga, partenaire Aidr) La pandémie Covid-19 a donné une forte accélération à la digitalisation des services de mobilité, une révolution qui joue un rôle prioritaire dans les stratégies industrielles et dans les nouveaux modèles économiques impliquant les AP et les entreprises. La croissance constante des solutions de paiement électronique a confirmé la tendance, déjà soutenue dans le secteur des transports avant la crise, qui va vers le principe de «mobilité en tant que service» Compte tenu du rôle de plus en plus actif des utilisateurs dans la mobilité intelligente, plusieurs entreprises ont a ressenti le besoin d'adopter une infrastructure simple et unique permettant aux citoyens d'accéder directement à tous les services de mobilité.
Parmi les exemples «mineurs», il faut noter la plateforme développée par SIA, société contrôlée par CDP Equity. L'outil numérique comprend une suite complète de services pour payer les tickets de bus, métro et parking directement par carte ou smartphone, avec la garantie du meilleur tarif. Le service innovant vous permet de payer le ticket de métro et de réseau ferroviaire directement au tourniquet à l'aide de cartes de crédit et de débit sans contact (Mastercard, VISA et American Express), même virtualisées sur smartphones et appareils portables, de manière simple, rapide et sécurisée. Il est possible d'utiliser sa carte de crédit comme s'il s'agissait d'un abonnement mensuel: une méthode à la disposition des utilisateurs qui, après avoir acheté le pass en ligne avec une carte de crédit sans contact, peuvent utiliser la même carte pour se déplacer dans tout le réseau de transports en commun citoyen.
Le phénomène a pris une importance considérable et, par conséquent, en tant que phénomène massif, il ne pouvait manquer de tomber dans les mailles de la réglementation de la vie privée en tant que phénomène répandu de cashback. À cet égard, le dispositif de régulation - sous examen par le Garant de la vie privée - du ministère de l'Économie et des Finances, contenant les conditions et les critères d'attribution des mesures de récompense pour l'utilisation d'instruments de paiement électroniques, dit cashback, a été adopté conformément à l'article 1, paragraphes 288 à 290, de la loi no. 27, dispositions modifiées et intégrées par le décret-loi du 2019 août 160, n. 14 à l'art. 2020 qui a ajouté deux paragraphes 104-bis et 73-ter, (loi sur le budget de l'État pour l'exercice 289 et budget pluriannuel pour la période de trois ans) fait partie de la stratégie, qui a longtemps été propagée par le gouvernement italien, qui veut décourager l'utilisation d'espèces dans les transactions entre les opérateurs économiques et les consommateurs, je prévois également un remboursement en espèces sur les paiements effectués par des moyens électroniques, les soi-disant. «Loterie» des recettes contenues dans cette dernière loi de finances.
Dans le cas concret, le nouveau paragraphe 289-bis du texte réglementaire en question prévoit que pour la mise en œuvre de la mesure de récompense, le ministère de l'Économie et des Finances doit utiliser la plateforme technologique d'interconnexion et d'interopérabilité entre administrations publiques et les prestataires de services de paiement agréés, conformément à l'article 5, paragraphe 2, du décret législatif n. 7, gérée par la société PagoPA SpA Il est alors précisé que le ministère devra confier à la société PagoPA SpA la conception, la mise en œuvre et la gestion du système d'information utilisé pour le calcul du remboursement. En outre, au paragraphe 2005-ter, il est envisagé que le même dicastère confie à Consap - Concessionaria Servizi Assicurativi Pubblici SpA - tous les services inhérents aux opérations de décaissement du remboursement et les activités auxiliaires et instrumentales supplémentaires, y compris la gestion du litige.
Le règlement du cashback
Le règlement - qui est composé de 12 articles - qui est examiné ici, de manière essentielle et opportune, établit la discipline des conditions, cas, critères et modalités de mise en œuvre pour l'attribution d'un remboursement en espèces en faveur des particuliers. les personnes majeures, résidant sur le territoire de l'État, qui, en dehors de l'exercice d'une entreprise, d'un art ou d'une profession, effectuent des achats auprès de commerçants, au moyen d'instruments de paiement électronique (article 2). Comme il ressort du choix des sujets, le législateur s'est soucié tout d'abord d'empêcher les mineurs de participer à ce type de «loterie» et d'autre part que les majeurs puissent participer à l'exercice d'une activité commerciale, art ou profession.
Comme prévu, le programme de remboursement, créé grâce au «Cashback System», a été élaboré et est géré par la société PagoPA Spa dans le cadre de la plateforme technologique - prévue et régie par l'article 5, paragraphe 2, du CAD - qui collecte données, aux fins de la participation au Programme, des «membres» et des «commerçants», et qu'une fois le classement défini, transmet les informations associées à l'APP IO et aux systèmes mis à disposition par les «émetteurs affiliés» et, aux fins du déboursement du remboursement à la Consap-Concessionaria Servizi Assicurativi Pubblici SpA.
L'article 3 détaille les modalités d'adhésion au programme de remboursement et souligne, en particulier, le caractère volontaire de la participation au programme lui-même, qui implique la divulgation de données à caractère personnel allant de données très invasives, telles que code fiscal aux banques. La règle prévoit en effet que le sujet «adhérent» est tenu de s'inscrire dans l'APP IO, ou dans les systèmes mis à disposition par un émetteur affilié, son code fiscal et un ou plusieurs outils électroniques qu'il compte utiliser pour effectuer des paiements , déclarant, au moment de l'enregistrement, utiliser les moyens de paiement enregistrés exclusivement pour des achats effectués en dehors de l'exercice d'une activité commerciale, artistique ou professionnelle (article 3, paragraphes 1, 2 et 3).
En effet, l'article 4 du règlement précise notamment les modalités techniques d'adhésion au système par les soi-disant «Acquéreurs affiliés» et, c'est-à-dire par des sujets qui ont conclu un accord avec le «commerçant» pour l'acceptation d'instruments de paiement via des appareils physiques, des titulaires d'un accord avec PagoPA SpA pour la participation au Programme, ou Bancomat SpA, dans l'hypothèse de la signature de l'accord avec PagoPA SpA elle-même. L'article 5 prévoit des accords spécifiques entre le ministère de l'Économie et des Finances et PagoPA SpA et entre le service susmentionné et Consap SpA pour le fonctionnement du programme. En particulier, le paragraphe 1 de l'article 5 régit l'accord entre le ministère et PagoPA SpA, pour la conception, la mise en œuvre et la gestion de fonctions spécifiques au sein du système de cashback, telles que la collecte de données relatives aux membres et aux paiements et, par conséquent, une quantité considérable de données présente un risque élevé pour la liberté et la dignité mêmes des sujets participant au programme. Le paragraphe 2, en revanche, régit l'accord MEF-Consap SpA, pour la gestion des remboursements et des réclamations, où des données personnelles supplémentaires pourront également être reçues en justice. La discipline de cashback détaillée se trouve à l'article 6 où les mesures et périodes de référence sont également établies, tandis que l'article 7 prévoit une phase expérimentale temporaire, valable du 1er décembre 2020 au 31 décembre 2020, visant à permettre une l'anticipation de la mise en place du programme de remboursement, exclusivement pour les membres ayant effectué un certain nombre de transactions. L'article 8, en revanche, établit un remboursement spécial pour les cent mille premiers membres qui ont totalisé le plus grand nombre de transactions avec des instruments de paiement électronique.
Ils sont spécifiés à l'art. 9 les modalités de décaissement du remboursement, qui s'effectue par crédit au moyen du code IBAN communiqué par le membre au moment de l'adhésion au Programme, ou ultérieurement, tandis que l'article 10 régit les modalités de traitement des réclamations. En particulier, le paragraphe 1 prévoit que PagoPA SpA, met à disposition un service d'assistance dédié à l'assistance des membres pour tous les aspects liés à la gestion du profil de l'utilisateur et des services fournis via l'APP IO, y compris tout litige à cet égard. l'enregistrement des transactions effectuées. Enfin, l'article 12 - intitulé «Traitement des données à caractère personnel» - régit certains aspects importants de la protection des données. Tout d'abord, il identifie les rôles, fonctions et responsabilités des différents sujets impliqués dans le système, à savoir le ministère de l'Économie et des Finances, PagoPA SpA, Consap SpA et les émetteurs et acquéreurs conventionnés - propriété, responsabilité et sous-responsabilité du traitement; paragraphes 1-5-. Le ministère est alors censé réaliser, avant le traitement, l'analyse d'impact conformément à l'article 35 du règlement et la soumettre à la vérification préalable du garant; il est envisagé que les mesures techniques et organisationnelles mises en place et utilisées pour garantir un niveau de sécurité adapté au risque doivent également être indiquées pour l'évaluation, et les délais et modalités d'annulation du programme doivent être réglementés (paragraphes 6 et 7). Conformément au principe des finalités du traitement, les données personnelles collectées pourront être traitées exclusivement pour l'exécution du Programme et pour la réalisation du remboursement attendu, en limitant le traitement des données relatives à l'identifiant du commerçant dans le seul but de vérifier les transactions concernées. plainte (paragraphe 8). Enfin, le paragraphe 9 de l'article autorise le ministère à réaliser des statistiques sur la mise en œuvre du programme, traitant également les données personnelles des membres, relatives à la participation au programme, au nombre et à la valeur des transactions effectuées, ainsi qu'aux remboursements versés, conformément aux règles déontologiques (règles déontologiques pour les traitements à des fins de recherche statistique ou scientifique effectués dans le cadre du système statistique national, visées à l'annexe A du code, qui doivent être mentionnées intégralement dans le schéma).
Il convient de noter ici qu'il est tout à fait clair que le traitement des données sous-tendant le fonctionnement du programme présente des risques élevés pour les droits et libertés des parties intéressées découlant de la collecte massive et généralisée d'informations détaillées, potentiellement applicables à tous les aspects de la vie. de l'ensemble de la population, qui nécessitent des évaluations spécifiques concernant la proportionnalité du traitement et l'identification des mesures à adopter afin de se conformer aux exigences du règlement. Sur le texte, en effet, les observations et suggestions de la Privacy Guarantor Authority étaient précises et pertinentes. En résumé, il convient donc de considérer que la base juridique qui l'autorise doit être proportionnée par rapport aux finalités poursuivies et contenir les autres exigences de légalité prévues par la législation européenne et nationale sur la protection des données (article 6, paragraphe 3, du règlement). De ce point de vue, le règlement présente, en effet, des critiques évidentes car il n'est pas précisé que le système informatique en question - Cashback System - ne coïncide pas avec la plateforme technologique visée à l'article 5, paragraphe 2, du CAD, mais fonctionne dans le du même. En outre, les rôles et responsabilités des différents sujets impliqués par le système en matière de protection des données n'ont pas été explicitement identifiés (article 12, paragraphes 1 à 5). La législation réglementaire devrait donc viser la nécessité de circonscrire les objectifs de la création du CD. cashback les traitements effectués dans le respect du principe de limitation de la finalité, et d'introduire une garantie spécifique supplémentaire en relation avec le traitement des identifiants des commerçants avec lesquels les transactions transmises au Cashback System seront effectuées (article 12, paragraphe 8).
En outre, des mesures devraient être prises pour garantir que les acheteurs ne transmettent au système que les données relatives aux transactions effectuées au moyen des instruments de paiement indiqués par les parties participant à l'initiative (articles 4, paragraphes 1 et 2, et 5, paragraphe 1) et ceci également pour mieux définir les modalités selon lesquelles l'APP IO, ou les systèmes mis à disposition par les émetteurs, mettent à disposition des adhérents, dans le respect du principe de minimisation, les montants des remboursements dus et la position dans le classement (article 5, paragraphes 1, lettre e). Il sera également nécessaire d'identifier les méthodes et les moments de stockage des données et les mesures nécessaires pour garantir que les informations sont traitées pendant le temps strictement nécessaire pour atteindre les finalités spécifiques et supprimées ultérieurement (articles 4, paragraphe 5, et 12, paragraphes 7 et 9 ), ainsi que de définir, en vue d'une plus grande garantie, certaines mesures de sécurité à adopter dans le traitement des données, notamment en ce qui concerne la protection, par des fonctions cryptographiques irréversibles, des identifiants des instruments de paiement électronique (PAN, Primary Account Number) utilisés aux sujets qui adhèrent à l'initiative, également en conformité avec la norme PCI DSS (Payment Card Industry Data Security Standard) (article 4, paragraphe 1). Il sera également nécessaire de préciser les garanties à appliquer au traitement des données à caractère personnel effectué par le ministère à des fins statistiques dans le cadre du système statistique national, en limitant les types de données pouvant être traitées (article 12, paragraphe 9) et en effectuant une évaluation l'impact du traitement, compte tenu du risque élevé qu'il présente, afin d'identifier les mesures techniques et organisationnelles propres à garantir un niveau de sécurité adéquat (article 12, paragraphes 6 et 7).
Enfin, dans le cadre de la vérification de l'analyse d'impact, il convient d'examiner les caractéristiques de l'APP IO notamment, l'utilisation prévue des notifications push, l'activation automatique de services non expressément demandés par l'utilisateur, ainsi que le transfert de données personnelles vers Pays tiers, cependant, à mettre à jour à la lumière de l'arrêt récent de la Cour de justice dans l'affaire Schrems II (16 juillet 2020, affaire C-311/18).
3 La sécurité du cashback
En ce qui concerne les profils de sécurité du cashback, il convient de garder à l'esprit que le propriétaire du traitement des données à caractère personnel est le ministère de l'Économie et des Finances (MEF), qui utilise PagoPA SpA et Consap SpA, sociétés détenues par l'État, comme Responsable du traitement des données personnelles conformément à l'art. 28 du RGPD) pour la réalisation des activités nécessaires pour garantir la participation des Membres au Programme et le décaissement en temps voulu des remboursements en leur faveur, ainsi que pour permettre la gestion de toute réclamation et / ou litige découlant de la participation au Programme.
Par conséquent, un problème de sécurité des données se pose, entre les mains du public, car dans le domaine spécifique, des données personnelles et particulières sont accordées via l'application IO concernant la qualité et la catégorie des biens achetés en plus des IBAN des comptes courants bancaires.
En ce qui concerne le délire de la soi-disant «loterie des reçus», un énorme flux de données circulant sur Internet sera constamment exposé à la possibilité d’être intercepté, car la procédure d’enregistrement entamée a déjà posé tant de problèmes qu’il n’est pas difficile de prévoir un vulnus dans les comptes courants avec des profils de responsabilité conséquents entre le MEF, les banques et les opérateurs de réseaux.
Il est à noter, alors, que la société PagoPA Spa se déclare à son tour responsable du traitement des données lorsque le MEF les qualifie de sous-traitants. PagoPA se déclare propriétaire mais uniquement pour l'utilisation des systèmes informatiques et des procédures logicielles utilisées pour faire fonctionner le site et des données acquises au cours de leur exercice normal de transmission impliquant l'utilisation de protocoles de communication Internet. Maintenant, on sait que le cashback est sur une base volontaire car l'utilisateur doit ensuite activer pour pouvoir l'avoir et l'insérer, toujours sur une base volontaire comme des cartes, des cartes de débit ou des cartes de crédit avec IBAN pour activer sur lequel effectuer les paiements de la «prime» tous remis à l'action et à la responsabilité des utilisateurs. Cependant, il est amer de signaler qu'après la faillite de l'application IMMUNI dont le sort a été marqué par le danger pour la vie privée avec l'application IO, c'est-à-dire avec une opération cd. «State cashback» pour les Italiens, la vie privée ne vaut que 150 euros.