Verification of Payee (VOP), secret bancaire et protection des données personnelles

Par Nathalie Chauveau

Avec l’introduction de la Verification of Payee (VOP), le règlement (UE) 2024/886 sur les virements instantanés (IPR) a lancé une petite révolution dans la communication des données personnelles. La communication d’informations clients à des tiers non financiers, sans le consentement des clients, est une première pour une profession bancaire très sensible sur ce sujet.

Si les banques françaises ont tenté de soulever les problématiques de protection des données personnelles posées par le texte, les instances européennes ont rejeté tout argument au nom de la proportionnalité du contrôle face aux bénéfices attendus. Pourtant, un examen attentif des situations possibles montre que le sujet est plus complexe qu’il n’y paraît.

Mains tenant une tablette, avec un dessin au-dessus signifiant le transfert de fichiers numériques

Le principe de la VOP est simple : le payeur fournit le numéro IBAN et le nom du bénéficiaire auquel il souhaite faire un virement instantané. S’il existe une différence importante entre le nom du détenteur de l’IBAN et le bénéficiaire indiqué, le payeur reçoit une alerte selon laquelle le nom indiqué ne correspond pas. S’il existe une différence mineure, il reçoit le nom du détenteur de l’IBAN pour vérification. Et c’est là que les complications commencent…

D’un point de vue purement législatif, l’IPR étant un règlement, il s’impose dans tous les pays européens indépendamment de la réglementation nationale. Mais il en va de même du Règlement Général sur la Protection des Données (RGPD), et le considérant 32 de l’IPR indique que la VOP doit être conforme au RGPD. L’enjeu est donc d’éviter les conflits de droits.

Dans cette optique, l’IPR fournit des détails supplémentaires : le considérant 21 indique qu’il faut indiquer au payeur le nom du bénéficiaire d’une manière qui garantisse le respect du RGPD. L’article 1 précise que les éléments à transmettre pour les personnes physiques sont uniquement le nom et le prénom (à l’exclusion de toute civilité ou titre par exemple). Le considérant 34 ajoute que le Contrôleur européen de la protection des données a été consulté et a rendu un avis [favorable]. Sur ce dernier point, lorsque l’on regarde plus en détail, l’avis du CEPD ne porte que sur le contrôle des listes de sanctions, une autre disposition de l’IPR, sans lien avec la fourniture du nom du bénéficiaire lors de la VOP. La porte reste donc ouverte aux débats, avis et jurisprudences.

Du côté des avis, le Q&A du DG FISMA sur la VOP, bien que sans valeur réglementaire, est à ce jour celui qui fournit le plus de précisions sur l’application du RGPD pour la VOP. Il spécifie notamment que le respect du RGPD incombe au prestataire de services de paiement (PSP) du bénéficiaire, qui est responsable du traitement lorsqu’il traite et renvoie les informations de différence majeure ou mineure. Il indique également que dans le cas d’un compte joint, en cas de différence mineure, l’envoi de l’identité d’un des bénéficiaires suffit. Plus largement, il indique que le service de VOP peut être offert séparément du service de virement instantané, notamment dans le cadre d’un virement multiple.

Le principe de la responsabilité du PSP du bénéficiaire est parfaitement en ligne avec le RGPD : l’entité qui dispose à la fois du nom du bénéficiaire attendu et du nom de son client détenteur du compte est le plus à même d’être responsable du traitement consistant à les rapprocher. Mais cette responsabilité s’accompagne de toutes les restrictions et obligations imposées par le RGPD.

En premier lieu, le responsable du traitement effectue un traitement automatisé susceptible d’exclure une personne du bénéfice d’un bien ou d’un service. En effet, s’il paramètre trop durement la limite entre différence majeure et différence mineure, il est susceptible de renvoyer au payeur une information selon laquelle le bénéficiaire n’est pas celui indiqué, créant le risque d’exclure celui-ci du bénéfice du virement. À l’inverse, s’il est trop souple sur le paramétrage d’une différence mineure, il court le risque de divulguer des données personnelles non pertinentes.

Pour examiner les différents cas de figure et risques associés, partons du début du processus : le fait qu’une personne A souhaite transférer de l’argent à une personne B. Dans le plus simple des cas, A dispose de l’IBAN de B en tant que document fourni par sa banque. C’est-à-dire qu’en plus du numéro de compte, il possède déjà le nom du (ou des) bénéficiaire(s) tel qu’il est fourni par l’établissement du bénéficiaire. Dans ce cas, toute différence entre le bénéficiaire saisi et le bénéficiaire réel indique :

  • Soit une erreur ou une mauvaise saisie par le payeur. Dans ce cas, ni l’indication d’une différence ni la fourniture du nom tel qu’il figure sur l’IBAN ne crée de risque pour le bénéficiaire ;
  • Soit une fraude du bénéficiaire, auquel cas tout retour négatif remplirait efficacement sa fonction.

Le cas est plus intéressant lorsque le payeur dispose d’un numéro d’IBAN et d’un nom de bénéficiaire obtenus séparément, ou par un autre moyen que la fourniture du document approprié. Dans ce cas, le risque de non-correspondance est élevé, et une analyse d’impact de protection des données (PIA) sera nécessaire afin d’évaluer les sécurités mises en œuvre.

Dans les cas non frauduleux, le risque à éviter est celui d’exclure un bénéficiaire légitime. Il est donc préférable de paramétrer largement la définition de différence mineure. En contrepartie, pour les bénéficiaires personnes physiques, le responsable du traitement doit définir strictement ce qui sera renvoyé au payeur, afin de ne pas diffuser d’informations non nécessaires, et en aucun cas de données sensibles. À titre d’exemples :

  • Une VOP pour un virement envoyé à Mlle Ilia Deleau alors que le libellé du détenteur du compte est Mme Ilia Deleau-Danlegaz ne permet pas au PSP du bénéficiaire de renvoyer le nom complet, car il est porteur d’informations sur le statut marital qui ne sont pas pertinentes pour le payeur. L’envoi d’autre chose que le nom de jeune fille serait contraire au considérant 21.
  • Une VOP pour un virement à M. Alain Térieur où aucun conjoint n’est mentionné ne devra jamais renvoyer le libellé de compte joint « Alain et Alex Térieur ». Du point de vue de la réglementation française, le fait d’informer le payeur que M. Alex est détenteur du compte serait une infraction au secret bancaire. Du point de vue du RGPD, le fait d’informer le payeur que M. Alain a pour conjoint M. Alex communiquerait une donnée sensible, en infraction à l’article 9.

Et en cas de fraude ? Eh bien là encore, une définition souple de la différence mineure est préférable à une définition restrictive. D’abord parce que la plupart des fraudeurs joueront sur une différence mineure de toute façon (trésor publique), ensuite parce que cela peut permettre de détecter des substitutions plus graves (personne physique au lieu de personne morale, usurpation d’identité avec une similitude de nom, etc.).

Dans ce cas, quel est le risque de diffusion injustifiée d’informations ? Eh bien il est faible :

  • Dans le cas d’une fausse identité, le RGPD ne s’applique pas puisque les données ne peuvent pas être reliées à une personne physique identifiable (sauf si le fraudeur finit par se faire prendre, ce qui est postérieur au virement) ;
  • Dans le cas d’une usurpation d’identité ayant servi à ouvrir un compte frauduleux, le risque pour la personne existe déjà, puisque ses données sont utilisées à des fins délictueuses. La détection de la fraude peut donc potentiellement permettre de détecter l’usurpation, ce qui est un bénéfice supérieur au risque… Le principe même de la PIA.

Du strict point de vue RGPD, malgré les réticences des banques, il semble donc qu’une large interprétation de la différence mineure soit la solution qui présente le moins de risques pour les personnes… à condition que les PSP des bénéficiaires soient très stricts sur le périmètre des informations à communiquer, et soient à même d’appliquer les restrictions nécessaires.

Il reste la question des virements de masse et des pré-VOP. Utilisé légitimement, ce service est pertinent. Cependant, les PSP des payeurs peuvent-ils garantir qu’un contrôle d’identité sans paiement sera toujours utilisé à des fins légitimes, et non dans le but de tenter de récupérer des identités correspondant à des IBANs pour lesquels les prétendus payeurs détiennent des informations parcellaires ?

La différence entre le virement unitaire et le virement multiple avec pré-VOP réside dans le temps dont dispose le payeur pour faire ses vérifications. En cas de retour négatif, le payeur a la possibilité de revenir vers le bénéficiaire et de compléter ses informations, il y a donc moins de risque d’exclusion, et donc moins de justification à une définition souple de la différence mineure.

Par ailleurs, si l’IPR précise le délai maximal pour procéder à la transaction après la VOP, il ne dit rien sur le délai de restitution de la VOP au payeur. La transmission des résultats au payeur doit uniquement être faite « avant qu’il ait la possibilité d’effectuer l’ordre de transfert ». Le PSP du payeur a donc une marge de manœuvre pour effectuer des diligences anti-fraude avant de renvoyer les informations au payeur présumé, et il y a une étape à envisager lorsqu’une pré-VOP renvoie une majorité de différences.

Ces hypothèses de fraude sont néanmoins des cas extrêmes, qui ne doivent pas impacter le processus principal, mais être envisagées dans les cas de risques majeurs identifiés lors de la PIA. Alors, est-il possible d’appliquer plusieurs processus différents ? A priori oui, le PSP du bénéficiaire comme celui du payeur disposant des informations nécessaires et étant à même de faire cette distinction. C’est donc principalement une question de volonté, de ressources… et de rigueur dans l’application du RGPD.

Sur le même sujet

Voir toutes les actualités