N° de demande d’avis : 2236389	Thématiques : lutte contre la fraude ; moyens de paiement ; fichier national des comptes signalés pour risque de fraude
Organisme(s) à l’origine de la saisine : ministère de l’économie, des finances et de la souveraineté industrielle, énergétique et numérique	Fondement de la saisine : article L. 521-6-1 du CMF

L’essentiel :

Le projet d’arrêté précise les modalités techniques et de fonctionnement du FNC-RF créé par l’article L. 521-6-1 du code monétaire et financier pour améliorer la prévention, la recherche et la détection de la fraude en matière de paiements. La CNIL considère que ce fichier de mutualisation à large échelle de données bancaires hautement personnelles revêt une sensibilité particulière ;

La CNIL estime que la Banque de France et les prestataires de services de paiement (PSP) sont responsables conjoints des traitements de centralisation et de partage des données mis en œuvre dans le cadre du FNC-RF ;

Elle considère que, compte tenu de la sensibilité du traitement et de l’impact potentiel sur les personnes concernées, les garanties prévues par le projet d’arrêté en termes d’exactitude des données traitées doivent être améliorées ; elle prend notamment acte de l’engagement du ministère de préciser dans l’arrêté que les vérifications effectuées par les PSP sur le caractère frauduleux des comptes dont ils sont teneurs devront être faites « dans les plus brefs délais » ;

La CNIL invite le ministère à compléter le projet d’arrêté en précisant que les demandes d’exercice des droits doivent pouvoir s’exercer auprès de la Banque de France et des PSP, et rappelle que ces acteurs doivent définir clairement les modalités de réponse à ces demandes dans un document contraignant encadrant leurs responsabilités ;

La CNIL estime enfin que l’architecture technique retenue, consistant en un partage de copies intégrales et synchronisées des données en clair avec les PSP et leurs éventuels prestataires (instances locales du FNC-RF), accroît fortement la surface d’exposition des données et, par conséquent, le risque de fuite, d’accès non autorisé ou de réutilisation indue.

­­­­­­­­­­­­­­­­­­­­­___________________

La Commission nationale de l’informatique et des libertés,

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données ou RGPD) ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés (« loi informatique et libertés ») ;

Vu la loi n° 2025-1058 du 6 novembre 2025 visant à renforcer la lutte contre la fraude bancaire ;

Après avoir entendu le rapport de M. Philippe-Pierre Cabourdin, commissaire, et les observations de M. Damien Milic, commissaire du Gouvernement,

Adopte la délibération suivante :

I. La saisine

A. Le contexte

La loi n°2025-1058 du 6 novembre 2025 visant à renforcer la lutte contre la fraude bancaire a introduit dans le code monétaire et financier (CMF) un article L. 521-6-1 portant création d’un fichier national des comptes bancaires signalés pour risque de fraude (FNC-RF). Ce fichier a pour objectif d’améliorer la prévention, la recherche et la détection de la fraude en matière de paiements.

Le FNC-RF, géré par la Banque de France, recense les informations permettant d’identifier les comptes de paiement et les comptes de dépôt que les prestataires de services de paiement (PSP), établis ou exerçant en France, estiment susceptibles d’être frauduleux, et les éléments caractérisant la fraude ou la suspicion de fraude.

B. L’objet de la saisine

Conformément à l’article L. 521-6-1 du CMF, le projet d’arrêté fixe le cadre relatif au FNC-RF, prévoyant les modalités de collecte, d’enregistrement, de conservation et de consultation des données ainsi que la liste des informations appelées à figurer dans le fichier.

Le 17 mars 2026, le ministère de l’économie, des finances et de la souveraineté industrielle, énergétique et numérique a saisi la CNIL, en urgence, pour avis sur ce projet.

Le projet d’arrêté prévoit notamment qu’il incombe aux PSP de :

• procéder à l’inscription des informations permettant d’identifier les comptes de paiement et les comptes de dépôts qu’ils estiment susceptibles d’être frauduleux en se fondant notamment sur les analyses réalisées dans le cadre de leurs dispositifs internes de lutte contre la fraude ;
• mener immédiatement, lorsqu’un compte dont ils sont teneurs apparaît dans le fichier, des vérifications visant à évaluer son caractère frauduleux, et d’en partager le résultat ;
• actualiser les instances locales du fichier (copies intégrales du FNC-RF détenues par les PSP) dont ils sont responsables au moins une fois par jour ou, à défaut, avant toute nouvelle opération de paiement ;
• corriger leurs déclarations sans délai, notamment si les raisons de soupçonner une fraude disparaissent.

La CNIL relève que ces traitements sont fondés sur la base légale de l’obligation légale (article 6, I, c) du RGPD).

À titre d’élément de contexte, la Banque de France indique envisager à terme un élargissement des catégories de données partagées dans le cadre de ce dispositif, ainsi qu’une intégration dans un dispositif européen de partage de données de fraude.

II. L’avis de la CNIL

Le FNC-RF a vocation à améliorer la prévention, la recherche et la détection de la fraude en matière de paiements grâce à un partage d’informations entre prestataires de service de paiement. En particulier, la mutualisation des informations dès le stade de la suspicion de fraude vise à empêcher la propagation des fraudes auprès de multiples acteurs. La CNIL estime que ces finalités sont déterminées et légitimes.

L’article L. 521-6-1 du CMF prévoit certaines garanties visant à limiter les risques du traitement :

• l’inscription d’un compte dans ce fichier n’emporte pas d’interdiction de réaliser des opérations de paiement impliquant ce compte et ne peut justifier, à elle seule, la résiliation du contrat-cadre de services de paiement ou de la convention de compte de dépôt par le PSP teneur du compte déclaré ;
• lorsqu’un compte figure dans le fichier, le PSP chargé de la tenue de ce compte effectue sans délai l’ensemble des diligences visant à évaluer son caractère frauduleux ;
• il est interdit à la Banque de France et aux PSP de remettre à quiconque copie des informations contenues dans le fichier.

La CNIL souligne que le FNC-RF est un fichier particulièrement sensible à plusieurs égards :

• il implique la mutualisation de données à grande échelle entre de nombreux acteurs ;
• les données bancaires qu’il contient constituent des données hautement personnelles au sens des lignes directrices du Comité européen de la protection des données (CEPD) du 4 octobre 2017 concernant l’analyse d’impact relative à la protection des données ;
• les comptes inscrits dans le fichier ne sont que suspectés par les organismes déclarants de contenir des opérations de paiement frauduleuses, sans que cette fraude ait été caractérisée ;
• il est susceptible d’avoir des conséquences importantes pour les personnes, en particulier lorsque la suspicion de fraude déclarée n’est finalement pas caractérisée. En effet, un PSP pourrait suspendre ou refuser de réaliser une opération de paiement sur le seul fondement de la présence d’un identifiant unique d’un compte de la personne concernée dans le FNC-RF. De telles décisions pourraient avoir un impact très important sur les personnes concernées notamment dans les cas d’usurpation d’identité prévus à l’article L. 226-4-1 du code de procédure pénale tel que précisé au 3^ème alinéa du II de l’article L. 521-6-1 du CMF.

En outre, la CNIL estime que l’élargissement envisagé par la Banque de France des catégories de données partagées dans le cadre de ce dispositif serait susceptible d’avoir un impact sur la proportionnalité du traitement compte tenu de l’impact potentiel pour les droits et libertés des personnes concernées.

A. Sur les responsabilités de traitement

Le deuxième alinéa de l’article 8 du projet d’arrêté prévoit que la Banque de France et les PSP "sont responsables de traitement, chacun en ce qui les concerne". L’AIPD de la Banque de France transmise par le ministère précise également que la Banque de France est responsable du traitement de centralisation et de partage des informations contenues dans le FNC-RF. A ce titre, la Banque de France et les PSP ont, en tout état de cause, chacun des obligations en tant que responsable de traitement, ce que le projet d’arrêté n’intègre pas puisqu’il prévoit uniquement des obligations à la charge des PSP (particulièrement information des personnes et exercice de leurs droits).

La CNIL considère cependant que la Banque de France et les PSP sont également conjointement responsables des traitements de centralisation et de partage des données au sein du FNC-RF.

En effet, l’analyse de la qualification des PSP et de la Banque de France doit être effectuée au regard du traitement central mis en œuvre dans le cadre du FNC-RF et de ce point de vue plusieurs éléments permettent de conclure à une responsabilité conjointe :

• si le FNC-RF est constitué d’un fichier central géré par la Banque de France et d’instances locales de ce même fichier, gérées par chaque PSP concerné, il apparaît de manière claire que les traitements mis en œuvre par les PSP et la Banque de France participent d’une finalité commune et conjointement définie, d’échange et de mutualisation des informations contenues dans le FNC-RF afin d’améliorer la prévention, la recherche et la détection de la fraude en matière de paiement ;
• les moyens de la mise en œuvre du traitement ont été déterminés par ces acteurs conjointement, notamment dans le cadre de nombreuses réunions techniques et juridiques (détermination de l’architecture technique du fichier, du type de données partagées, etc.) ;
• le traitement de mutualisation et de partage au sein du FNC-RF ne pourrait pas avoir lieu sans la participation active de chacun. En effet, le fonctionnement du fichier implique à la fois la mise en commun des données par chacun des PSP, et la centralisation et le partage de ces données par la Banque de France à l’ensemble des PSP, au moyen d’une architecture technique fondée sur l’actualisation régulière des instances locales du fichier tenues par les PSP et du fichier central tenu par la Banque de France. Le traitement réalisé par chaque acteur est ainsi indissociable de celui des autres.

La CNIL rappelle que, selon les lignes directrices 07/2020 du CEPD sur les notions de responsable de traitement et de sous-traitant dans le RGPD, « les notions de responsable du traitement et de sous-traitant sont des concepts fonctionnels : ils visent à répartir les responsabilités en fonction des rôles réels des parties » (point 12). Si le responsable de traitement peut être désigné par le droit de l’Union ou par le droit d’un Etat membre, "cela présuppose que le législateur a désigné comme responsable du traitement l’entité qui est véritablement en mesure d’exercer le contrôle" (point 23).

La CNIL invite donc le ministère à modifier le projet d’arrêté en indiquant que les PSP et la Banque de France sont conjointement responsables des traitements de données à caractère personnel mis en œuvre dans le cadre du FNC-RF.

Le projet d’arrêté doit indiquer, en outre, que les acteurs responsables conjoints du traitement définissent ensemble, dans un document contraignant et de manière transparente, la répartition des obligations que leur impose le RGPD, conformément aux dispositions de l’article 26 du RGPD et aux lignes directrices 07/2020 du CEPD concernant les notions de responsable du traitement et de sous-traitant dans le RGPD. Ce document devra notamment définir : qui répond aux demandes des personnes concernées et informe les personnes, qui gère la sécurité, les fuites de données ou les analyses d’impact sur la protection des données, etc.

B. Sur les données collectées

L’article 3 du projet d’arrêté prévoit que, pour chaque événement dont le caractère frauduleux est suspecté par le PSP, ce dernier déclare sans délai, au sein du fichier, un certain nombre d’informations relatives à cet événement, le ministère ayant précisé que cette liste est limitative.

Ces informations comprennent notamment l’« événement de fraude », le "canal d’origine de la transaction« , la »catégorie de fraude« , la »source de fraude« et le »type d’opération". La CNIL estime toutefois que ces termes ne sont pas suffisamment précis et invite le ministère à les définir dans le projet d’arrêté.

En outre, les données à déclarer se rapportent à des événements de fraude suspectée et, le cas échéant, avérée. Le FNC-RF contient notamment des éléments sur la méthode utilisée par le potentiel fraudeur, la catégorie et la source de la fraude suspectée, ainsi que, le cas échéant, l’existence d’une réclamation ou d’une plainte d’un utilisateur des services de paiement pour usurpation d’identité (article 226-4-1 du code pénal). La CNIL déduit que le dispositif envisagé est susceptible d’impliquer la collecte et le traitement de données relatives à des condamnations pénales ou des infractions au sens de l’article 10 du RGPD dans la mesure où ces données sont collectées dans le but d’établir l’existence ou de prévenir la commission d’infractions.

Conformément aux articles 46 de la loi informatique et libertés et 10 du RGPD, le traitement de données d’infraction est possible lorsque le traitement est autorisé par le droit de l’Union ou d’un Etat membre qui prévoit des garanties appropriées pour les droits et libertés des personnes concernées. A cet égard, l’article L. 521-6-1 du CMF prévoit certaines garanties évoquées ci-dessus de nature à permettre le traitement de telles données. Ces garanties devraient néanmoins être substantiellement revues dans l’hypothèse d’un élargissement des données à déclarer ou des acteurs pouvant accéder au fichier ou le consulter.

La CNIL relève, de manière incidente, l’absence de mention, dans le projet d’arrêté, des modalités d’alimentation du FNC-RF par les unions de recouvrement des cotisations de sécurité sociale et d’allocations familiales (URSSAF), alors qu’en l’état actuel du droit, le III de l’article L. 521-6-1 du CMF leur octroie la possibilité de signaler au gestionnaire du fichier les comptes qu’elles estiment susceptibles d’être frauduleux. Elle invite le ministère à modifier le projet d’arrêté afin d’indiquer que la Banque de France instruit les signalements des URSSAF et assume, à ce titre, la responsabilité des déclarations qu’elle effectue sur leur fondement.

C. Sur le principe d’exactitude des données

L’article 5, 1., d) du RGPD prévoit que les données à caractère personnel traitées doivent être exactes et, si nécessaire, tenues à jour ; toutes les mesures raisonnables doivent être prises pour que les données qui sont inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans tarder.

L’exactitude des données constitue une exigence centrale pour la conformité du FNC-RF au RGPD. En effet, comme développé précédemment, l’impact pour les personnes concernées d’une information erronée au sein du FNC-RF pourrait être significatif. Si le IV de l’article L. 521-6-1 du CMF prévoit que "l’inscription des informations relatives à un compte dans le fichier n’emporte pas d’interdiction de réaliser des opérations de paiement impliquant ce compte", ces dispositions n’empêchent toutefois pas un PSP de suspendre ou refuser de réaliser une opération de paiement du fait de la présence de l’identifiant unique d’un compte d’une personne dans le FNC-RF. Ainsi, une personne soupçonnée à tort de fraude pourrait :

• se voir refuser des opérations de paiement impliquant ce compte par la totalité des PSP consultant ce fichier.
• voir ses contrats de services de paiement ou ses conventions de compte de dépôt résiliés, sous réserve que le PSP puisse fonder sa décision sur des éléments complémentaires à cette seule suspicion de fraude.

Le projet d’arrêté prévoit que le FNC-RF est alimenté de la manière suivante :

• les PSP qui estiment qu’un compte de paiement ou de dépôt est susceptible d’être frauduleux doivent inscrire dans le fichier les informations concernant l’évènement de fraude relatif à ce compte (article 1, alinéa 3) ;
• le PSP teneur de compte, s’il participe au fichier, doit entamer sans délai des vérifications visant à évaluer son caractère frauduleux, et préciser, au sein du fichier, qu’il prend en charge ces vérifications ;
• il partage ensuite le résultat de ses vérifications au sein du fichier (article 3, alinéa 4) ;
• lorsque les raisons de soupçonner la fraude disparaissent, le PSP procède sans délai à une déclaration corrective visant à demander à la Banque de France la radiation de l’évènement de fraude (article 4, alinéa 2).

La nature et le fonctionnement du FNC-RF, qui mutualise des suspicions de fraude, sont susceptibles d’engendrer des risques d’inexactitude des données qu’il contient et ainsi des conséquences importantes pour les droits des personnes concernées. Ce sera particulièrement le cas lorsque le PSP teneur de compte n’entre pas dans la définition du I de l’article L. 521-6-1 du CMF, notamment parce qu’il n’est pas établi ou n’exerce pas en France, car dans ce cas la suspicion de fraude ne peut être confirmée ou infirmée par le PSP teneur de compte.

La CNIL insiste donc sur la nécessité pour chaque PSP d’appliquer strictement le mécanisme de vérification des déclarations de fraude prévu par les articles 3 et 4 du projet d’arrêté afin d’assurer l’exactitude du FNC-RF et de limiter les impacts pour les droits et libertés des personnes de déclaration de fraude qui ne serait finalement pas caractérisée .

La CNIL considère que, compte tenu de la sensibilité du traitement et de son impact potentiel sur les personnes concernées, les garanties prévues par le projet d’arrêté en termes d’exactitude des données doivent être améliorées.

La CNIL prend acte de l’engagement du ministère d’indiquer, dans le projet d’arrêté, que :

• le PSP teneur de compte doit vérifier le caractère frauduleux du compte inscrit dans le fichier « dans les plus brefs délais » ;

• la Banque de France procédera « dans les plus brefs délais » à la suppression d’une suspicion erronée de fraude, afin que l’impact pour les personnes concernées soit minimisé.

Elle recommande au ministère d’indiquer également, dans le projet d’arrêté :

• qu’une fois les vérifications effectuées, le partage par le PSP du résultat de ses vérifications au sein de chaque déclaration relative à un compte dont il est teneur se fait « sans délai » ;
• les règles de détermination du sort d’une déclaration de suspicion de fraude, en cas de divergence d’appréciation entre le PSP teneur de compte et le ou les autres PSP, et quelle position devra, après vérifications, prévaloir et figurer au FNC-RF.

Elle prend acte des précisions apportées par le ministère selon lesquelles la Banque de France suivra des indicateurs, notamment sur la fréquence d’actualisation par les PSP de leurs instances locales, et contrôlera, dans le cadre de ses fonctions, le respect par les PSP de la réglementation.

En outre, la CNIL constate une contradiction, dans le projet d’arrêté, concernant la fréquence d’actualisation des instances locales par les PSP. Le premier alinéa de l’article 2 prévoit en effet que les PSP actualisent « au moins une fois par jour ou, à défaut, avant toute nouvelle opération de paiement, les instances locales du fichier dont ils sont responsables ». Or, cette formulation semble conduire à une fréquence d’actualisation supérieure à un jour si le PSP n’opère pas de paiement de manière quotidienne. La CNIL considère, au contraire, que la fréquence d’actualisation doit être a minima quotidienne, ce qu’indique d’ailleurs l’AIPD de la Banque de France. Par conséquent, l’article 2 du projet d’arrêté doit être modifié pour indiquer que les PSP « actualisent au moins une fois par jour et, en tout état de cause, avant toute nouvelle opération de paiement », les instances locales du fichier dont ils sont responsables.

Elle insiste également sur la nécessité, pour les PSP, de supprimer immédiatement de leurs instances locales les événements de fraude dès leur suppression du FNC-RF par la Banque de France, et a minima quotidiennement et avant toute nouvelle opération de paiement. En effet, la persistance de ces événements de fraude figurant indument au sein des instances locales des PSP pourrait avoir des conséquences négatives importantes pour la personne concernée.

D. Sur l’information des personnes

L’article 5 du projet d’arrêté réserve l’obligation d’information des personnes concernées par les traitements de données mis en œuvre, au titre des articles 12 à 14 du RGPD, aux seuls PSP, sans mentionner d’obligation d’information à la charge de la Banque de France.

Or, l’article 12 1. du RGPD impose à tout responsable de traitement de prendre des mesures appropriées pour fournir toute information visée aux articles 13 et 14 du RGPD, relatifs à l’information des personnes. En conséquence, autant la Banque de France que les PSP, respectivement responsables des traitements de données à caractère personnel mis en œuvre dans le cadre du fichier central et des instances locales du fichier et conjointement responsables du FNC-RF dans son ensemble, sont tenus d’informer les personnes concernées par ces traitements.

Cette information pourrait par exemple se faire via une information générale sur la page du site de la Banque de France spécifique au fonctionnement du FNC-RF et à destination des personnes concernées. Conformément à l’article 26 du RGPD, les responsables conjoints du traitement pourront définir de manière transparente, par voie d’accord entre eux, leurs obligations respectives en ce qui concerne la communication des informations visées aux articles 13 et 14 du RGPD.

La CNIL rappelle qu’en tout état de cause, une prise de décision par un PSP ayant un effet direct sur la personne, telle que la résiliation d’un contrat ou d’une convention ou le refus de réaliser une opération de paiement, sur le fondement, notamment, de sa mention dans le FNC-RF, doit s’accompagner d’une information individuelle de la personne concernée sur ce fichier, afin de lui permettre d’exercer ses droits.

La CNIL prend acte de l’engagement du ministère de préciser, dans le projet d’arrêté, l’obligation d’information à la charge de la Banque de France.

E. Sur les droits d’accès et de rectification

Les droits d’accès et de rectification sont prévus par l’article 8 du projet d’arrêté, lequel dispose qu’ils s’exercent auprès du PSP teneur de compte.

Or, les articles 15, 16 et 18 du RGPD prévoient que les droits d’accès, de rectification et à la limitation du traitement s’exercent, par la personne concernée, auprès du responsable de traitement. Là encore, autant la Banque de France que les PSP, respectivement responsables des traitements de données à caractère personnel mis en œuvre dans le cadre du fichier central et des instances locales du fichier doivent permettre aux personnes concernées d’exercer leurs droits sur leurs données conformément au RGPD. Au surplus, l’existence d’une responsabilité conjointe de traitement entre les PSP et la Banque de France permet aux personnes concernées, conformément à l’article 26, 3. du RGPD, d’exercer leurs droits à l’égard de chacun des responsables du traitement.

Conformément à l’article 21, 1. du RGPD, la personne concernée ne dispose pas de droit d’opposition lorsque le traitement est fondé sur la base légale de l’obligation légale.

La CNIL invite donc le ministère à modifier le projet d’arrêté pour rappeler l’existence pour les personnes concernées d’un droit d’accès, de rectification et de limitation du traitement auprès de la Banque de France, et auprès de l’ensemble des PSP visés par l’article 1^er du projet d’arrêté.

Elle estime ces précisions d’autant plus nécessaires que, comme évoqué plus haut, la présence dans le fichier d’informations relatives à une personne soupçonnée de fraude emporte des conséquences potentiellement très importantes pour elles. Ce risque est d’autant plus important pour les clients de PSP qui n’entrent pas dans le champ du FNC-RF, et dont la suspicion de fraude ne peut faire l’objet d’une information par ce prestataire.

Les modalités de réponse aux demandes d’exercices de droits devraient être définies conjointement entre la Banque de France et les PSP, de manière à permettre à la personne concernée d’obtenir les informations la concernant les plus à jour possible. Elles devraient figurer dans le document contraignant qui encadre la responsabilité conjointe des PSP et de la Banque de France, précédemment mentionné.

F. Sur la durée de conservation

Le premier alinéa de l’article 6 du projet d’arrêté prévoit que les informations mentionnées à l’article 3 sont conservées dans le fichier pendant treize mois à compter de la date de la déclaration ou de la dernière déclaration correctrice, sans préjudice des obligations d’archivage s’imposant aux PSP.

Le second alinéa précise que les PSP sont responsables de la suppression des informations visées à l’article 3 au niveau de leur instance locale.

Selon le ministère, la durée de conservation de treize mois des informations contenues dans le fichier a été déterminée en considération des deux éléments :

• l’article L. 133-24 du code monétaire et financier prévoit, pour l’utilisateur de services de paiement, un délai de forclusion de 13 mois pour contester les opérations de paiement non autorisées ;
• ce délai fait l’objet d’un consensus entre les PSP d’un point de vue opérationnel.

La CNIL considère que ce délai de conservation n’est pas suffisamment justifié en regard des finalités de ce projet d’arrêté.

G. Sur les modalités techniques de mise en œuvre et les mesures de sécurité

Les mesures de sécurité mises en œuvre pour sécuriser les accès par les PSP et leurs éventuels prestataires techniques aux interfaces mises en œuvre par la Banque de France pour le partage des données apparaissent à ce stade et sous réserves des pièces communiquées, conformes à l’état de l’art.

Cependant, dans un contexte où ces données seront traitées de manière autonome par plusieurs centaines d’organismes extérieurs à la Banque de France, la CNIL invite le ministère à prévoir au sein du projet d’arrêté que ces organismes mettent en œuvre des mesures appropriées, notamment :

• concernant la suppression automatique des données, aussi bien pour les données portant le tag « événement à supprimer » que pour les données dont la durée de conservation a été atteinte ;
• pour assurer la confidentialité des données, en particulier au sein des copies alimentées par API ;
• concernant les modalités d’authentification des utilisateurs accédant aux données du traitement, de journalisation de ces accès et de traitement des incidents, afin de garantir un niveau de sécurité adapté aux risques.

La CNIL estime que l’architecture retenue, consistant en un partage de copies intégrales et synchronisées des données en clair avec les PSP et leurs éventuels prestataires, accroît fortement la surface d’exposition des données et, par conséquent , la vraisemblance d’une fuite, d’un accès non autorisé ou d’une réutilisation indue.

S’agissant en particulier des risques auxquels les personnes concernées seraient exposées en cas de fuite des données, la CNIL estime nécessaire de tenir compte du fait que plusieurs violations de données passées ont conduit à la diffusion illégale de millions d’IBAN associés au nom de leur titulaire, donc de la possibilité accrue que les personnes concernées puissent être identifiées. Elle rappelle que les données bancaires contenues dans le fichier constituent des données hautement personnelles au sens des lignes directrices du CEPD du 4 octobre 2017 concernant l’analyse d’impact relative à la protection des données. Le risque pour les personnes concernées pourrait en outre devenir encore plus important dans l’hypothèse où la nature des données concernées par le traitement viendrait à évoluer, notamment par l’ajout de nouvelles catégories de données.

Enfin, la CNIL regrette que l’architecture et les modalités techniques du traitement, déjà complètement déterminées au moment où elle a été saisie, n’aient pas davantage intégré des mesures techniques qui, sans amoindrir la fonctionnalité du système, auraient contribué « par conception » à la protection de la vie privée des personnes concernées. En particulier, le recours à des techniques de mutualisation confidentielle des données, telles que celles étudiées par l’Autorité de contrôle prudentiel et de résolution (ACPR) et présentées à la CNIL dans le cadre de leurs travaux relatifs à la mutualisation de données bancaires pour la lutte contre le blanchiment de capitaux et le financement du terrorisme, aurait pu être envisagé. Plus simplement, un partage reposant sur l’utilisation de pseudonymes déterministes, plutôt que sur la diffusion des identifiants bancaires en clair, aurait pu permettre à chaque partie prenante de rapprocher les signalements portant sur un même compte, ou plus généralement des comptes qui lui sont connus, tout en réduisant le risque réel attaché à une diffusion généralisée des données en clair.

Les autres dispositions du projet d’arrêté n’appellent pas d’observations de la part de la CNIL.

La présidente,

M.-L. Denis