Euro numérique: garantir les normes les plus élevées en matière de protection des données et de la vie privée

18 October 2023

Bruxelles, le 18 octobre - le comité européen de la protection des données (EDPB) et le Contrôleur européen de la protection des données (CEPD) ont rendu un avis conjoint sur la proposition de règlement relatif à l’euro numérique en tant que monnaie numérique de banque centrale. L’euro numérique a pour but de donner aux particuliers la possibilité d’effectuer des paiements électroniques, tant en ligne que hors ligne, et constitue un moyen de paiement supplémentaire, parallèle aux paiements en espèces. 

L’EDPB et le CEPD reconnaissent que la proposition de règlement traite de nombreux aspects de l’euro numérique liés à la protection des données, et prévoit notamment une modalité hors ligne visant à limiter le traitement des données à caractère personnel. En particulier, ils se réjouissent vivement du fait que les utilisateurs de l’euro numérique auront toujours le choix de payer en euros numériques ou en espèces. Dans le même temps, ils formulent plusieurs recommandations afin de mieux garantir les normes les plus élevées en matière de protection des données à caractère personnel et de la vie privée pour le futur euro numérique.

Wojciech Wiewiórowski, Contrôleur européen de la protection des données, a déclaré ce qui suit: «Nous saluons et soutenons l’engagement pris dans la proposition de règlement à garantir des niveaux élevés de protection des données pour l’utilisation de l’euro numérique en ligne, ainsi qu’un niveau de protection encore plus élevé pour l’utilisation de l’euro numérique hors ligne. Dans notre avis conjoint, nous suggérons de nouvelles améliorations pour que les droits à la protection de la vie privée et des données à caractère personnel soient effectivement préservés. En particulier, nous formulons des recommandations visant à ce que seules les données à caractère personnel nécessaires des utilisateurs de l’euro numérique soient traitées et à éviter une centralisation excessive des données à caractère personnel par la Banque centrale européenne (BCE) ou les banques centrales nationales.»

Irene Loizidou Nicolaidou, vice-présidente du comité européen de la protection des données, a quant à elle déclaré ce qui suit: «Un niveau élevé de protection de la vie privée et des données est essentiel pour gagner la confiance des citoyens dans cette nouvelle monnaie numérique. Par le présent avis conjoint, notre objectif est de faire en sorte que la protection des données soit intégrée à un stade précoce de la phase de conception de l’euro numérique qu'il soit utilisé en ligne ou hors ligne, et que les responsabilités en matière de protection des données de chacun des acteurs prenant part à l’émission de l’euro numérique figurent clairement dans le règlement.»

Selon la proposition de règlement, la BCE et les banques centrales nationales peuvent établir un point d’accès unique afin de vérifier que le montant d’euros numériques détenus par chaque utilisateur ne dépasse pas le montant maximal autorisé, appelé limite de détention. L’EDPB et le CEPD comprennent que cette vérification sera effectuée par le traitement des identifiants des utilisateurs de l’euro numérique et des limites de détention correspondantes. Dans leur avis conjoint, ils demandent des précisions concernant le traitement de ces identifiants. En outre, ils recommandent d’évaluer si le point d’accès unique est nécessaire et proportionné, soulignant que des mesures techniques permettant un stockage décentralisé de ces identifiants pourraient être prises à titre de solution de rechange. 

L’EDPB et le CEPD estiment que le mécanisme de détection et de prévention de la fraude figurant dans la proposition de règlement manque de prévisibilité. Selon eux, le traitement par la BCE et les prestataires de services de paiement (PSP) des données à caractère personnel dans le cadre du mécanisme de détection et de prévention de la fraude n’est pas clairement défini. L’EDPB et le CEPD recommandent de démontrer davantage la nécessité de ce mécanisme. En l’absence d’une telle démonstration, ils recommandent d’envisager des mesures moins intrusives du point de vue de la protection des données. Ils recommandent en outre de définir le rôle et les missions de la BCE, des banques centrales nationales et des PSP dans ce contexte, conformément aux principes clés de la protection des données.

Par ailleurs, l’EDPB et le CEPD recommandent vivement d’introduire un «seuil de protection de la vie privée» pour les transactions en ligne, en dessous duquel les transactions de faible valeur, qu’elles aient lieu en ligne ou hors ligne, ne sont pas retracées aux fins de la lutte contre le blanchiment de capitaux (LBC) et de la lutte contre le financement du terrorisme (FT). Afin de réduire le profil de risque LBC/FT des transactions de faible valeur en euros numériques effectuées en ligne, l’EDPB et le CEPD recommandent d’inclure une obligation de mettre en œuvre des mesures techniques appropriées au cours de la phase de conception de l’euro numérique.  

Enfin, l’EDPB et le CEPD soulignent que la proposition de règlement devrait clarifier davantage les responsabilités de la BCE et des PSP en matière de protection des données. Cela inclut les bases juridiques sur lesquelles la BCE et les PSP devraient s’appuyer, ainsi que les types de données à caractère personnel qu’ils devraient traiter pour l’émission, la distribution et l’utilisation de l’euro numérique. 

L’EDPB et le CEPD continueront de suivre l’évolution de la présente proposition de règlement et de fournir des orientations à ce sujet, conformément à leurs responsabilités respectives.

The news published here does not constitute official EDPB communication, nor an EDPB endorsement. This news item was originally published by the national supervisory authority and was published here at the request of the SA for information purposes. Any questions regarding this news item should be directed to the supervisory authority concerned.