Bien qu’il soit louable que RBI ait affirmé que le transfert d’informations aux agrégateurs de comptes (Aas) doit être basé sur le consentement explicite du client, une importance égale doit être accordée aux mécanismes de résolution des litiges. La banque centrale a bien fait de placer la sécurité de l’information et le consentement du client au cœur des lignes directrices. Cependant, il y a encore peu de clarté sur ce qui se passe si un client subit un cas de violation du consentement. Ceci est essentiel car de plus en plus d’intermédiaires rejoignent un écosystème dans lequel un grand nombre de banques, non bancaires, fintechs et sociétés Internet opèrent déjà.

C’est particulièrement important pour un pays comme l’Inde où nous n’avons pas de loi dédiée à la confidentialité des données. Un segment important a toujours du mal à obtenir les formes les plus rudimentaires d’informations financières, malgré les meilleurs efforts des régulateurs. Les fraudes impliquant le vol de codes PIN, d’OTP, de mots de passe et d’autres informations de compte (où un client partage en fait les informations avec un fraudeur se faisant passer pour un employé de banque) sont courantes. De telles incidences ne font qu’augmenter ; à cette fin, l’écosystème financier indien a un long chemin à parcourir en matière de littératie financière et numérique.

En effet, le fait que nous ayons en place un cadre AA est un développement important.

Le cadre permet à un ensemble d’entités, agréées dans une catégorie spéciale de sociétés financières non bancaires (NBFC), d’exploiter un système de partage de données financières entre les acteurs de l’écosystème basé sur le consentement. Comme l’a récemment observé le vice-gouverneur de la RBI, M Rajeshwar Rao, le transfert d’informations aux AA doit être basé sur le consentement explicite du client. Les AA doivent être équipés de l’architecture de consentement appropriée et des pistes d’audit doivent être disponibles. Les directives réglementaires exigent également que les fournisseurs de fournisseurs d’informations financières mettent en œuvre des interfaces qui permettront à une AA de soumettre des artefacts de consentement et de s’authentifier mutuellement. Cela permettra un flux sécurisé d’informations financières vers l’AA.

Il existe aujourd’hui une certaine méfiance quant à la façon dont les intermédiaires financiers axés sur la technologie traitent les données des clients. La Haute Cour de Delhi entend un DIP contre Google Pay pour avoir prétendument eu accès non autorisé à Aadhaar et à des informations bancaires et les avoir stockées. Il est malheureux que les utilisateurs d’applications de paiement n’aient d’autre recours que de déposer un DIP auprès d’une Haute Cour s’ils pensent que la confidentialité de leurs données est violée.

Comparez cela avec le Règlement général sur la protection des données (RGPD) de l’Union européenne qui vise à protéger les données de toute personne sur le territoire de l’UE. En vertu du règlement, une personne qui estime que ses droits à la protection des données ont été violés a la possibilité de déposer une plainte auprès de l’autorité de protection des données du pays. L’autorité concernée doit enquêter sur chaque plainte et informer le plaignant de l’état d’avancement ou du résultat de l’enquête dans un délai de trois mois.

Si l’Inde veut vraiment devenir une économie axée sur le numérique, pour au moins la majorité de ses citoyens, la réglementation devra être très particulière en matière de confidentialité. L’écosystème financier numérique est toujours un domaine où la réglementation évolue et, par conséquent, la conversation doit aller au-delà de la pure auto-congratulation.

