Compte tenu des risques associés aux commerçants qui stockent les détails des cartes de crédit des consommateurs, RBI adopte la bonne approche en voulant interdire cela. La banque centrale aurait refusé une demande des passerelles de paiement (PG) qui souhaitent que le futur ensemble de règles relatives aux transactions de crédit soit plus facile pour les clients. Mais, s’il peut être gênant d’entrer un numéro de carte à 16 chiffres à chaque fois que l’on effectue une transaction, au lieu de simplement l’authentifier avec le CVV et un OTP, la banque centrale a raison de faire passer la sécurité avant la commodité. Après tout, les détails des cartes des clients sont stockés sur les serveurs des commerçants vulnérables aux violations. Des informations personnelles pourraient être volées et vendues sans que le régulateur puisse y faire grand-chose puisqu’il ne peut pas vraiment affirmer son autorité sur les commerçants.

En fait, dans les règles qui seront bientôt finalisées, RBI impose aux agrégateurs de paiements (PA) de s’assurer que les commerçants auxquels ils fournissent les services d’agrégation de paiements n’enregistrent pas la carte client et les données associées. Certes, les suggestions selon lesquelles des technologies alternatives au-delà du cryptage, via la tokenisation, soient explorées, sont valables. Cependant, jusqu’à ce que la technologie soit éprouvée, il est préférable de pécher par excès de prudence. Les serveurs et les centres de données des PG et des PA doivent être situés en Inde. Les opérateurs de cartes autorisés seront autorisés à stocker les détails de la carte pour leur permettre de traiter les recours et les rétrofacturations, mais l’utilisation de ces données est limitée.

Les réglementations sur le stockage et l’utilisation des données peuvent sembler strictes, mais les risques d’être indulgents sont trop élevés. Récemment, Mastercard s’est vu interdire par la banque centrale d’acquérir de nouveaux clients de cartes de crédit pour non-respect des règles de stockage des données ; American Express avait également fait face à des restrictions similaires. Jusqu’à ce que des pactes soient en place – Bloomberg a rapporté récemment que les États-Unis s’efforcent de rationaliser les règles d’échange transfrontalier de données et que des propositions sont à l’étude pour un accord commercial numérique avec les économies de la région Asie-Pacifique – les données doivent être stockées localement.

Pour le moment, cependant, les règles seront naturellement lourdes pour les entreprises étrangères qui doivent décider si les coûts de mise en conformité, afin de pouvoir gérer une entreprise en Inde, en valent la peine. RBI, pour sa part, doit continuer à faire ce qu’elle estime être dans le meilleur intérêt de prévenir le blanchiment d’argent et de protéger le système contre d’autres malversations. Ce n’est pas seulement l’Inde, d’autres pays de la région Asie-Pacifique insistent également pour que les données soient conservées localement, sans copie dans un autre pays. Si les données sont envoyées pour traitement, elles doivent être ramenées dans un délai spécifié. En Inde, d’autres régulateurs ont également mis en place des normes strictes pour garantir que les données sont stockées en toute sécurité. L’IRDAI, par exemple, a restreint l’externalisation de certaines fonctions comme les services bancaires, juridiques et de messagerie par les assureurs et insiste pour que tous les dossiers originaux des assurés soient conservés en Inde. MeitY a rendu obligatoire pour les départements gouvernementaux qui fournissent des services cloud, d’inscrire dans leurs contrats, les conditions qui imposent le stockage des données et des résultats de calcul dans le pays. Permettre aux données de s’échapper à l’étranger n’est pas souhaitable.

