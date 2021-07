in

Mercredi, RBI a interdit à Mastercard d’ajouter de nouveaux clients pour non-respect des réglementations en matière de stockage de données. Ce n’est pas la première fois que la banque centrale sanctionne les opérateurs de paiement pour de telles violations ; en avril de cette année, il avait empêché American Express et Diners Club de recruter de nouveaux utilisateurs. Suite aux règles imposées sur la localisation des données de paiement, en avril 2018, le régulateur avait donné six mois aux fournisseurs de système pour s’assurer que les données étaient stockées uniquement en Inde. Cependant, il est clair que les fournisseurs ne semblent pas avoir pris la réglementation au sérieux. Il ne fait absolument aucun doute que le régulateur doit disposer d’un «accès de surveillance sans entrave» aux intermédiaires de paiement à un moment où les transactions numériques se développent de manière exponentielle, ouvrant ainsi la voie à la fraude et au blanchiment d’argent.

Lors de la diffusion de la circulaire le 6 avril 2018, il a été rappelé que la directive avait été donnée sans débat public ; il a été soutenu que la banque centrale devait avoir expliqué sa décision plus en détail. Compte tenu de la vitesse à laquelle les volumes de paiements numériques augmentent, il y avait peu d’intérêt – et beaucoup de risques – à retarder la notification.

Rien n’empêche le débat et la délibération de se poursuivre ; toute suggestion significative peut être considérée et les règles modifiées en conséquence. RBI a précisé que, pour les données de transactions transfrontalières, une copie de la composante nationale peut également être stockée à l’étranger si nécessaire. Aussi, les opérateurs peuvent envoyer les données à l’étranger pour traitement, mais doivent les rapporter dans les 24 heures ; les données à l’étranger doivent être supprimées.

RBI a expliqué le besoin de sécurité des données, affirmant qu’il était important de minimiser les risques de violations. Il avait également noté qu’il était nécessaire de s’aligner sur les normes de sécurité mondiales. Ce sont des objectifs assez bons, et étant donné que nous parlons du système de paiement du pays, aucune prudence ne peut être excessive. La banque centrale n’est pas tenue de répondre aux questions pour savoir si des intermédiaires ont refusé d’honorer ses demandes de fournir des informations pertinentes. Il n’est pas non plus tenu de rendre publique toute information relative à des atteintes à la sécurité si celles-ci ont eu lieu. Puisqu’il est responsable des systèmes de paiement du pays, il est justifié d’en fixer les règles. Alors que les lois antérieures n’avaient peut-être pas demandé aux opérateurs de paiement de localiser les données, celles-ci ont été élaborées il y a près de 15 ans, lorsque la numérisation n’avait pas décollé. Il est évident que les lois doivent être mises à jour.

Les grandes entreprises technologiques ont fait part de leurs préoccupations concernant la localisation obligatoire des données. Le rapport du juge Srikrishna avait observé que les données stockées localement aideraient les forces de l’ordre dans leur travail ; il leur serait plus facile d’accéder à l’information au sein de leur juridiction qu’à l’étranger car cela les rendrait dépendants des réponses à leurs demandes. La logique est également valable pour les données de paiement.

En ce qui concerne les coûts, le rapport Srikrishna a noté que la vraie question est de savoir si les coûts réels du traitement local seront tels qu’ils l’emportent sur les avantages des entreprises ayant accès à la base de données en plein essor des consommateurs en Inde. Certes, les données seraient cryptées et RBI pourrait avoir besoin de l’aide de l’opérateur pour les lire. Si les acteurs des paiements veulent faire des affaires en Inde, ils doivent se conformer à toutes les exigences réglementaires. Il n’y a pas de déjeuner gratuit.

