PayPal est-il encore un tiers de confiance au regard de la protection des données à caractère personnel de ses clients ? Avec près de 150 millions de comptes dans le monde entier, cet intermédiaire de paiement possède une mine d’informations sur les habitudes de consommation des utilisateurs de sa solution. Le risque attaché à une divulgation de tout ou partie de ces informations à des tiers est donc immense.

Comme votre banquier, PayPal en sait beaucoup sur vous : vos nom et prénom, votre adresse, votre numéro de téléphone, l’identité de vos cybermarchands préférés, vos produits préférés… et, bien entendu, vos coordonnées bancaires, c’est-à-dire soit le numéro de votre carte de crédit, soit même votre numéro de compte bancaire si vous l’avez rattaché à votre compte PayPal. Autant d’informations qui intéressent beaucoup de monde, surtout dans le domaine de la publicité ciblée.

Avec un tel trésor d’informations, l’entreprise est fréquemment la cible de cyberattaques. En mars 2014, PayPal a reconnu officiellement en avoir été victime, mais a indiqué qu’aucune donnée de ses clients n’aurait été divulguée.

Toutefois, le véritable risque de l’utilisation de PayPal au regard de la protection des données à caractère personnel ne se situerait-il pas dans les propres conditions générales d’utilisation du service ? D’aucuns se sont émus en 2013 de la modification du Règlement sur la protection de la vie privée, puisque l’entreprise a annoncé collecter de nouvelles informations sur ses utilisateurs (la géolocalisation des points de ventes acceptant le paiement Paypal et des utilisateurs connectés) et communiquer certaines informations de ses clients à des tiers.

Il s’agit soit de sociétés du groupe PayPal, comme Private Sale, qui connaît de toutes les informations du compte client dans un but de détection des fraudes, ou des sociétés tierces, comme DemandGen ou Criteo, spécialisées dans les campagnes marketing par e-mail. 

A l’époque, PayPal s’était défendue en indiquant que cette divulgation d’informations personnelles (aussi peu anodines que le nom, l’adresse email, le numéro de téléphone, le type de compte, le type des services PayPal utilisés et les informations sur les transactions…) avait pour but de permettre à la société de réaliser elle-même des campagnes publicitaires à l’attention de ses propres clients. Mais rien ne dit que ces informations ne seront pas un jour transmises à des annonceurs tiers.

En novembre 2014, PayPal a annoncé de nouvelles modifications de ses conditions générales, dont une, entrée en vigueur le 29 décembre 2014, a une nouvelle fois suscité la critique. Le nouvel article 3 du Règlement sur le respect de la vie privée, qui liste les informations collectées, porte désormais sur l’image du client. En effet, le document fait obligation aux utilisateurs de PayPal de fournir une photographie sur laquelle le visage doit être reconnaissable.

Selon l’entreprise, cette demande vise le service permettant à l’utilisateur de payer avec PayPal en magasin grâce à une application pour smartphone. Car il est désormais possible de payer avec PayPal y compris dans certains magasins physiques, plus uniquement sur internet. L’utilisation de cette photographie est demandée à des fins de sécurisation du paiement, pour éviter que des tiers connaissant l’e-mail et le mot de passe associé à un compte ne puissent payer en fraude du titulaire du compte.

Faut-il s’émouvoir de cette nouvelle fonctionnalité ? Tant que l’usage de l’image est réalisé afin de garantir l’identité d’un acheteur, cela ne devrait pas susciter de difficulté particulière. Mais qui nous dit que PayPal ne va pas, un jour, transmettre ces informations à des tiers à des fins de publicité ciblée pour le compte de tiers ?

Par ailleurs, on peut regretter que la modification des conditions générales d’utilisation de PayPal soit toujours imposée aux utilisateurs. La loi Informatique & Libertés du 6 janvier 1978 exige le recueil du consentement de chaque personne concernée en vue d’un traitement de données à caractère personnel. La Commission Nationale de l’Informatique & des Libertés (CNIL) rappelle régulièrement que ce consentement doit être « libre, spécifique et informé ». En imposant ces modifications sans solliciter l’accord exprès de ses clients, qui ne peuvent les refuser sans devoir clôturer leur compte, PayPal adopte une conception restrictive et contrainte du consentement qui se concilie mal avec les principes français.

Certes, PayPal prétend ne pas être soumise au droit français, puisque son établissement principal est situé au Luxembourg. Et, selon son Règlement, le droit luxembourgeois présenterait « un niveau de transparence supérieur à la plupart des autres lois de l’Union européenne ». Mais la transparence n’est pas la protection des données.

La CNIL entend donc vérifier que les droits des utilisateurs sont respectés. L’autorité a annoncé en octobre 2013 l’ouverture d’une enquête sur le fonctionnement de PayPal. Cette enquête semble toujours en cours et ses conclusions seront sans doute riches en enseignements.