Menu Fermer

Un des objectifs politiques de l’UE vise à ouvrir l’accès aux nouvelles technologies aux consommateurs.

C’est notamment le cas en ce qui concerne les services de prestations de paiement repirs dans la nouvelle directive sur les services de paiement (DSP 2 en Francais ou PSD 2 en Anglais).

lLa directive DSP 2 vise notamment à donner accès à de nouveaux acteurs aux prestations de services de paiement via les nouvelles technologies.

Cet objectif se heurte toutefois avec la position de l’UE sur la protection des données à caractère personnel. (Dans le Règlement général sur la protection des données – RGPD).

La question principale qui se pose pour les institutions financières est désormais de savoir comment trouver le bon équilibre entre la nécessité de traiter des données à caractère personnel relatives aux comptes clients nécessaires afin de pouvoir permettre à une série de nouveaux acteurs d’initier des paiements à la demande des consommateurs (opérateurs non bancaires aussi appelés tiers fournisseurs ou Third Party Providers) tout en protégeant les données à caractère personnel de ces consommateurs conformément au prescrit du RGPD. et d’éventuelles dispositions connexes en droit national ou européen.

Articulation entre DSP II et le RGPD.

La directive DSP 2 prévoit dans son article 94 que « les prestataires de services de paiement n’ont accès à des données à caractère personnel nécessaires à l’exécution de leurs services de paiement, ne les traitent et ne les conservent qu’avec le consentement explicite de l’utilisateur de services de paiement ».

Plus spécifiquement en ce qui concerne les P.I.S.P. (Services d’initiation des paiement) et P.I.S.C.(Prestataires de services d’information sur les comptes), les articles 64 et suivants de la directive DSP 2 ne dérogent pas à cette règle.

Ces dispositions ne manquent pas d’interpeller étant donné que les données à caractère personnel nécessaires à l’exécution d’un contrat étant généralement collectées sur la base de l’exécution de mesures contractuelles au sens de l’article 6, 1), b du RGPD et non sur la base d’un consentement qui par définition peut être retiré à tout moment par la personne concernée..

Si on applique ces dispositions, le responsable du traitement doit demander de manière explicite , claire et libre au consommateur pour son consentement pour pouvoir traiter ses données dans le cadre de l’exécution, de services de paiement,

Ceci entraine automatiquement des couts et le rallongement du processus mais aussi implique que le consommateur peut retirer à tout moment son consentement. entrave la poursuite de l’exécution d’un contrat et la délivrance du service ce qui interroge sur l’imposition pas DSP 2 de cette base légale.

Enfin, la réalisation d’un virement à l’intention d’un particulier nécessite par exemple la collecte et le traitement de données à caractère personnel relatives à des tiers et on peut donc aussi se poser légitimement la question de savoir si le responsable du traitement doit en plus collecter le consentement de ces tiers.

Eclairage et interprétation, du CEPD (Comité européen de protection des données).

Le 5 juillet 2018, le CEPD a adopté une lettre au nom de son Président adressée à la députée européenne Sophie in’t Veld concernant certaines questions posées au sujet de la directive PSD II. 

Dans cette lettre, le CEPD apporte un nouvel éclairage sur l’interprétation du consentement explicite dans le cadre de DSP 2 ainsi que sur la collecte de données supplémentaires ou de données relatives à des tiers (pour les memes traitements).

Le Comité explique que le consentement au sens de l’article 94 (et 64 et suivants) de DSP 2 s’entend comme un « consentement contractuel » qui relève de l’exécution de mesures contractuelles tout comme pour la base légale prévue à l’article 6,1,b du RGPD mais ou l’obligation d’information préalable des consommateurs par le responsable du traitement est renforcée.

En pratique, les personnes concernées doivent donc au moment de l’entrée en relation avec un prestataire de service de paiement (ou d’un P.I.S.P. ou P.I.S.C.) être clairement informées des finalités et des modalités de traitement de leurs données dans des clauses qui doivent être distinctes des autres éléments du contrat.

Sur la collecte de données relatives à des tiers, le Comité précise que la collecte et le traitement de ces données peuvent relever de l’intérêt légitime du responsable du traitement ou du tiers en l’espèce l’utilisateur du service de paiement.

Le Comité rappelle enfin dans cette lettre que l’intérêt légitime du responsable du traitement est limité et déterminé par les attentes raisonnables des personnes concernées (en l’espèce transmettre ou recevoir une somme d’argent). Dès lors, ces données ne sauraient être utilisées pour une autre finalité que de procéder aux opérations de paiement sans quoi le consentement est bel et bien nécessaire..

Plus récemment dans ses lignes directrices 06/2020, le comité (CEPD) confirme cette interprétation et conclut à ce sujet (p15) que :

Le consentement explicite en vertu de la DSP 2 est différent du consentement (explicite) en vertu du RGPD. (….)

Cela implique que les responsables du traitement doivent fournir aux personnes concernées des informations spécifiques et des informations explicites sur les finalités spécifiques identifiées par le responsable du traitement pour lesquelles les données personnelles sont consultées, traitées et conservées.

Conclusion

Actuellement le code de droit économique belge reprend mutatis mutandis le contenu de l’article 94 de DSP 2 :

“Les prestataires de services de paiement n’ont accès à des données à caractère personnel nécessaires à l’exécution de leurs services de paiement, ne les traitent et ne les conservent qu’avec le consentement explicite de l’utilisateur de services de paiement.

Le Roi peut, par arrêté délibéré en Conseil des ministres, après avis de la Commission de la protection de la vie privée, déterminer plus précisément les modalités du traitement aux fins des buts tels que définis et légitimés dans le présent livre. “

Il en ressort que la mise en œuvre et l’interprétation de l’article 94 de DSP 2 en ce qui concerne ses dispositions relatives à la collecte et le traitement de données à caractère personnel n’est toujours pas évidente (surtout pur ceux qui ne consultent pas tous les avis du CEPD) et laisse donc selon nous subsister des interrogations quant au fait que le responsable du traitement devra obligatoirement recueillir le consentement des consommateur ou peut invoquer “l’exécution de mesures contractuelles renforcé” comme base légale.

A notre sens, il conviendrait que l’UE d’adopter un acte modificatif à valeur juridique contraignante par rapport à cette disposition afin de garantir un minimum de sécurité juridique aux responsables des traitements de données à caractère personnel qui traitent les données de consommateurs dans le cadre de l’exécution de services de paiements..

Vous avez questions relatives à ce sujet, n’hésitez pas à me contacter en m’envoyant un courriel. à l’adresse indiquée dans la section “contact”.

fr_FRFrançais