PSD II et la protection des données à caractère personnel

L’objectif politique de l’UE visant à ouvrir l’accès aux consommateurs aux nouvelles technologies notamment en ce qui concerne l’accès à de nouveaux servicesfacilitant l’exécution et la gestion de paiements en ligne est en contradiction avec sa position ferme sur la protection et le traitement des données à caractère personnel. (Dans le Règlement général sur la protection des données – RGPD ainsi que dans certaines dispositions insérées dans la directive PSD II relative aux services de paiement)

La principale question qui se pose pour les institutions financières est de savoir comment trouver le bon équilibre entre la nécessité de fournir de données à caractère personnel relatives aux comptes clients nécessaires afin d’autoriser l’accès à de nouvelles applications qui offrent aux clients de nouveaux services tout en protégeant les données à caractère personnel conformément au prescrit du RGPD.

Les nouveaux services facilitant l’exécution et la gestion de paiements en ligne :

En vertu de la directive PSD II, des nouveaux types de services complémentaires aux services de paiement en ligne peuvent être proposés non seulement par l’ensemble des prestataires de services de paiement agrées eux-mêmes mais aussi par des professionnelsautorisés (opérateurs non bancaires aussi appelés tiers fournisseurs ou Third Party Providers).

Dans le cas où le prestataire de services non bancaire, fournit exclusivement ce type de services, il ne détient en aucun cas des fonds du client.

Nous n’aborderons pas ici les conditions ou la procédure pour obtenir une autorisation et/ou un enregistrement auprès de l’autorité bancaire européenne ou l’autorité nationale compétente mais nous nous bornerons à l’explication de l’objet et du fonctionnement de ces services afin de pouvoir ensuite aborder la problématique du traitement de données à caractère personnel par ces prestataires en meilleure connaissance de cause.

i) Services d’initiation de paiement (P.I.S.P.)

Dans le cadre du commerce électronique, les services d’initiation de paiement permettent d’établir une passerelle directe entre le site internet du commerçant et la plate-forme de banque en ligne du prestataire de services de paiement gestionnaire de compte du payeur en vue d’initier des paiements sur la base d’un virement.(Via des interfaces sécurisées plus connues sous l’abréviation API que les banques doivent mettre en place).

Un exemple concret : Actuellement, le client se rend sur le site d’Amazon , commande un article et confirme sa commande. Amazon fait alors appel à un prestataire de paiement par exemple Saferpay qui propose au client de régler sa commande via un des différents systèmes de paiement avec lequel il collabore (par exemple masterd card). Le client remplis alors ses données bancaires en ligne et confirme la transaction et sa banque effectue le virement demandé vers le compte de la banque du marchand. Si Amazon obtient l’autorisation d’initier des paiements, le client pourra donner une autorisation directe à Amazon pour qu’il se connecte à son établissement bancaire, et lui débite directement sur son compte le montant de son achat. Ceci permet en principe une simplification du processus de paiement, une diminution du nombre d’intermédiaires et de gains de temps et d’argent aussi pour les marchands que pour leurs clients

ii) Prestataires de services d’information sur les comptes (P.I.S.C.)

Les prestataires de services d’information sur les comptes à ne pas confondre avec les prestataires de services de paiement gestionnaires de compte (par exemple les banques) quant à eux fournissent à l’utilisateur de services de paiement des informations agrégées en ligne concernant un ou plusieurs comptes de paiement qu’il détient auprès d’un ou de plusieurs autres prestataires de services de paiement.

En pratique, utilisateur de services de paiement est donc en mesure d’avoir immédiatement une vue d’ensemble de sa situation financière à un moment donné au lien de devoir se rendre tour à tour sur l’interface de chacun de ses comptes de paiement.

Données à caractère personnel transmises aux P.I.S.P. (et aux P.I.S.C.)

i) Quelles données sur quelle base légale ?

La directive PSD2 comporte des dispositions spécifiques concernant la protection des données notamment de manière générale au travers de son article 94 qui dispose que « les prestataires de services de paiement n’ont accès à des données à caractère personnel nécessaires à l’exécution de leurs services de paiement, ne les traitent et ne les conservent qu’avec le consentement explicite de l’utilisateur de services de paiement ».

Plus spécifiquement en ce qui concerne les P.I.S.P. et P.I.S.C. les articles 64 et suivants ne dérogent pas à cette règle imposant le consentement et complètent plutôt que remplacent les dispositions existantes sur la protection des données (RGPD) en renforçant les exigences d’un consentement explicite et en interdisant de demander de données a caractère personnel autres que celles nécessaires pour fournir le service ainsi que de ne pas utiliser ou stocker des données personnelles à d’autres fins que pour le traitement annoncé.

Cette exigence de consentement (explicite) est pour le moins étonnante au regard des dispositions du RGPD (Règlement général sur la protection des données) étant donné que les données nécessaires à l’exécution d’un contrat sont généralement collectées sur la base de l’exécution de mesures contractuelles au sens de l’article 6, 1), b et que la notion de consentement explicite ne concerne en principe que les données relevant de catégories dites « particulières » (à comprendre sensibles) or  les données financières fournies par le client ne font pas partie de ces données particulières.

ii) Avis du Comité européen sur la protection des données dans la directive PSD II

Le 5 juillet 2018, le CEPD a adopté une lettre au nom du président du CEPD adressée à la députée européenne Sophie in’t Veld concernant la directive PSD2 [1]  qui apporte notamment un nouvel éclairage sur l’interprétation du consentement explicite dans le cadre de cette directive ainsi que sur la collecte de données supplémentaires ou de données relatives à des tiers.

Dans cette lettre, le Comité explique que le consentement au sens de l’article 94 (et 64 et suivants) de PSD II s’entend comme un « consentement contractuel » qui relève de l’exécution de mesures contractuelles comme pour la base légale prévue à l’article 6,1,b du RGPD.

En pratique, les personnes concernées doivent donc au moment de l’entrée en relation avec un prestataire de service de paiement (ou d’un P.I.S.P. ou P.I.S.C.) être clairement informées des finalités et des modalités de traitement de leurs données dans des clauses qui doivent être distinctes des autres éléments du contrat.

Le Comité rappelle également que tout traitement de données supplémentaire pour des besoins qui ne seraient pas strictement nécessaires à l’exécution du contrat peuvent cependant relever du consentement pour autant que les conditions prévues dans le règlement soient respectées.

Sur la collecte de données relatives à des tiers, le Comité précise que la collecte et le traitement de ces données peuvent relever de l’intérêt légitime du responsable du traitement ou du tiers en l’espèce l’utilisateur du service de paiement. Il rappelle cependant que l’intérêt légitime du responsable du traitement est limité et déterminé par les attentes raisonnables des personnes concernées (en l’espèce transmettre ou recevoir une somme d’argent). Dès lors, ces données ne sauraient être utilisées pour une autre finalité que de procéder aux opérations de paiement.

Conclusion

Dans l’ensemble, la mise en œuvre de la directive PSD2 en ce qui concerne ses dispositions relatives à la collecte et le traitement de données à caractère personnel n’est pas évidente et nécessiterait probablement l’adoption d’actes interprétatifs ou modificatif à valeur juridique contraignantes afin de donner raison ou tort à l’interprétation développée par le Comité dans la lettre précitée et garantir un minimum de sécurité juridique aux prestataires de services de paiements ainsi qu’aux P.I.S.P et P.S.I.C.

Questions?

N’hésitez pas à nous contacter sur info@siriuslegal.be ou au 02 721 13 00

[1] https://edpb.europa.eu/sites/edpb/files/files/news/psd2_letter_en.pdf