La deuxième directive sur les services de paiement (ci-après « DSP2 ») a introduit un certain nombre de nouveautés dans le domaine des services de paiement. Si elle crée de nouvelles opportunités pour les consommateurs et améliore transparence dans ce domaine, l’application de la DSP2 soulève certaines questions et préoccupations quant au traitement des données personnelles des utilisateurs des services de paiement.
Le règlement général sur la protection des données (ci-après « RGPD ») s’applique au traitement des données à caractère personnel, y compris aux activités de traitement effectuées dans le cadre des services de paiement tels que définis par la DSP2.
Ainsi, les responsables du traitement agissant dans le domaine couvert par la DSP2, les prestataires de services de paiement et leurs agents, doivent toujours veiller au respect des exigences du RGPD, y compris les principes de protection des données énoncés à l’article 5 dudit règlement, ainsi que les dispositions pertinentes de la directive (Directive 2002/58/CE) « vie privée et communications électroniques ».
Si la DSP2 et les normes techniques de réglementation relatives à l’authentification forte du client et des normes ouvertes communes et sécurisées de communication (ci-après « RTS ») contiennent certaines dispositions relatives à la protection et à la sécurité des données, des incertitudes sont apparues quant à l’interprétation de ces dispositions ainsi qu’à l’interaction entre le cadre général de protection des données et la DSP2.
Le rapport annuel de l’Observatoire de la sécurité des moyens de paiement de 2017 indique que dans la mesure où le RGPD constitue le cadre réglementaire général applicable à la protection des données à caractère personnel, les dispositions de la DSP2 en la matière doivent être interprétées au regard de ce cadre général. Or, certaines dispositions présentes dans la DSP2, telles que celles relatives au consentement explicite de l’utilisateur mentionné à l’article 94, semblent renvoyer à des obligations de nature différente de celles prévues par le RGPD en la matière. Comme l’indique le rapport de l’Observatoire et d’autres parties prenantes, notamment la député européenne Sophie in’t Veld, un éclairage par les instances compétentes sur ces points d’articulation entre les deux réglementations, en premier lieu au niveau européen, apparaît souhaitable en vue d’assurer une mise en œuvre opérationnelle homogène par les acteurs du marché.
Le comité européen de la protection des données « EDPD » note que la directive DSP2 comprend un certain nombre de règles spécifiques concernant le traitement des données à caractère personnel, en particulier l’article 94 qui dispose que le traitement des données à caractère personnel aux fins de la directive DSP2 doit être conforme au droit communautaire en matière de protection des données.
En outre, le considérant 89 de la directive DSP2 (sur le traitement des données à caractère personnel pour la fourniture de services de paiement) mentionne explicitement que la finalité doit être précisée, les exigences de sécurité pertinentes prévues par la directive 95/46/CE doivent être respectées et les principes de nécessité, de proportionnalité, de limitation des finalités et de délai proportionné de conservation des données respectés. En outre, la protection des données par conception et la protection des données par défaut devraient être intégrées dans tous les systèmes de traitement des données développés et utilisés dans le cadre de la présente directive.
Le comité européen de la protection des données a adopté, au nom de sa présidente, une lettre adressée à Sophie in’t Veld, députée européenne, concernant la directive DSP2. Dans sa réponse à Sophie in’t Veld, le comité européen de la protection des données apporte un éclairage supplémentaire sur les « données des parties silencieuses » des tiers, les procédures concernant l’octroi et le retrait du consentement, les normes techniques de réglementation, la coopération entre les banques et la Commission européenne et ce qu’il reste à faire pour combler les lacunes persistantes en matière de protection des données.
Ces orientations visent à fournir des réponses supplémentaires sur les aspects de la protection des données dans le contexte de la DSP2, en particulier sur la relation entre les dispositions pertinentes de la DSP2 et RGPD. Ces orientations sont principalement axées sur le traitement des données à caractère personnel par les prestataires de services d’information sur les comptes (PSIC) et les prestataires de services d’initiation de paiement (PSIP).
Ce document traite des conditions d’octroi de l’accès aux informations sur les comptes de paiement par les PSIC et du traitement des données personnelles par les PSIC et les PSIP, y compris les exigences et les garanties relatives au traitement des données personnelles par ces prestataires à des fins autres que celles pour lesquelles les données ont été collectées, en particulier lorsqu’elles ont été collectées dans le cadre de la fourniture d’un service d’informations sur les comptes.
Ce document aborde également différentes notions de consentement explicite dans le cadre de la DSP2 et du RGPD, notamment :
Pour découvrir l’ensemble de notre offre de veille réglementaire, contactez-nous à : communication@regulationpartners.com