Droit des moyens et services de paiement

Du consentement explicite à l’accès au compte dans la DSP 2

Il n’est sans doute pas neutre que l’accès aux comptes de paiement octroyé aux prestataires sans compte requière le consentement explicite du payeur ou de l’utilisateur.

DSP2

L'auteur

  • Pierre Storrer
    • Avocat au Barreau de Paris
      Kramer Levin Naftalis & Frankel LLP
* L’auteur invite les lecteurs à lui faire parvenir leurs réactions ou éléments d’actualité inédits : pstorrer@kramerlevin.com** Les propos de l’auteur n’engagent que celui-ci

Revue de l'article

Cet article est extrait de
Revue Banque n°808

Temps réel : quand le paiement devient instantané

1. Les occurrences du consentement explicite dans la DSP 2. Là où le consentement, dans la DSP [1], est pur et simple, l’intervention des nouveaux « prestataires sans compte » créés par la DSP 2 [2] est conditionnée par le recueil du consentement « explicite » de l’utilisateur de services de paiement. On en trouve en effet l’expression aux articles 65 (confirmation de la disponibilité des fonds), 66 (règles relatives à l’accès au compte de paiement en cas de services d’initiation de paiement) et 67 (règles relatives à l’accès aux données des comptes de paiement et à l’utilisation de ces données en cas de services d’information sur les comptes). C’est que, sans doute, l’accès à un compte que l’on ne tient pas est chose trop grave pour de pas exiger un consentement renforcé de son titulaire (puisqu’il n’est pas question, dans la DSP 2, de demander l’accord du prestataire de services de paiement gestionnaire de compte ou PSPGC).

Et puis, il y a cette autre occurrence, lourde de conséquences (pratiques) : le point 2 de l’article 94 sur la protection des données, où il est dit que « les prestataires de services de paiement n’ont accès à des données à caractère personnel nécessaires à l’exécution de leurs services de paiement, ne les traitent et ne les conservent qu’avec le consentement explicite de l’utilisateur de services de paiement ». Une chose est sûre, c’est que, demain, dans les contrats-cadres de services de paiement (ou les conventions de compte), la traditionnelle « clause CNIL » qui s’y trouve ne devrait plus suffire à autoriser le traitement des données. Une interrogation dès lors : la notion de consentement explicite relèverait-elle du droit des données à caractère personnel et de son nouveau règlement général (RGPD) [3] ?

2. Le consentement explicite dans le RGPD. La notion de consentement explicite de la personne concernée figure bien dans le RGPD. Son recueil est exigé dans des circonstances exceptionnelles : traitement portant sur des catégories particulières de données personnelles (article 9), décision individuelle automatisée, y compris le profilage (article 22) et, encore, transfert de données vers un pays tiers ou à une organisation internationale (article 49).

Mais point de définition de ce consentement explicite, sinon qu’il devrait être plus explicite encore que le « simple » consentement du RGPD, pourtant déjà fort caractérisé, car entendu comme « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l'objet d'un traitement » (article 4, 11). Si bien que l’on ne sait guère si « explicite » vaut « exprès », à l’image, par exemple, de certains consentements du Code de la consommation [4] ; que l’on ne sait trop quelle forme extérieure doit prendre cet explicite, par quoi il doit se manifester, etc. On saurait au plus qu’explicite s’opposerait à implicite (et exprès à tacite ?), comme certaines législations (par exemple celle sur le don d’organes, mais on est assez loin de notre sujet) admettent un consentement implicite (cela rappelle, plus près de nous, le fameux opt-in versus opt-out). Ou qu’un consentement explicite devrait être recueilli dans des circonstances exceptionnelles, ce que confirmeraient nos hypothèses d’accès dérogatoire au compte de paiement.

3. La confirmation de la disponibilité des fonds. Très exceptionnelle devrait être cette action, puisque la demande de confirmation de la disponibilité des fonds faite par un émetteur d’instruments de paiement liés à une carte à un PSPGC est soumise à un double consentement explicite : celui que le payeur doit donner, avant la première demande de confirmation, au PSPGC pour qu’il réponde à la demande de l’émetteur (article 65, 1, b) ; celui que ce même payeur doit donner à l’émetteur pour qu’il demande une telle confirmation (article 65, 2, a).

S’y ajoutent que l’émetteur doit en outre s’« authentifier » auprès du PSPGC (les deux autres prestataires sans compte doivent seulement s’« identifier »), avant chaque demande de confirmation, conformément à l’article 98 de la DSP 2 (authentification forte) ; et que, par souci de protection des données à caractère personnel, la confirmation prendra la forme d’un simple « oui » ou « non », mais pas d’un relevé de compte.

4. L’initiation de paiement. L’originalité du consentement explicite nécessaire à l’initiation de paiement est qu’il n’est donné à personne, mais directement à l’exécution d’un paiement (article 66, 2), conformément au droit commun du consentement de l’article 64 de la DSP 2, qui veut qu’une opération de paiement ne soit réputée autorisée que si le payeur a donné son consentement à son exécution, sous la forme convenue avec le prestataire.

Explicite, le consentement doit sans doute l’être dans la mesure où, lorsqu’il a été donné, il déclenche une garantie : le PSPGC est en effet tenu de s’exécuter afin de « garantir » le droit de recourir à un service d’initiation de paiement. Sachant que, de son côté, le PSPGC est privé de consentement, puisque la fourniture de ce service n’est pas subordonnée à l’existence de relations contractuelles entre le prestataire de services d’initiation de paiement (PSIP) et le PSPGC. La même règle, au demeurant, est posée s’agissant du service d’information sur les comptes.

5. L’information sur les comptes. En la matière, le consentement explicite concerne le prestataire de services d’information sur les comptes (PSIC) : il fournit ses services uniquement sur la base du consentement explicite de l’utilisateur de services de paiement (article 67, 2, a).

Explicite mais aussi exprès : à l’instar du PSIP (article 66, 3, g), le PSIC n’utilise, ne consulte ou ne stocke des données à des fins autres que la fourniture du service d’information sur les comptes « expressément » demandée par l’utilisateur de services de paiement, conformément aux règles relatives à la protection des données (article 67, 2, f). Consentement explicite d’un côté, demande expresse de l’autre : voilà de piquantes variations sur la volonté en droit des services de paiement.

Achevé de rédiger le 13 avril 2017.

 

[1] Dir. 2007/64/CE, 13 nov. 2007, concernant les services de paiement dans le marché intérieur.

[2] Dir. (UE) 2015/2366, 25 nov. 2015, concernant les services de paiement dans le marché intérieur et abrogeant la directive 2007/64/CE.

[3] Règl. (UE) 2016/679, 27 avr. 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données).

[4] Par ex., C. cons., art. L. 121-17 : « Préalablement à la conclusion d'un contrat de vente ou de prestation de services, le professionnel s'assure du consentement exprès du consommateur pour tout paiement supplémentaire venant s'ajouter au prix de l'objet principal du contrat », ou art. L. 221-28 : « Le droit de rétractation ne peut être exercé pour les contrats : 1° De fourniture de services pleinement exécutés avant la fin du délai de rétractation et dont l'exécution a commencé après accord préalable exprès du consommateur et renoncement exprès à son droit de rétractation […] ».

 

Articles du(des) même(s) auteur(s)

Sur le même sujet