Autour du statut des données de compte de paiement

1. Introduction. Par données de compte (de paiement), nous évoquons les données auxquelles un utilisateur de services de paiement :

– peut donner accès, à un prestataire sans compte, en vertu du service d’information sur les comptes, nouveau service 8 de la DSP 2 ;

– peut y donner accès dans les termes de l’article 67 de la DSP 2 portant sur les « règles relatives à l’accès aux données des comptes de paiement et à l’utilisation de ces données en cas de services d’information sur les comptes ».

On a déjà regretté [1] que les données de compte ne soient pas définies dans la DSP 2, mais seulement circonscrites par ces deux bornes : le Prestataire de services d’information sur les comptes (PSIC) n’accède qu’aux informations provenant des comptes de paiement désignés et des opérations de paiement associées (art. 67, 2, d) ; ne demande pas de données de paiement sensibles [2] liées à des comptes de paiement (art. 98, 2, e). Étant ajouté que, fort de ce service, le consommateur dispose « des informations agrégées en ligne concernant un ou plusieurs comptes paiement qu’il détient auprès d’un ou plusieurs autres prestataires de services de paiement », de sorte qu’il est « en mesure d’avoir immédiatement une vue d’ensemble de sa situation financière à un moment donné » (cons. 28).

Pour autant, la seule chose dont l’on soit sûr est que ces données de compte le sont de comptes de paiement, de ces comptes qui sont utilisés aux fins de l’exécution d’opérations de paiement (art. 4, 12). On s’étonne dès lors, si l’on en croit la presse, que la direction générale du Trésor, en charge de la rédaction de l’ordonnance de transposition de la DSP 2, ait envisagé d’élargir le droit d’accès aux comptes d’épargne, peut-être même aux comptes titres et aux contrats d’assurance vie [3] . Car quelle que soit la pertinence d’une telle ouverture, elle ne peut se prévaloir ni de la lettre, ni même de l’esprit de la DSP 2 [4] .

I. Les données de compte en situation

2. Protection par le secret professionnel. Selon par qui elles seront détenues, les données de compte, que l’on pressent confidentielles (au sens des articles du Code monétaire et financier sur le secret professionnel) sont à l’évidence protégées par le secret professionnel auquel sont tenus les établissements de crédit, les établissements de paiement et les établissements de monnaie électronique (cf. CMF, art. L. 511-33, L. 522-19 et L. 526-35).

Si bien que, par construction, le consentement explicite que l’utilisateur de services de paiement donnera au PSIC (DSP 2, art. 67, 2, a) devra valoir, à un titre ou à un autre, levée – indirecte, mais au profit d’une personne réglementée – du secret à l’égard du prestataire de services de paiement gestionnaire du compte (PSPGC). Sans doute faudra-t-il en faire mention dans la convention de compte ou le contrat-cadre de services de paiement passés avec ce dernier.

À prendre l’exemple du secret bancaire, et faute de se trouver dans l’hypothèse générale de levée de celui-ci vis-à-vis des personnes avec lesquelles les établissements de crédit négocient, concluent ou exécutent les opérations définies par l’article L. 511-33, on tombera dans la règle qui veut que lesdits établissements « peuvent communiquer des informations couvertes par le secret professionnel au cas par cas et uniquement lorsque les personnes concernées leur ont expressément permis de le faire » (CMF, art. 511-33, al. 4).

3. Protection par le droit des données à caractère personnel. Il ne fait guère de doute que les données de compte souscrivent à la définition des données à caractère personnel posée à l’article 4, 1) du RGPD : « toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée “personne concernée”) ; est réputée être une “personne physique identifiable” une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ».

Au demeurant, parmi les règles relatives à l’accès aux données des comptes de paiement et à l’utilisation de ces données en cas de services d’information sur les comptes, figure l’obligation faite au PSIC de n’utiliser, ne consulter ou ne stocker des données à des fins autres que la fourniture du service d’information sur les comptes « expressément demandée » par l’utilisateur de services de paiement, « conformément aux règles relatives à la protection des données » (DSP 2, art. 67, 2, f). Où l’on retrouve l’un des principes directeurs du RGPD : le principe de finalité (art. 5, b), appuyé par l’exigence générale du consentement explicite de l’utilisateur, dès lors que « les prestataires de services de paiement n’ont accès à des données à caractère personnel nécessaires à l’exécution de leurs services de paiement, ne les traitent et ne les conservent qu’avec le consentement explicite de l’utilisateur de services de paiement » (DSP 2, art. 94, 2).

De sorte que les « fameuses » normes techniques de réglementation concernant l’authentification forte et la communication devront « garantir la sécurité des fonds et des données à caractère personnel des utilisateurs de services de paiement » (DSP 2, art. 98, 2, b) et, au premier rang d’entre elles, des données de sécurité personnalisées ; ce que l’on ne retrouve au demeurant pas bien dans le Draft Regulatory Technical Standards on Strong Customer Authentification and common and secure communication under Article 98 of Directive 2015/2366 (PSD2) du 23 février 2017).

II. Les données de compte en mouvement

4. Les données de compte sont mobiles. On vise par là le droit nouveau de la mobilité bancaire (de la mobilité du compte de paiement à proprement parler), qui voit le PSPGC se muer en « prestataire de services de paiement transmetteur » au bénéfice d’une « prestataire de services de paiement destinataire », selon les termes de la directive Comptes de paiement [5] ; d’« établissement de départ » et d’« établissement d’arrivée » selon ceux du Code monétaire et financier.

La transmission des données de compte est bien au cœur du service de changement de compte, ainsi défini : « “changement de compte” ou “service de changement de compte” : la demande du consommateur, soit la communication d’un prestataire de services de paiement à un autre, d’informations concernant tout ou partie des ordres permanents de virements, des prélèvements récurrents et des virements entrants récurrents exécutés sur un compte de paiement, soit le transfert de tout solde positif de ce compte de paiement sur un autre compte, ou les deux, qu’il y ait ou non clôture du premier compte de paiement » (Dir. Comptes de paiement, art. 2, 18).

En fait de changement de compte, il semble plutôt que ce soit les données de compte qui « élisent domicile » dans un autre établissement, si l’on en croit le vocabulaire utilisé par l’article L. 312-1-7 du CMF : « L'établissement d'arrivée, qui ouvre le nouveau compte de dépôt dans le cadre du changement de domiciliation bancaire, propose au client, gratuitement et sans condition, un service d'aide à la mobilité bancaire permettant un changement automatisé des domiciliations bancaires, vers le nouveau compte, des prélèvements valides et virements récurrents du compte d'origine » (III, al. 1). Quant à l’établissement de départ, le souvenir de son ancien client devra être entretenu treize mois durant après la clôture du compte, pendant lesquels il devra l’informer – gratuitement – de la présentation de toute opération de virement ou de prélèvement ou de chèque sur compte clos…

5. Les données de compte sont portables. Et puis et enfin (sans être exhaustif), le droit d’agréger ses données de compte se double de celui, très à la mode, à leur portabilité ; portabilité au sens de l’article 20 du RGPD : « les personnes concernées ont le droit de recevoir les données à caractère personnel les concernant qu'elles ont fournies à un responsable du traitement, dans un format structuré, couramment utilisé et lisible par machine, et ont le droit de transmettre ces données à un autre responsable du traitement sans que le responsable du traitement auquel les données à caractère personnel ont été communiquées y fasse obstacle ».

Il n’y a pas de raison qu’échappent au droit général à la portabilité les données de compte, du moins lorsqu’elles présentent (mais ce sera le plus souvent le cas) un caractère personnel. D’autant moins de raison que la DSP 2, sans doute (rappelons qu’elle n’octroie pas tant un droit d’exercer aux nouveaux prestataires sans compte qu’un droit aux consommateurs d’y faire appel), participe de cette intention du RGPD de renforcer, avec le droit à la portabilité, le contrôle que les personnes concernées exercent sur leurs propres données (RGPD, cons. 68).

Somme toute, les (pauvres) gestionnaires de comptes se voient ballotter de toutes parts : droit d’accès des PSIC, mobilité bancaire, portabilité des données à caractère personnel, celle-ci étant même devenue un droit du consommateur, dont le Code qui lui est dévolu prévoit depuis la loi pour une République numérique qu’il « dispose en toutes circonstances d’un droit de récupération de l’ensemble de ses données » (C. cons., art. L. 224-41-1). Tout cela donne presque l’impression que l’ère de l’open banking fraye déjà avec celle du free banking.

Achevé de rédiger le 15 mai 2017.