La DSP2 et le RGPD sont-ils alignés ou orthogonaux ?

L&rsquo;ouverture des donn&eacute;es de paiement, qui est au centre de l&rsquo;open banking, permet &agrave; de nouveaux acteurs d&rsquo;acc&eacute;der &agrave; ces donn&eacute;es, et place donc l&rsquo;interaction entre la directive sur les services de paiement (DSP 2) et le R&egrave;glement g&eacute;n&eacute;ral sur la protection des donn&eacute;es (RGPD) au cœur du d&eacute;bat. La DSP 2 a &eacute;t&eacute; adopt&eacute;e le 25 novembre 2015 ; le R&egrave;glement g&eacute;n&eacute;ral sur la protection des donn&eacute;es, le 14 avril 2016, pour une entr&eacute;e en application au 25 mai 2018. Ces deux textes ont donc &eacute;t&eacute; adopt&eacute;s dans un cadre temporel tr&egrave;s proche. D&egrave;s lors, m&ecirc;me si la DSP 2 a &eacute;t&eacute; adopt&eacute;e alors que la Directive 95/46/CE sur la protection des donn&eacute;es personnelles &eacute;tait encore en vigueur, on aurait pu l&eacute;gitimement supposer que le l&eacute;gislateur veillerait &agrave; la coh&eacute;rence de ce texte avec la future l&eacute;gislation relative &agrave; la protection des donn&eacute;es. Ce sentiment est renforc&eacute; par le fait que la DSP 2 fasse r&eacute;f&eacute;rence, d&egrave;s son consid&eacute;rant 89, aux principes de protection des donn&eacute;es dans les syst&egrave;mes de traitement &laquo; d&egrave;s la conception &raquo; et &laquo; par d&eacute;faut &raquo;, concepts qui n&rsquo;&eacute;taient pas pr&eacute;sents dans la directive de 1995. Les philosophies de ces textes sont souvent oppos&eacute;es, l&rsquo;ouverture des donn&eacute;es de paiement &eacute;tant pour certains difficilement conciliable avec la protection des donn&eacute;es personnelles. La nature m&ecirc;me des deux textes en pr&eacute;sence diverge : d&rsquo;un c&ocirc;t&eacute; un r&egrave;glement d&rsquo;application directe, et de l&rsquo;autre, une directive qui n&eacute;cessite d&rsquo;&ecirc;tre transpos&eacute;e en droit national, ce qui laisse toujours une marge d&rsquo;appr&eacute;ciation aux &Eacute;tats membres. Qu&rsquo;en est-il r&eacute;ellement, alors que le r&egrave;glement d&eacute;l&eacute;gu&eacute; [1] sur les API ( Application Programming Interface &ndash; interface de programmation applicative) et l&rsquo;authentification forte sera applicable &agrave; compter du 14 septembre prochain ? Une discordance des concepts ? La DSP 2 telle que transpos&eacute;e en droit fran&ccedil;ais introduit deux nouvelles notions dans le code mon&eacute;taire et financier (CMF) : celle de &laquo; donn&eacute;es de s&eacute;curit&eacute; personnalis&eacute;es &raquo; et celle de &laquo; donn&eacute;es de paiement sensibles &raquo;. La premi&egrave;re est d&eacute;finie &agrave; l&rsquo;article L. 133-4 du CMF comme &laquo; les donn&eacute;es personnalis&eacute;es fournies &agrave; un utilisateur de services de paiement par le prestataire de services de paiement (PSP) &agrave; des fins d&rsquo;authentification &raquo; et la seconde comme les donn&eacute;es &laquo; susceptibles d&rsquo;&ecirc;tre utilis&eacute;es pour commettre une fraude &raquo;. Cette derni&egrave;re inclut les &laquo; donn&eacute;es de s&eacute;curit&eacute; personnalis&eacute;es &raquo;. Ces deux cat&eacute;gories de donn&eacute;es sont &agrave; n&rsquo;en pas douter des donn&eacute;es &agrave; caract&egrave;re personnel, c&rsquo;est-&agrave;-dire des donn&eacute;es permettant directement ou indirectement d&rsquo;identifier une personne concern&eacute;e dont le traitement est soumis aux dispositions du RGPD. Toutefois, le RGPD ne fait pas des donn&eacute;es de paiement des donn&eacute;es particuli&egrave;res. Seules rel&egrave;vent de cette cat&eacute;gorie des donn&eacute;es comportant un risque pour la vie priv&eacute;e des personnes concern&eacute;es et relatives &agrave; l&rsquo;origine raciale ou ethnique, les opinions politiques, les convictions religieuses, les donn&eacute;es de sant&eacute;, etc [2] . Faut-il y voir une discordance ? En pratique, l&rsquo;introduction de ces deux nouveaux concepts n&rsquo;a que peu d&rsquo;impacts, on pourrait d&rsquo;ailleurs consid&eacute;rer que sur ce point la DSP 2 sp&eacute;cifie le RGPD. Caract&egrave;re libre du consentement : bonjour l'orthogonalit&eacute; ! L&rsquo;article 94 de la DSP 2 transpos&eacute; &agrave; l&rsquo;article L. 521-5 du CMF dispose que &laquo; les prestataires de services de paiement n'ont acc&egrave;s &agrave; des donn&eacute;es &agrave; caract&egrave;re personnel n&eacute;cessaires &agrave; l'ex&eacute;cution de leurs services de paiement, ne les traitent et ne les conservent qu'avec le consentement expr&egrave;s de l'utilisateur de services de paiement &raquo;. Dans la mesure o&ugrave; ces dispositions doivent &ecirc;tre lues &agrave; la lumi&egrave;re du RGPD [3] , ce consentement doit &ecirc;tre libre, sp&eacute;cifique, inform&eacute; et univoque et r&eacute;sulter d&rsquo;un acte positif clair de la personne concern&eacute;e et non d&rsquo;une simple information pr&eacute;alable. Or c&rsquo;est bien sur le caract&egrave;re libre du consentement qu&rsquo;appara&icirc;t un probl&egrave;me d&rsquo;articulation. En effet, si les donn&eacute;es sont n&eacute;cessaires &agrave; l&rsquo;ex&eacute;cution du service de paiement, c&rsquo;est que le prestataire de services de paiement (PSP) n&rsquo;est pas en mesure de fournir le service sans ces informations. En outre, tout retrait de ce consentement entra&icirc;nerait de facto l&rsquo;arr&ecirc;t du service, le PSP ne disposant plus des donn&eacute;es n&eacute;cessaires &agrave; son ex&eacute;cution. Un client souhaitant b&eacute;n&eacute;ficier du service n&rsquo;appara&icirc;t donc pas libre de retirer son consentement, ce qui est une atteinte au principe pos&eacute; par le RGPD. &Agrave; cela s&rsquo;ajoute le fait que le consentement ne peut pas &ecirc;tre tacite et r&eacute;sulter du remplissage d&rsquo;un formulaire de demande de service de paiement. Face &agrave; cette situation le Comit&eacute; europ&eacute;en de la protection des donn&eacute;es (CEPD/EDPB) est venu pr&eacute;ciser sa lecture de ces dispositions dans un courrier en date du 5 juillet 2018 [4] . Dans ce document, le Comit&eacute; estime que les services de paiement reposent sur une base contractuelle entre l&rsquo;utilisateur et le fournisseur et que les traitements mis en œuvre &agrave; cette occasion rel&egrave;vent de l&rsquo;ex&eacute;cution d&rsquo;un contrat ou de mesures pr&eacute;contractuelles. Il consid&egrave;re par ailleurs que la notion de consentement de l&rsquo;article 94 de la DSP 2 est de nature contractuelle et n&rsquo;est pas &eacute;quivalente &agrave; celle figurant dans le RGPD. Si l&rsquo;on peut saluer cette lecture programmatique, elle soul&egrave;ve tout de m&ecirc;me quelque interrogation notamment quant &agrave; son articulation avec le consentement &agrave; l&rsquo;op&eacute;ration de paiement mentionn&eacute; &agrave; l&rsquo;article 64 de la DSP 2. Il appara&icirc;t en effet que la volont&eacute; du l&eacute;gislateur &eacute;tait bien de pr&eacute;voir un consentement sp&eacute;cifique au traitement des donn&eacute;es distinct de celui relatif &agrave; l&rsquo;op&eacute;ration de paiement. Notification des incidents et des violations de donn&eacute;es : l&rsquo;orthogonalit&eacute; demeure La DSP 2 stipule qu'&laquo; en cas d'incident op&eacute;rationnel ou de s&eacute;curit&eacute; majeur, les prestataires de services de paiement informent sans retard injustifi&eacute; l'autorit&eacute; comp&eacute;tente &raquo;. En outre, lorsque cet incident a eu ou est &laquo; susceptible d'avoir des r&eacute;percussions sur les int&eacute;r&ecirc;ts financiers de ses utilisateurs, le PSP informe sans retard injustifi&eacute; ses utilisateurs [&hellip;] de l'incident et de toutes les mesures disponibles qu'ils peuvent prendre pour att&eacute;nuer les effets dommageables de l'incident &raquo;. L'article L. 521-10 du CMF pr&eacute;cise les autorit&eacute;s &agrave; notifier, en l&rsquo;occurrence l'Autorit&eacute; de contr&ocirc;le prudentiel et de r&eacute;solution (ACPR) pour tout incident op&eacute;rationnel majeur et la Banque de France pour tout incident de s&eacute;curit&eacute; majeur. C'est donc deux autorit&eacute;s distinctes qui ont &eacute;t&eacute; choisies en France en raison de leur comp&eacute;tence respective. L'incident op&eacute;rationnel correspond &agrave; un incident d&eacute;coulant d'une insuffisance ou d'une d&eacute;faillance d'un process, d'une personne ou d'un syst&egrave;me ou d'un &eacute;v&eacute;nement de force majeur affectant l'int&eacute;grit&eacute;, la disponibilit&eacute;, la confidentialit&eacute;, l'authenticit&eacute; et/ou la continuit&eacute; des services de paiement associ&eacute;s. L'incident de s&eacute;curit&eacute; correspond quant &agrave; lui &agrave; un acc&egrave;s non autoris&eacute;, une utilisation, une diffusion, une modification ou une destruction des biens du PSP affectant l'int&eacute;grit&eacute;, la disponibilit&eacute;, la confidentialit&eacute;, l'authenticit&eacute; et/ou la continuit&eacute; des services de paiement associ&eacute;s [5] . Le RGPD exige quant &agrave; lui que les responsables du traitement notifient &agrave; l&rsquo;autorit&eacute; de contr&ocirc;le en France, la Cnil, les violations de donn&eacute;es, &agrave; savoir les violations &laquo; entra&icirc;nant de mani&egrave;re accidentelle ou illicite, la destruction, la perte, l'alt&eacute;ration, la divulgation non autoris&eacute;e de donn&eacute;es &agrave; caract&egrave;re personnel transmises, conserv&eacute;es ou trait&eacute;es d'une autre mani&egrave;re, ou l'acc&egrave;s non autoris&eacute; &agrave; de telles donn&eacute;es &raquo; &agrave; moins que cette violation ne soit pas susceptible d&rsquo;engendrer un risque pour les droits et libert&eacute;s des personnes concern&eacute;es. La seule lecture de ces d&eacute;finitions suffit &agrave; identifier une convergence d&rsquo;obligations entre ces dispositions. Les incidents de s&eacute;curit&eacute; ou op&eacute;rationnels peuvent en effet porter sur des donn&eacute;es personnelles, ce qui n&eacute;cessite de notifier la Cnil, en plus de l&rsquo;ACPR et/ou la Banque de France. La situation se complexifie encore &agrave; l&rsquo;examen des informations &agrave; communiquer qui divergent en fonction des l&eacute;gislations. M&eacute;canismes antifraude et mutualisation de donn&eacute;es : quelle articulation ? Les RTS relatifs &agrave; l&rsquo;authentification forte imposent aux PSP de mettre en place &laquo; des m&eacute;canismes de contr&ocirc;le des op&eacute;rations qui leur permettent de d&eacute;celer les op&eacute;rations de paiement non autoris&eacute;es ou frauduleuses &raquo;. Ces m&eacute;canismes sont fond&eacute;s sur l&rsquo;analyse d&rsquo;op&eacute;rations de paiement &laquo; tenant compte d&rsquo;&eacute;l&eacute;ments qui sont propres &agrave; l&rsquo;utilisateur de services de paiement &raquo;. Ils vont donc n&eacute;cessiter de traiter des donn&eacute;es &agrave; caract&egrave;re personnel sur ces utilisateurs. Or le RGPD pr&eacute;cise que les traitements mis en œuvre &agrave; des fins de lutte contre la fraude peuvent relever de l&rsquo;int&eacute;r&ecirc;t l&eacute;gitime du responsable du traitement [6] . &Agrave; la lecture des RTS, il semble pr&eacute;f&eacute;rable de privil&eacute;gier l&rsquo;ex&eacute;cution de mesures contractuelles notamment en raison des impacts en termes de droit des personnes concern&eacute;es. En effet, dans ce cas, les personnes concern&eacute;es n&rsquo;ont pas la possibilit&eacute; de s&rsquo;opposer au traitement de leurs donn&eacute;es. De la m&ecirc;me mani&egrave;re, d&rsquo;&eacute;ventuels partages de donn&eacute;es de fraude entre PSP et commer&ccedil;ants pourraient aller &agrave; l&rsquo;encontre de la doctrine de la Cnil relative &agrave; la sectorisation des traitements de lutte contre la fraude [7] . Une concurrence d&rsquo;autorit&eacute;s ? Les modalit&eacute;s de protection des donn&eacute;es personnelles font d&eacute;sormais partie des conditions d&rsquo;obtention de l&rsquo;agr&eacute;ment en qualit&eacute; d&rsquo;&eacute;tablissement de paiement. Doivent en effet &ecirc;tre fournies &agrave; l&rsquo;ACPR une description du processus pour enregistrer, surveiller et restreindre l&rsquo;acc&egrave;s aux donn&eacute;es de paiement sensibles, ainsi qu'une description des mesures de ma&icirc;trise et d&rsquo;att&eacute;nuation des risques d&eacute;cel&eacute;s en mati&egrave;re de s&eacute;curit&eacute; (article 5, 1), g). L&rsquo;article L. 522-6-II du CMF soumet &eacute;galement la d&eacute;livrance de l&rsquo;agr&eacute;ment &agrave; la v&eacute;rification de l&rsquo;existence de &laquo; dispositifs &agrave; m&ecirc;me d&rsquo;assurer la s&eacute;curit&eacute; des services de paiement fournis, ainsi que la protection des donn&eacute;es de paiement sensibles &raquo;. Faut-il y voir une volont&eacute; de l&rsquo;ACPR de rentrer dans le champ de comp&eacute;tence de la Cnil et ce alors m&ecirc;me que la comp&eacute;tence de cette derni&egrave;re est explicitement rappel&eacute;e &agrave; l&rsquo;article L. 521-7 du CMF ? L&rsquo;analyse tend plut&ocirc;t, il faut bien l&rsquo;avouer, &agrave; l&rsquo;orthogonalit&eacute;. L&rsquo;articulation de la DSP 2 et du RGPD est d&rsquo;ailleurs au programme du Comit&eacute; europ&eacute;en de la protection des donn&eacute;es (CEPD) pour cette ann&eacute;e [8] . Ce nouvel avis permettra peut-&ecirc;tre de r&eacute;duire ces divergences. 1 R&egrave;glement d&eacute;l&eacute;gu&eacute; 2018/389 de la Commission du 27 novembre 2017 compl&eacute;tant la directive 2015/2366 par des normes techniques de r&eacute;glementation relatives &agrave; l'authentification forte du client et &agrave; des normes ouvertes communes et s&eacute;curis&eacute;es de communication : https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=uriserv:OJ.L_.2018.069.01.0023.01.FRA. 2 La liste de ces donn&eacute;es figure &agrave; l&rsquo;article 9, 1. du RGPD. 3 Cf Article L. 521-6 du CMF. 4 https://edpb.europa.eu/news/news/2018/letter-regarding-psd2-directive_en. 5 Guidelines on major incident reporting under directive (EU) 2015/2366(PSD2) : https://eba.europa.eu/documents/10180/1914076/Guidelines+on+incident+reporting+under+PSD2+%28EBA-GL-2017-10%29.pdf/3902c3db-c86d-40b7-b875-dd50eec87657. 6 Consid&eacute;rant 47 du RGPD. 7 Ce point &eacute;tait d&rsquo;ailleurs soulev&eacute; dans le cadre du rapport de l&rsquo;Observatoire de la s&eacute;curit&eacute; des moyens de paiement pour 2017, cf. p 27). 8 https://edpb.europa.eu/sites/edpb/files/files/file1/edpb-2019-02-12plen-2.1edpb_work_program_en.pdf.

RECHERCHEZ UN ARTICLE, UNE CHRONIQUE, PARMI L'ENSEMBLE DES PUBLICATIONS

RECHERCHEZ UN AUTEUR

Archive

Données personnelles

La DSP2 et le RGPD sont-ils alignés ou orthogonaux ?

La philosophie de la DSP 2 est souvent opposée à celle du RGPD, l’ouverture des données de paiement étant pour certains difficilement conciliable avec la protection des données personnelles. Qu'en est-il vraiment ?

À retrouver dans la revue

Blockchain/Cryptoactifs

Métiers

Banques étrangères : des résultats trimestriels contrastés

Blockchain/Cryptoactifs

Monnaie digitale, l’exploration continue

Banque de détail

Silvergate : une leçon pour les banques tentées par l’aventure crypto ?

Archive

Panorama réglementaire des actifs numériques

Archive

Sberbank : une valeur anéantie à zéro en fonds de portefeuille

Archive

La transformation repose sur des directions responsables et des équipes pluridisciplinaires

Suivez-nous