Pour comprendre le nouveau régime juridique des services d’initiation de paiement et d’information sur les comptes, il est important de revenir en quelques mots introductifs sur les objectifs et principales évolutions apportées par la DSP 2[1].
Avec ce texte, le législateur européen a souhaité étendre le champ d’application des dispositions existantes au sein de l’Union européenne, renforcer les droits des utilisateurs de services de paiement et la sécurité dans ce domaine. Il a aussi, et surtout, ouvert le marché des paiements aux « nouveaux acteurs des paiements ». La DSP 2 a offert un cadre légal aux nombreuses sociétés (principalement des FinTechs) qui fournissaient déjà depuis de nombreuses années, des services dits « d’agrégation » ou d’initiation de paiement, y compris en France.
L’Europe, qui a souhaité protéger ces entreprises, leur a ainsi permis un développement serein et sécurisé au sein de l’Union. Le marché des paiements, qui jusqu’alors était le monopole des établissements de crédit, établissements de paiement et autres Prestataires de Services de Paiement (PSP) s’est, au final, ouvert à la concurrence.
C’est l’ordonnance de transposition de la DSP 2 en droit français[2], entrée en vigueur le 13 janvier 2018, qui a introduit dans le Code monétaire et financier (CMF) ces deux nouveaux services de paiement : le service d’information sur les comptes[3] et le service d’initiation de paiement[4].
Ces deux services, qui peuvent être fournis par trois types de PSP[5] sont définis à l’article D. 314-2 du CMF.
Le service d’initiation de paiement est un service consistant à « initier un ordre de paiement à la demande de l’utilisateur de services de paiement concernant un compte de paiement détenu auprès d’un autre prestataire de services de paiement ».
Le service d’information sur les comptes est, quant à lui, un « service en ligne consistant à fournir des informations consolidées concernant un ou plusieurs comptes de paiement détenus par l’utilisateur de services de paiement soit auprès d’un autre prestataire de services de paiement, soit auprès de plus d’un prestataire de services de paiement ».
Nouveau droit d’accès aux comptes et aux données de compte
Pourquoi évoquer un « nouveau droit d’accès aux comptes et aux données de compte » ?
Ces définitions sont claires. Il s’agit de permettre à l’utilisateur d’accéder à ses comptes et d’ordonner des paiements sans être obligé d’utiliser, exclusivement, les interfaces mis à disposition par sa banque (espaces de banque en ligne sur Internet, applications mobiles).
En imposant aux banques de traiter « sans aucune discrimination autre que fondée sur des raisons objectives »[6] les demandes de données ou les ordres de paiement transmis par les PSP fournissant ces deux services, et en interdisant, en parallèle, de subordonner leur fourniture à l’existence de relations contractuelles entre elles et ses PSP[7], la DSP 2 leur a également imposé d’ouvrir à ces PSP leurs systèmes d’information, allant, de fait, au-delà d’une simple possibilité offerte aux utilisateurs d’user de ces nouveaux services de paiement « intermédiés ». Et c’est ainsi que les questions d’interprétation juridique débutent…
La bataille pour la donnée de paiement : chronique d’un casse-tête réglementaire annoncé
L’introduction de ces nouveaux services dans notre droit a sonné le commencement d’une bataille entre les banques teneurs de comptes et ces nouveaux acteurs du paiement autour du nouvel or noir qu’est la donnée de paiement.
Si nous devions nous livrer à un classement des données bancaires, on distinguerait trois catégories[8] :
– les données issues de la relation banque/client : pour simplifier, il s’agirait des données obligatoires permettant de répondre aux obligations en matière de connaissance client (identité, sexe, âge, catégorie socioprofessionnelle, situation financière, etc.) ;
– les données d’authentification : numéro de carte bancaire, nom, code d’accès, cryptogramme visuel, etc. ;
– les données issues des paiements (montant de la transaction, nom du commerçant, panier moyen) et toutes les informations sur le profil de l’utilisateur que l’on peut en déduire : composition du foyer, habitude de vie, orientation politique, sexuelle, etc.
Il est dès lors très simple de comprendre à quel point la donnée de paiement constitue une véritable manne : l’ingénierie en matière d’analyse de la donnée (autrement appelée « data mining ») offre des possibilités, presque illimitées, de connaissance, dans les moindres détails, de la vie privée et intime de tout à chacun.
Jusqu’à présent, les banques gestionnaires de compte disposaient d’un monopole sur la détention de cette donnée. Elles disposaient donc, seule, de cette capacité illimitée de connaissance de leurs clients et de l’opportunité d’en user pour développer leur activité (profilage, analyse comportementale, etc.).
L’arrivée de ces nouveaux acteurs de paiement n’est pas sans soulever de vastes questions juridiques sur l’exploitation de ce gisement traditionnellement réservé aux banques.
Quel périmètre pour ce nouveau droit d’accès ?
Il n’y a d’abord aucun doute sur le fait que la DSP 2 ne réglemente les services d’initiation de paiement et d’information sur les comptes que sur le périmètre des comptes de paiement.
La définition de ces services est, à ce titre, parfaitement univoque. Il s’agit, pour ce qui est du service d’information sur les comptes de « fournir des informations consolidées concernant un ou plusieurs comptes de paiement ». Il s’agit, pour ce qui est du service d’initiation de paiement, « d’initier un ordre de paiement […] concernant un compte de paiement ».
Rappelons que sont des comptes de paiement, les comptes détenus au nom d’un ou de plusieurs utilisateurs de services de paiement et qui sont utilisés aux fins de l’exécution d’opérations de paiement : les comptes de dépôt à vue et les comptes ouverts par les établissements de paiement sont des comptes de paiement[9]. En revanche, les comptes d’épargne (ou de titres) ne relèvent pas de cette catégorie puisqu’ils n’ont pas pour finalité d’exécuter des opérations de paiement quotidiennes[10]. L’Ordonnance qui a transposé la DSP 2 au sein du Code Monétaire et Financier est conforme à ce périmètre[11].
Notons, par ailleurs, que le Code monétaire et financier impose désormais aux PSP proposant ces nouveaux services de paiement de respecter des conditions strictes pour leur exercice : des formalités préalables à réaliser auprès de l’ACPR (demandes d’agrément simplifié pour la fourniture du service d’initiation de paiement ; enregistrement pour les PSPIC fournissant uniquement le service d’information sur les comptes[12]), des mesures strictes à mettre en place pour garantir la sécurité des données des utilisateurs[13] et des modes de communication sécurisés entre les PSP[14].
Qu’en est-il, dès lors, d’un service « d’agrégation » qui serait rendu hors du périmètre « compte de paiement » ? Cette question n’est aucunement théorique puisque ces services, bien avant d’être encadrés par la réglementation, s’exerçaient, sans distinction sur l’ensemble du périmètre des produits et services détenus par les clients dans les livres de leur banque.
Devons-nous considérer qu’en l’absence de texte spécial, tant européen que français, régulant ou interdisant ces services sur ce périmètre, ils peuvent être fournis librement, sans aucune règle ou obligation ? Ou devons-nous, à l’inverse, considérer que l’accès aux autres informations et types de comptes est désormais interdit (ce qui aurait pour conséquence de réduire drastiquement l’intérêt de ces services…) ? En l’absence de contraintes particulières sur le périmètre des comptes de placement, la technique dite du « webscrapping », dont on sait qu’elle est loin d’assurer un niveau de sécurité pour les utilisateurs, peut-elle continuer à perdurer ?
Avoir d’une part, un cadre juridique très contraignant pour l’accès aux données issues des comptes de paiement (tant pour les teneurs de comptes que pour les PSP fournissant ces services) et, d’autre part, une absence totale de texte spécial, tant européen que français, encadrant l’accès aux données issues des autres produits et services bancaires accessibles en ligne, est source d’une grande insécurité juridique et semble, qui plus est, en contradiction avec les objectifs de la DSP 2 qui entendait « garantir la sécurité des opérations de paiement et la protection des consommateurs contre les risques de fraude »[15].
L’analyse qui consisterait à considérer qu’en l’absence de textes régulant l’accès aux données hors comptes de paiement, ces services peuvent être fournis librement semble discutable. Comment, en effet, concevoir que, pour une même typologie d’activité (un service visant à restituer des informations issues de produits et services accessibles depuis un service de banque en ligne) mettant en relation les mêmes parties (teneurs de compte, clients et tiers de paiement), on assujettisse, lorsqu’elle est fournie sur le périmètre des comptes de paiement, les prestataires et la fourniture de ce service à des conditions strictes d’accès à cette activité et on permette, à l’inverse et lorsque cette même activité serait fournie sur des comptes d’épargne (ou sur des données issues d’autres types de produits ou services financiers, tel que le crédit), un accès totalement libre à ces données sans aucune contrainte, de sécurité ou prudentielle ?
De surcroît, cette absence de cadre légal et de dispositifs techniques imposés par les normes européennes sur le périmètre hors « comptes de paiement » pourrait poser d’autres questions pour les établissements teneurs de compte. Quid du respect de leurs obligations en matière de secret professionnel/bancaire[16] ? Quid du respect de leurs obligations en matière de protection des données personnelles[17] ? Quid du respect des contrats conclus avec leurs clients qui interdisent, pour la plupart, la communication à des tiers des identifiants fournis pour la connexion aux espaces de banque en ligne ?
La cohérence et la sécurité juridique devraient donc conduire à considérer qu’en l’absence de textes spéciaux, ces services ne peuvent pas être légalement fournis sur les données hors comptes de paiement et ne pourront l’être que dans un cadre légal et réglementaire spécial et adapté.
Néanmoins, cette question de l’accès aux données hors comptes de paiement étant non régulée, il n’est pas certain que le superviseur bancaire se déclare compétente et se prononce de façon ferme sur la question. Notons toutefois que l’ACPR a déjà indiqué que, « s’agissant de la réglementation française, à défaut de modification du cadre réglementaire qui leur est applicable, les conditions d’accessibilité des comptes utilisés à des fins autres que l’exécution d’opérations de paiement ne devraient pas être modifiées par la transposition de la DSP 2. Ainsi, à défaut de dispositions contraires, les prestataires gestionnaires de compte n’auront aucune obligation d’ouvrir l’accès à ces comptes et les PSIC n’auront aucun droit de l’exiger[18]. » En d’autres termes, le Superviseur semble considérer que, sur ce périmètre non réglementé (i) les teneurs de compte n’auraient, contrairement au périmètre couvrant les comptes de paiement, aucune obligation d’ouvrir les accès et pourraient imposer une contractualisation avec les tiers de paiement et (ii) les tiers de paiement n’auraient aucun droit d’imposer l’ouverture de ces accès.
Quelles modalités pour accéder aux comptes ?
La deuxième problématique juridique porte sur les modalités d’accès aux comptes et aux conditions de licéité des traitements des données (de paiement) mis en place à l’occasion de la fourniture de ces deux nouveaux services.
Les termes employés par les articles du CMF introduits à l’occasion de la transposition de la DSP 2 peuvent en effet laisser perplexes et ne sont pas sans poser certaines difficultés d’application.
Les paramètres de l’équation sont les suivants :
– (1) l’article L. 133-40 I du CMF, dans la liste des conditions devant être respectées pour la fourniture du service d’initiation de paiement, dispose que le payeur doit « donner son consentement explicite à l’exécution d’un paiement ». L’article L. 133-41 I, relatif quant à lui aux conditions de fourniture du service d’information sur les comptes, prescrit que le PSP fournissant le service « 1° Recueille le consentement exprès de l’utilisateur de services de paiement ». En parallèle, le nouvel article L. 521-5 du CMF, qui s’applique à tous les PSP quel que soit le service de paiement qu’ils fournissent, dispose désormais que « les prestataires de services de paiement n’ont accès à des données à caractère personnel nécessaires à l’exécution de leurs services de paiement, ne les traitent et ne les conservent qu’avec le consentement exprès de l’utilisateur de services de paiement » ;
– (2) le RGPD[19] prescrit quant à lui qu’un traitement de données personnelles, pour qu’il soit licite, soit fondé sur un des fondements juridiques prescrits par son article 6[20].
Le RGPD a significativement renforcé la place du consentement en matière de traitement de données et ses conditions de recueil. Le consentement est défini, dans son article 4.11, comme « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fasse l’objet d’un traitement. » Le RGPD dispose, en outre, dans son article 7, que « la personne concernée a le droit de retirer son consentement à tout moment. »
Doit-on dès lors considérer que le consentement cité par les articles L. 521-5, L. 133-40 et 41 du CMF correspond au consentement requis par l’article 6.1.a) du RGPD et qu’il impose ainsi le consentement comme seule base juridique possible aux traitements de données sous-jacents aux services d’initiation de paiement et d’information sur les comptes ? Une réponse affirmative pourrait complexifier de façon significative les modalités de souscription et de fourniture de ces services afin d’être en conformité avec les conditions fixées par les dispositions du RGPD en la matière. Si les dispositions de l’article L. 521-5 du CMF, qui cite explicitement les notions « d’accès, de traitement et de conservation » des données à caractère personnel, semblent limpides, une telle conclusion pourrait être trop hâtive.
Il apparaît d’abord très discutable de considérer que le recueil d’un consentement dans le cadre de la conclusion d’un contrat cadre de service de paiement puisse l’être librement de la part de son utilisateur. Les données personnelles collectées à l’occasion d’un tel contrat sont, en théorie, nécessaires à l’exécution même du service de paiement concerné[21]. Dès lors, si un utilisateur venait à refuser la collecte et le traitement de ces données personnelles dans ce contexte, l’adhésion à ce service lui serait obligatoirement refusé par le PSP. L’utilisateur est-il, dans ces conditions, en mesure d’exprimer librement son consentement ? Les lignes directrices du G29 en matière de consentement[22] sont, sur ce point, claires puisqu’elles précisent que « l’adjectif “libre” implique un choix et un contrôle réel pour la personne concernée. En règle générale, le RGPD dispose que si la personne concernée n’est pas véritablement en mesure d’exercer un choix, se sent contrainte de consentir ou subira des conséquences négatives si elle ne donne pas son consentement, le consentement n’est pas valable. Si le consentement est présenté comme une partie non négociable des conditions générales, l’on considère qu’il n’a pas été donné librement. Le consentement ne sera par conséquent pas considéré comme étant donné librement si la personne concernée n’est pas en mesure de refuser ou de retirer son consentement sans subir de préjudice. »
Il apparaît tout aussi discutable de considérer qu’un utilisateur de service de paiement puisse retirer à tout moment son consentement aux traitements de données nécessaires à l’exécution du contrat comme le prescrit l’article 7 du RGPD. En effet, dans un tel cas, comment un PSP serait-il en mesure de respecter ses obligations en matière de lutte contre le blanchiment sur les opérations réalisées avant le retrait de ce consentement, alors même que le CMF, dans son article L. 521-6, permet également de traiter les données pour « garantir la prévention, la recherche et la détection des fraudes en matière de paiement » ?
Il semble, en réalité, que conclure de la sorte reviendrait à lier intrinsèquement le consentement donné par l’utilisateur au contrat de prestation de service et le consentement que ce même utilisateur donnerait pour le traitement de ses données à caractère personnel, ce qui apparaît contraire à la volonté du RGPD[23].
Quoi qu’il en soit, le débat pourrait avoir été tranché par le « Comité européen de la protection des données » (EDPB) dans une lettre en réponse adressée le 5 juillet dernier à une parlementaire européenne[24] sur ce sujet. Le consentement visé par le Code monétaire et financier ferait ainsi référence, non pas au consentement requis par le RGPD pour fonder le traitement des données, mais uniquement au consentement donné par l’utilisateur dans le cadre de la contractualisation du service, laissant ainsi le soin au PSP fournissant le service de fonder lesdits traitements sur les autres bases juridiques listés par le RGPD (l’exécution du contrat ou le respect de ses obligations légales).
Quelles finalités possibles pour l’utilisation des données de paiement ?
La troisième et dernière problématique juridique (la principale ?) qui nous occupera est relative aux finalités qu’il est possible de mettre en place pour l’utilisation des données de paiement auxquelles ont accès ces nouveaux acteurs.
Les dispositions du CMF ne prohibent pas expressément l’utilisation des données de paiement à des fins commerciales (profilage, prospection ciblée sur l’analyse comportementale des clients). Il est toutefois précisé dans les articles L. 133-40 II 7° et L. 133-41 II 6° que lorsqu’ils fournissent leurs services [d’initiation de paiement ou d’information sur les comptes], « le prestataire de services de paiement […] n’utilise, ne consulte ou ne stocke des données à des fins autres que la fourniture du service d’initiation de paiement expressément demandée par le payeur qu’aux seuls fins de la fourniture du service d’information sur les comptes expressément demandée par l’utilisateur de services de paiement ».
Doit-on dès lors considérer que ces articles limitent pour le PSP, purement et simplement, l’utilisation des données à la seule finalité de fourniture du service considéré, quelle que soit la finalité complémentaire que ce PSP souhaiterait mettre en place (à des fins commerciales ou autres) ?
Comme pour la problématique précédente, on pourrait s’arrêter à une lecture stricte de ces articles qui, textuellement, semblent être parfaitement clairs. Néanmoins, et comme pour la problématique précédente, une réponse plus nuancée s’impose.
Avant même de parler de la volonté de mettre en place des traitements à des fins commerciales avec les données de paiement collectées à l’occasion de la fourniture des services d’initiation ou d’information sur les comptes, on ne peut ignorer que les acteurs qui fournissent ces services depuis plusieurs années ne se contentent pas de restituer à leurs utilisateurs des soldes et des listes d’opérations de paiement. Le service d’information sur les comptes est presque systématiquement accompagné d’une panoplie de fonctionnalités « accessoires » : catégorisation d’opérations, calculs prévisionnels de solde, assistants budgétaires, aides et conseils pour la gestion de ses finances personnelles.
D’un point de vue strictement juridique, ces fonctionnalités n’entrent pas dans le champ de la définition du service d’information sur les comptes qui, selon l’article D. 314-2 du Code monétaire et financier, ne consiste qu’à « fournir des informations consolidées concernant un ou plusieurs comptes de paiement ».
Considérer que les articles L. 133-40 et L. 133-41 du CMF prohibent purement et simplement les traitements de données dès lors qu’ils n’auraient pas pour finalité la stricte fourniture des services d’initiation ou d’information devrait, en conséquence, conduire à prohiber la fourniture de ses fonctionnalités complémentaires par ces acteurs.
Peut-être faut-il davantage chercher dans les formulations employées par le Code monétaire et financier une réaffirmation du principe de « minimisation » édictée par l’article 5.1.c) du RGPD[25]. Le CMF précise au demeurant : « Lorsqu’il fournit » [le service d’initiation de paiement/d’information sur les comptes], ce qui ne semble nullement interdire aux PSP fournissant ces services de fournir, par ailleurs, d’autres services (de paiement ou d’autres sortes) et pourquoi pas des fonctionnalités dont la finalité serait, précisément, la connaissance des besoins des utilisateurs et la fourniture de propositions commerciales adaptées à leur profil, leurs habitudes de vie, etc.
Rappelons, en complément, que l’article L. 521-6 du CMF précise que les PSP peuvent mettre en place d’autres traitements de données que ceux servant strictement à la fourniture de leurs services de paiement et que ceux-ci doivent être mis en place conformément aux dispositions du RGPD[26].
Replacer le consommateur au centre des services de paiement
Ces questions juridiques mettent en évidence une certaine imprécision rédactionnelle de la DSP 2 et de ses textes de transposition. Au-delà, cette situation reste source d’insécurité juridique et pourrait porter préjudice aux intérêts des consommateurs dont la protection était, pourtant, un des objectifs de la DPS2.
Sans renier l’intérêt intellectuel que présente la poursuite des réflexions autour de ces questionnements, un nouveau cadre légal a été créé : il présente certes des imperfections, mais il pose les bases et conditions d’exercice de services régulés et sécurisés.
Les acteurs en présence ne sont que les dépositaires des données de paiement et en aucun cas les propriétaires. Il ne nous reste dès lors qu’à espérer que la bataille pour la donnée de paiement se gagne par l’inventivité dont l’ensemble de la profession saura faire preuve pour proposer de nouveaux services simples, performants et innovants plutôt que par la défense d’un monopole ou d’un pré carré.
[1] Directive 2015/2366 du 25 novembre 2015 relative aux services de paiement dans le marché intérieur.
[2] Ordonnance 2017-1252 du 9 août 2017.
[3] Art. L. 314-1 7°) du CMF
[4] Art. L. 314-1 7°) du CMF.
[5] Art. L. 521-2 du CMF : les établissements de crédit, les établissements de paiement et les prestataires de services d’information sur les comptes (PSIC).
[6] Art. L. 133-40 III et L. 133-41 III du CMF.
[7] Art. L. 133-40 III et L. 133-41 III du CMF.
[8] « Données. De quelques notions sur la propriété des données de paiement », Revue Banque, novembre 2017.
[9] Art. 4 12 DSP 2, art. L. 314-1 CMF, art. L. 522-4 du CMF.
[10] On notera que certains types de compte d’épargne, tel que le livret A, peuvent toutefois permettre de façon accessoire et limitative, l’exécution d’opération de paiement sans pour autant recevoir la qualification de compte de paiement au sens du CMF puisque leur finalité n’est pas, exclusivement, l’exécution d’opérations de paiement : Pierre Storrer, « Brèves remarques sur le compte de paiement », Revue Banque n° 788 du 13 oct. 2015.
[11] Rappelons que la DSP 2 étant une directive d’harmonisation maximale, les textes de transposition ne pouvaient pas aller au-delà du seul périmètre prévu par la DSP 2.
[12] Art. L. 522-11-2 du CMF.
[13] Art. L. 133-40 II et L. 133-41 II du CMF.
[14] Canaux sécurisés des art. L. 133-40 II 4° et L. 133-41 II 3° du CMF.
[15] Considérant n° 33 de la DSP 2.
[16] Cette pratique du webscrapping met en effet, par nature, les établissements dans l’impossibilité de recueillir un accord express et spécifique de leurs clients pour lever le secret professionnel au profit des prestataires proposant ces services.
[17] Notamment les obligations de sécurité prescrites par l’art. 32 du RGPD.
[18] Propos recueillis par la société SYRTALS auprès de Jean-Claude Huyssen, directeur de la direction des agréments, des autorisations et de la réglementation de l’ACPR et publiés dans un rapport de novembre 2016.
[19] Règlement n° 2016/679 du Parlement européen et du Conseil relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.
[20] Exécution d’un contrat, respect d’une obligation légale, intérêt légitime du responsable de traitement, sauvegarde des intérêts vitaux de la personne, exécution d’une mission d’intérêt public, le consentement de la personne concernée.
[21] Ce que précise d’ailleurs ce même art. L. 521-5 du CMF.
[22] Lignes directrices 17/FR - WP259 rév.01 révisées et adoptées le 10 avril 2018.
[23] Considérant 43 du RGPD et Lignes directrices 17/FR-WP259 rév.01 révisées et adoptées le 10 avril 2018.
[24] Mme Sophie in‘t Veld.
[25] « Les données à caractère personnel doivent être […] adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données). »
[26] « […] le traitement de ces données à caractère personnel ainsi que tout autre traitement de données à caractère personnel sont effectués conformément aux dispositions du règlement (UE) 2016/679 du Parlement européen et du Conseil et du règlement (CE) 45/2001 du Parlement européen et du Conseil. »
