Un prestataire de services de paiement qualifié de sous-traitant de ses clients

Pas besoin de nommer l’établissement de paiement P. ! Tout juste faut-il préciser qu’il exerce son activité de services de paiement récurrents à destination d’une clientèle de marchands. Et qu’épinglé sur l’autel de la protection des données à caractère personnel, il écope d’une amende administrative d’un montant de 180 000 euros pour manquements aux articles 28, § 3 et 4 (sous-traitance), 32 (sécurité du traitement) et 34 (communication individuelle de la violation des données) du Règlement général sur la protection des données (RGPD). Cette sanction financière est assortie de sa publicité sur les sites de la Commission Nationale Informatique et Liberté (CNIL) et de Legifrance.

Certes, il semble bien que ce soit la première fois qu’un prestataire de services de paiement (PSP) non bancaire serait sanctionné par la Commission [1] . Ne doutons pas cependant que l’événement ne marquera guère les esprits, sachant que quelques jours après, c’est de manière autrement spectaculaire que Google et Facebook se sont vu infliger par la CNIL une amende de 150 millions d’euros pour l’une [2] , 60 millions pour l’autre [3] , faute de permettre de refuser les cookies aussi simplement que de les accepter…

L’enjeu de la responsabilité du traitement

En notre affaire de services de paiement, l’intérêt de la délibération de la CNIL est donc ailleurs. Lorsqu’elle évoque, comme en passant, « le statut de la société en termes de responsabilité de traitement ». L’établissement de paiement P. agissait-il, au regard des données concernées, en qualité de « responsable du traitement » (controller en anglais) ou, au contraire, en tant que simple « sous-traitant » (processor) ? Et dans ce cas, de qui ?

Ne serait-il pas temps d’avouer que la mise en œuvre, sinon la compréhension, de cette summa divisio du droit de la protection des données à caractère personnel est impossible, peut-être à titre général, sans doute en droit des paiements ? C’est pourquoi les uns et les autres se réfugient le plus souvent dans l’entre-deux – le « ni-ni » ou le « en même temps ». Autrement dit, dans la qualification de « responsables conjoints de traitement ». Le récent Livre blanc de la CNIL sur les données de paiement le suggère d’ailleurs en ces termes : « En matière de paiement, il semble envisageable de retenir la notion de responsabilité conjointe, dès lors qu’un certain nombre d’acteurs dans la chaîne de traitement sont susceptibles d’intervenir pour une même finalité (telle que la réalisation du paiement) et de potentiellement déterminer conjointement les moyens de ces traitements [4] . »

La CNIL dit blanc et noir

La qualification de responsabilité conjointe du traitement est-elle paresseuse ? Il se peut. Mais elle apparaîtrait toutefois moins saugrenue que ce qui figure au point 30 de la délibération rapportée : « La formation restreinte considère que la notion de responsable de traitement doit faire l’objet d’une appréciation concrète prenant en compte l’ensemble des éléments permettant d’attribuer cette qualité à une entité. À ce titre, elle relève qu’il ressort des éléments communiqués à la CNIL que la société [P.] agit en qualité de sous-traitant pour les traitements mis en œuvre dans le cadre des services fournis aux marchands, responsables de traitement, dans la mesure où la société ne détermine pas les finalités de traitement des données. Ces services constituent l’essentiel de son activité (services de paiements récurrents, mandats SEPA, etc.) ». Sous-traitant donc ! Mais dans ses actions de lutte contre la fraude, l’établissement P. (re)devient responsable du traitement : « La formation restreinte considère par ailleurs que la société [P.] agissait en qualité de responsable du traitement concerné par la violation de données, celui-ci étant un traitement de recherche interne concernant un mécanisme de lutte contre la fraude, dont elle a déterminé seule les finalités et les moyens » [5] .

Se conçoit-il que dans l’exercice même de son activité réglementée (la fourniture de services de paiement), un établissement de paiement (qui n’existe, et n’est agréé, que pour offrir ces services) puisse être le sous-traitant de ses clients (mêmes marchands) alors que sont concernées les données à caractère personnel qu’il collecte, traite et conserve dans l’unique but d’exécuter sa prestation de services de paiement ? Et comment comprendre que, à l’inverse, lorsqu’il s’agit de lutte contre la fraude (certes essentielle mais parfaitement hors cadre du monopole des paiements), la qualité de responsable du traitement des données utilisées soit concevable ?

Épais brouillard dans les textes sur le sujet

L’interrogation n’est pas tout à fait superflue. L’European Data Protection Board (EDPB) lui-même ne souligne-t-il pas : “The concept of controller and its interaction with the concept of processor play a crucial role in the application of the GDPR, since they determine who shall be responsible for compliance with different data protection rules, and how data subjects can exercise their rights in practice” [6] ? Et, en effet, la fameuse accountability qui apparaît au détour de l’article 5 de RGPD pèse bien sur le responsable du traitement. Il est sommé d’être en mesure de démontrer qu’il a respecté tous les principes de traitement des données à caractère personnel : licéité, loyauté, transparence, limitation des finalités, minimisation des données, exactitude, limitation de la conservation, mais aussi intégrité et confidentialité. Sans compter que le responsable du traitement est encore responsable de la qualité des sous-traitants auxquels il fait appel [7] …

Une fois notre étonnement passé (comment un PSP peut-il être, dans l’exercice de son métier, le sous-traitant de ses clients ?), on se trouve bien démuni lorsque l’on tente d’y voir plus clair. La CNIL, on l’a vu plus haut, privilégierait le statut de responsables conjoints du traitement. Cette commodité n’a qu’un temps dans la mesure où les « conjoints » doivent ensuite se répartir les rôles et responsabilités ! Gagne-t-on à consulter les lignes directrices 6/2020 de l’EDPB relatives à l’interaction entre la deuxième directive sur les services de paiement et le RGPD (version 2.0, adoptées le 15 décembre 2020) ? Il semble que non car, malgré leur spécialité, elles se contentent d’évacuer ainsi la difficulté : « Selon les circonstances, le prestataire de services de paiement peut être un responsable du traitement ou un sous-traitant au titre du RGPD », sachant que « de plus amples informations à ce sujet figurent dans les lignes directrices 7/2020 de l’EDPB sur les notions de responsable du traitement et de sous-traitant dans le RGPD » (point 12). Ne resterait plus, alors, qu’à se plonger dans la dernière version (anglaise, du 7 juillet 2021) des Guidelines 07/2020 on the concepts of controller and processor in the GDPR. L’expérience est toutefois décevante. Tout au plus, mettrait-elle le doigt sur la cause de cette difficulté récurrente de distinguer qui est quoi au regard de la protection des données à caractère personnel ? Nous serions en présence de « notions fonctionnelles » [8] … 

Seule la DSP2 nous éclaire

Si bien qu’il est temps de sortir du RGPD pour en revenir à la DSP2. L’article 94 de cette directive prévoit deux choses :

(i) « les États membres autorisent le traitement des données à caractère personnel par les systèmes de paiement et les prestataires de services de paiement lorsque cela est nécessaire pour garantir la prévention, la recherche et la détection des fraudes en matière de paiements »

(ii) « les prestataires de services de paiement n’ont accès à des données à caractère personnel nécessaires à l’exécution de leurs services de paiement, ne les traitent et ne les conservent qu’avec le consentement explicite de l’utilisateur de services de paiement ».

Or on ne voit pas comment cette habilitation très spéciale pourrait être utilisée par d’autres que des PSP responsables du traitement des données concernées.