Articulation de la PSD2 et du RGPD, le CEPD publie sa position

Articulation de la PSD2 et du RGPD, le Comité européen de la protection des données (successeur du G29) publie sa position. 

Alors que le Sénat vient d’adopter en seconde lecture, la ratification (1) de l’ordonnance 2017-1252 du 9 août 2017 portant transposition de la directive 2015/2366 dite Directive sur les services de paiement 2 (PSD2 : Directive on Payment Services 2), le Comité européen de la protection des données vient de faire connaitre sa position quant à l’articulation de ce texte avec le Règlement européen relatif à la protection des données (RGPD).

C’est au travers d’une lettre de la Présidente du Comité (2) en réponse à un membre du Parlement européen que le successeur du G29 fait connaitre sa position sur les dispositions relatives à la protection des données figurant dans la PSD2 qui devait être transposée au plus tard le 13 janvier 2018.

Articulation de la PSD2 et du RGPD : les données du problème

Le consentement. Pour mémoire, la PSD2 comporte des dispositions spécifiques concernant la protection des données notamment au travers de son article 94 qui dispose que « les prestataires de services de paiement n’ont accès à des données à caractère personnel nécessaires à l’exécution de leurs services de paiement, ne les traitent et ne les conservent qu’avec le consentement explicite de l’utilisateur de services de paiement ».

Ce texte a soulevé de nombreuses interrogations, les données nécessaires à l’exécution d’un contrat étant généralement collectées sur la base de l’exécution de mesures contractuelles au sens de l’article 6, 1), b du RGPD et non sur la base d’un consentement qui par définition est réversible.

En l’espèce, le retrait de ce consentement aurait entraîné l’impossibilité de traiter les données nécessaires à l’exécution du contrat et donc empêcher la délivrance du service. En outre, la notion de consentement explicite ne concerne dans le RGPD que la collecte de données relevant de catégories dites « particulières » (3) dont les données financières ne font pas partie. Le recueil de ce consentement n’était donc pas sans soulever de questions.

La collecte de données relatives à des tierces parties. La réalisation d’un virement à l’intention d’un particulier nécessite la collecte et le traitement de données personnelles relatives à ce tiers notamment son relevé d’identité bancaire afin de procéder à cette opération. Alors même que la collecte des données de l’utilisateur des services de paiement était supposée reposer sur son consentement, les prestataires de service de paiement s’interrogeaient sur le fondement de la collecte de ces informations relatives à des tiers et notamment sur le fait qu’il convenait ou non de recueillir leur consentement à l’opération de paiement.

Articulation de la PSD2 et du RGPD : Les réponses du CEPD

Sur le consentement, le Comité affirme que le consentement au sens de l’article 94 s’entend d’un « consentement contractuel ». Le Comité considère donc qu’au sens du RGPD, la collecte des données nécessaires à la délivrance du service de paiement relève de l’exécution de mesures contractuelles (art. 6, 1, B du RGPD). Les personnes concernées doivent donc au moment de l’entrée en relation avec un prestataire de service de paiement être clairement informées des finalités et des modalités de traitement de leurs données, clauses qui doivent être distinctes des autres éléments du contrat.

Le Comité en conclut que le concept de consentement explicite de l’article 94 de la Directive n’est pas le même que celui de consentement explicite du RGPD. Si on peut  saluer cette position pragmatique, cette interprétation ne sera sans doute pas au goût des puristes, le consentement requis au titre de l’opération de paiement faisant l’objet de l’article 64 de la Directive, ce qui sous-tend que le consentement prévu à l’article 94 était bien relatif au traitement des données – interprétation qui semble être confirmé par le législateur français au vu des termes de la transposition (cf. infra).

Le Comité rappelle également que tout traitement de données supplémentaire pour des besoins qui ne seraient pas strictement nécessaires à l’exécution du contrat peuvent cependant relever du consentement pour autant que les conditions prévues dans le règlement soient respectées.

Sur la collecte de données relatives à des tiers, le Comité précise que la collecte et le traitement de ces données peuvent relever de l’intérêt légitime du responsable du traitement ou du tiers en l’espèce l’utilisateur du service de paiement. Il rappelle cependant que l’intérêt légitime du responsable du traitement est limité et déterminé par les attentes raisonnables des personnes concernées (en l’espèce transmettre ou recevoir une somme d’argent). Dès lors, ces données ne sauraient être utilisées pour une autre finalité que de procéder aux opérations de paiement.

Articulation de la PSD2 et du RGPD : les questions restant en suspens

Le Comité était également interrogé sur la question des standards techniques. Il révèle à cette occasion qu’il n’a pas été consulté sur ces standards ce qui semble regrettable au vu de la nécessité d’articuler l’ensemble de ces dispositions.

Le Comité n’était pas non plus interrogé sur la question de l’articulation des notifications de violation de données et des incidents de sécurité. Pour mémoire, les incidents opérationnels ou de sécurité majeurs doivent faire l’objet d’une notification tout comme les violations de données à caractère personnel. Les modalités de ces deux déclarations et les autorités de contrôle compétentes sont toutefois distinctes.

Enfin, l’ordonnance récemment ratifiée par le Parlement ne prend pas en compte ces éléments. Ainsi, l’article L. 521-5 du code monétaire et financier (CMF) reprend la terminologie de la Directive en précisant que « Les prestataires de services de paiement n’ont accès à des données à caractère personnel nécessaires à l’exécution de leurs services de paiement, ne les traitent et ne les conservent qu’avec le consentement exprès de l’utilisateur de services de paiement ». Le contrôle de ces dispositions incombant à la Cnil au titre de l’article L. 521-7 du CMF, il est probable que l’autorité prendra en compte la position du Comité sur ce sujet.

L’ensemble des standards techniques n’étant pas encore publiés, il est probable que ce sujet sera de nouveau d’actualité dans les prochains mois.

Aurélie Banck
Lexing Conformité RGPD Banque Assrance

(1) Loi de ratification (petite loi) : http://www.senat.fr/petite-loi-ameli/2017-2018/672.html
(2) Letter regarding the PSD2 Directive : https://edpb.europa.eu/sites/edpb/files/files/news/psd2_letter_en.pdf
(3) Font parties des catégories dites « particulières » de données l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle.