Données personnelles : Directive Services de Paiement 2 et RGPD
Comment s’articule la Directive Services de Paiement 2 (DSP2) et le RGPD ? Aurélie Banck, directrice du département Conformité RGPD Banque et Assurance du cabinet nous livre son analyse dans un étude publiée dans la Revue de droit Bancaire et financier (1).
Pour rappel, la Directive sur les services de paiement 2 (PSD2 : Directive on Payment Services 2) applicable depuis janvier 2018 est venue bouleverser le paysage réglementaire des services de paiement. Cette directive crée de nouveaux services et consacre les principes de l’Open banking que l’on pourrait traduire par « système bancaire ouvert ».
L’Open banking désigne le fait pour des banques de partager les données qu’elles ont à leur disposition avec d’autres services bancaires. L’ouverture des systèmes d’information des banques et le partage des données de leurs clients à des tiers doit prendre en compte le Règlement général sur la protection des données personnelles (RGPD), applicable depuis le 25 mai 2018 (2).
Ce dernier contraint les banques à intégrer le consentement du client à leur stratégie de partenariat. Il en résulte de nombreuses problématiques nouvelles puisque les clients doivent en effet pouvoir :
- décider des données qu’ils souhaitent partager, avec qui et à quelles fins ;
- retirer leur consentement ;
- demander la suppression de leurs données à tout moment.
Le prestataire de services de paiement (PSP) se trouve confronté à de nombreuses questions pratiques s’agissant du recueil du consentement au traitement des données clients : peut-il résulter d’une case à cocher ? qu’advient-il si le client ne coche pas la case ? le service de paiement peut-il continuer à être délivré ? etc. et de nombreuses autres questions que soulève l’auteur dans son étude.
Isabelle Pottier
Directeur Études et Publications
(1) Aurélie Banck, « Données personnelles : articulation de la Directive sur les Services de Paiement 2 et du Règlement général sur la protection des données – Acte II : suite et fin ? », N°6 – 19 décembre 2018 – Droit bancaire et financier – LexisNexis.
(2) Dans une précédente étude 1, Aurélie Banck examinait l’articulation des dispositions relatives à la protection des données figurant dans la Directive sur les Services de Paiement 2 (DSP2) et le RGPD, N°1 – Janvier 2018 – Revue de Droit bancaire et financier – LexisNexis.