Le Comité européen pour la protection des données vient de publier ses lignes directrices, adoptées le 17 juillet 2020, sur l’application de la DSP2.
La directive sur les services de paiement 2 (1), adoptée le 25 novembre 2015, a donné un statut juridique à de nouveaux acteurs apparus sur le marché des services de paiement, dont les prestataires de services d’information sur les comptes (agrégateurs de comptes) et les prestataires d’initiation de paiement.
Les premiers proposent des services offrant une vue consolidée des informations sur les comptes bancaires détenus par une personne dans plusieurs établissements, lui permettant ainsi d’avoir une appréhension globale des soldes de ses comptes et, parfois, des dernières opérations réalisées sur chacun des comptes ainsi consolidés. Ce faisant, ces acteurs peuvent proposer, s’ils sont par ailleurs prestataires de services de paiement, des services de paiement à partir – ou entre – les comptes apparaîssant dans cette vue consolidée.
Les seconds proposent des services qui permettent à leurs clients de demander la réalisation d’une opération de paiement à partir d’un compte détenu dans un établissement tiers.
Ces différentes opérations impliquent donc la collecte de données à caractère personnel, qu’il s’agisse de celles du titulaire des comptes considérés ou de celles des émetteurs ou des destinataires des opérations de paiement enregistrées ou initiées. Elles impliquent également la détention d’informations souvent sensibles, résultant des opérations réalisées, et que le prestataire de services d’information sur les comptes va collecter ou détenir : par exemple, il peut s’agir d’informations, déduites des opérations bancaires rapatriées dans la vue consolidée des comptes, et qui peuvent donner des indications, par exemple, sur l’orientation sexuelle, les opinions religieuses ou politiques du titulaire des comptes considérés.
Il est donc primordial que les données collectées et conservées par ces prestataires de services soient protégées et que leur confidentialité et leur sécurité soient garanties.
La difficulté vient de ce que la DSP2, lorsqu’elle vise les questions de protection des données à caractère personnel, ne le fait pas de manière cohérente avec les dispositions du RGPD.
Il était donc important que le CEPD se prononce sur cette question. C’est ce que ses lignes directrices (2) ont l’ambition de faire, notamment au travers de l’analyse de deux sujets fondamentaux qui sont (1) la question du consentement et (2) celle de la gestion des catégories particulières de données.
La question du consentement
Pour qu’un traitement de données à caractère personnel puisse être mis en œuvre, le RGPD prévoit qu’il doit s’appuyer sur l’un ou l’autre des six fondements légaux indiqués à son article 6. Cette liste est exhaustive.
Parmi ces six fondements, ceux qui peuvent justifier la mise en œuvre d’un traitement d’information sur les comptes ou d’initiation de paiement, figurent, d’une part, l’exécution du contrat conclu entre le prestataire de services et son client et, d’autre part, le consentement du client à ce que ses données soient utilisées.
Le fondement tiré de l’exécution du contrat ne pose pas de difficulté particulière, dans la mesure où la DSP2 prévoit que les services qu’elle encadre doivent nécessairement faire l’objet de la conclusion d’un contrat entre le prestataire et son client.
Toutefois, l’absence de difficulté est conditionnée par une réserve importante : que le traitement de données à caractère personnel dont il s’agit soit strictement nécessaire à l’exécution du contrat, la preuve de cette stricte adéquation entre le traitement opéré et le contrat reposant sur les épaules du responsable du traitement.
Vient alors la délicate question des traitements de données à caractère personnel ultérieurs, réalisés pour des finalités qui n’étaient pas prévues initialement ou qui ne ressortent pas directement de l’exécution du contrat stricto sensu.
Pour ceux-ci, le fondement légal, tiré de l’exécution du contrat, ne pourra pas être invoqué, sauf à démontrer que la nouvelle finalité est « compatible » avec la finalité initiale. Mais si tel n’est pas le cas, restera alors le fondement légal tiré du consentement de la personne concernée.
D’ailleurs, la DSP2 limite les cas de traitements ultérieurs, dans la mesure où elle indique que le prestataire ne doit pas utiliser, accéder à ou stocker des données pour d’autres finalités que celles de la fourniture des services d’initiation de paiement ou d’informations sur les comptes, tels que demandés par le client.
En conséquence, tout traitement ultérieur ne peut s’appuyer que sur une demande expresse du client, ce qui conduit au recueil, de fait, du consentement de la personne concernée à ce que ce traitement soit réalisé.
Ce consentement doit donc obéir aux principes posés par le RGPD pour sa validité. Il doit être « libre, éclairé, spécifique et non ambigu ».
La difficulté qui surgit alors est que la DSP2 vise, elle aussi, le concept de « consentement explicite », mais dans un sens très différent de celui du RGPD. Pour la DSP2, ce consentement explicite vise, en réalité, le consentement du client à contracter avec son prestataire de services ou à l’autoriser à utiliser les données qu’il collecte pour la fourniture des services contractuellement prévus, et non pas le consentement en tant que fondement légal à un traitement de données à caractère personnel.
Il vient que le prestataire de services pourra être mis dans la position de devoir recueillir – et démontrer l’expression de – deux consentements : le consentement prévu par la DSP2, qui est un consentement à contracter et à réaliser les opérations prévues au contrat et, le cas échéant, le consentement prévu par le RGPD comme fondement légal aux traitements qui seront mis en œuvre (lorsque le fondement légal de l’exécution du contrat ne sera pas approprié).
La question des catégories particulières de données
Comme indiqué plus haut, le prestataire d’information sur les comptes peut être amené à connaître de données révélatrices des habitudes de paiement et des revenus de son client.
Parmi ces informations, peuvent figurer des données qu’il peut être facile de lier à des données dont la détention est normalement interdite, comme les données sur les opinions religieuses, politiques, sur la santé, la vie sexuelle ou l’orientation sexuelle.
La DSP2 ne méconnaît pas la question des données « sensibles ». Mais il convient de relever qu’elle ne les appréhende pas dans le même sens que le RGPD. Pour la DSP2, est une donnée « sensible », une donnée qui peut être utilisée pour des usages frauduleux, les données de sécurité (mot de passe, codes secrets) étant considérées comme étant des données sensibles.
Il vient donc que le prestataire d’information sur les comptes ne devrait pas pouvoir collecter, traiter ou conserver des données considérées comme « sensibles » dans l’acception donnée à ce concept par le RGPD.
Des exceptions existent cependant à ce principe général d’interdiction, parmi lesquelles figurent, notamment, le consentement (voir ci-dessus) de la personne concernée.
A ce propos, le CEPD rappelle que l’exécution du contrat n’est pas un fondement légal qui peut être invoqué pour justifier que des traitements impliquant des données « sensibles » soient mis en œuvre. Ainsi, si la prise de connaissance d’informations, par exemple sur les opinions politiques d’une personne, peut être perçue comme étant une conséquence naturelle, voire de l’essence même d’un service d’information sur les comptes, elle ne peut être justifiée, a priori, que par le consentement de la personne (les autres hypothèses de dérogations à ce principe général d’interdiction étant peu plausibles au cas particulier de ce type de service).
En conséquence, si le consentement de la personne concernée ne peut pas être obtenu, ou est refusé par elle, le responsable du traitement devrait mettre en œuvre des mesures techniques en vue d’empêcher le traitement de ces catégories de données.
Frédéric Forster
Lexing Constructeurs informatiques et télécoms
(1) Directive (UE) 2015/2366 du 25 11 2015
2) Guideline 06/2020 of the interplay of the Second Payment Services Directive and the GDPR, Version 1.0, adopted on 17 July 2020